Ne pas traiter les infrastructures vitales de la même manière que l'on protégerait un réseau de magasins, par exemple, mais liez-les à un circuit sécurisé que les pirates ne peuvent pas violer. Il s'agit de l'une des recommandations centrales d'un rapport complet intitulé « Online Discoverability and Vulnerabilities of ICS/SCADA Devices in the Netherlands, " basé sur des recherches menées par l'Université de Twente pour le compte du Centre de recherche et de documentation scientifique (WODC) du ministère néerlandais de la Justice et de la Sécurité.

Oubliez l'attaque terroriste classique :les nouvelles menaces d'aujourd'hui proviennent de pirates informatiques et sont dirigées contre les centrales électriques, hôpitaux, des ponts, écluses de voies navigables et réacteurs nucléaires. Dans les années récentes, toutes les grandes conférences internationales sur la cybersécurité ont dit la même chose. "Nous avons dépensé beaucoup d'argent pour la résilience numérique, mais cela ne fonctionne pas assez bien. Nous ne gagnons pas, " a déclaré Alex Dewdney, directeur de la cybersécurité pour les services de renseignement britanniques, récemment.

Les pirates

Ces inquiétudes sont-elles justifiées ? Les pirates peuvent-ils vraiment fermer des hôpitaux et des centrales électriques ? "Absolument, " dit Aiko Pras, professeur de sécurité Internet à l'Université de Twente. « Il y a eu plusieurs cas comparables ces dernières années. Vous vous souvenez de l'incident en Ukraine ? L'est du pays a été frappé par une panne d'électricité qui a touché des centaines de milliers de personnes. Les recherches ont montré que les pirates étaient responsables, peut-être de Russie."

Le gouvernement néerlandais prend également ce genre de menace au sérieux. Pras et son équipe de recherche à Twente ont remporté un appel du gouvernement néerlandais pour examiner les infrastructures vitales aux Pays-Bas.

« Tout d'abord, nous avons examiné si toute personne disposant d'un ordinateur pouvait accéder à ces types de systèmes vitaux aux Pays-Bas, dont il y en a environ un millier. Ensuite, nous avons examiné combien de ces systèmes étaient également vulnérables, c'est-à-dire quelles versions de logiciel ils exécutaient et à quel point ils étaient piratables. Nous avons découvert que 60 systèmes vitaux avaient plus d'un point faible et pouvaient être piratés. Il s'agissait pour la plupart de systèmes relativement petits utilisés à des fins de contrôle; nous ne savons pas exactement ce qu'il y avait derrière eux."

Qu'est-ce que cela signifie?

Dans leur rapport, Pras et ses collègues donnent deux interprétations de cette découverte. "Premièrement, c'est choquant. Supposons qu'un ou plusieurs de ces soixante systèmes de contrôle soient responsables de quelque chose de vraiment important, comme une porte d'écluse ou une centrale électrique ? À l'autre extrême, cependant, les soixante systèmes ont peut-être été destinés à attirer des attaquants potentiels :ils ont peut-être été des « pots de miel, " conçu pour protéger un système en attirant ses attaquants dans un piège. C'est une pratique normale dans le monde de la cybersécurité. Quoi qu'il en soit, nous partageons nos découvertes avec les propriétaires de ces infrastructures vitales."

Choix politique

Pour Pras, cependant, le résultat le plus important du rapport est de stimuler le débat politique sur la cybersécurité pour les infrastructures vitales aux Pays-Bas. "Dans notre vision, le gouvernement devrait dire :les systèmes vitaux ne devraient pas être connectés à un Internet public afin que malveillant, des pirates étrangers peuvent éventuellement entrer. Depuis quelque temps, nous avons vu que le gouvernement néerlandais a une connaissance assez faible des TIC. Seuls quelques politiciens comprennent vraiment le problème, et le processus de prise de décision est lent."

Pras plaide pour une "section d'Internet dédiée qui peut être gérée séparément". " Rien de tel n'existe encore aux Pays-Bas. Tout est uniforme, avec quelques fournisseurs différents qui traitent généralement tous leurs clients de la même manière. Une structure en réseau fermé nécessiterait d'abord qu'une décision politique soit prise, et c'est exactement le débat que nous aimerions voir catalysé par ce rapport."