Le livre blanc de l'Agence européenne de cyber sécurité dispense de recommandations pour la prévention et l'élaboration de réponses face aux incidents et aux cyber-attaques Depuis un certain temps, la forte augmentation du nombre d'incidents touchant les systèmes de contrôle industriels (SCI)/systèmes Scada a soulevé des interrogations quant aux capacités de certains organismes à répondre aux incidents critiques et à les analyser. L'Agence européenne de cyber sécurité a souligné, à travers la publication d'un livre blanc, «qu'il est nécessaire de mettre en place un environnement d'apprentissage proactif dans ce domaine». Il est à noter que les systèmes de contrôle sont très largement répandus et visent à contrôler les processus de fabrication, de production et de distribution des produits industriels. Les logiciels usités à cet effet sont souvent commerciaux et obsolètes. Les systèmes de télésurveillance et acquisition de données, (supervisory control and data acquisition-Scada), une sous-catégorie des SCI, sont l'un des types de logiciels les plus connus. Les incidents ayant récemment touché les SCI et les systèmes Scada révèlent l'importance d'une bonne gouvernance et d'un contrôle efficace des infrastructures Scada. L'Agence souligne notamment que «la capacité à répondre aux incidents critiques, mais aussi à analyser les conséquences d'une cyber-attaque afin d'en tirer des leçons, sont un point crucial». Une prévention ainsi qu'une analyse post-incident permettent de comprendre plus en détail le problème. L'analyse permettrait donc de s'appuyer sur des preuves solides pour pouvoir répondre à la nature changeante des menaces domestiques et extérieures. Elle contribue également à assurer une formation suffisamment efficiente afin de construire des systèmes résistants. L'Agence précise par ailleurs, qu'afin de créer cet environnement d'apprentissage proactif permettant de répondre aux cyber-attaques et d'effectuer des analyses post-incidents judicieuses, quatre points-clés ont été identifiés. Il s'agit en premier lieu de renforcer les compétences actuelles grâce à une expertise provenant de l'analyse post-incident et comprendre les chevauchements entre les équipes en charge des incidents critiques cybernétiques et celles en charge des incidents critiques physiques. Egalement, faciliter l'intégration des processus de réponse cybernétiques et physiques par une meilleure compréhension de l'origine potentielle des preuves numériques et des moyens appropriés pour les préserver. Autre point important, programmer et configurer des systèmes permettant de garder en mémoire les preuves numériques et encourager les efforts de coopération inter-organisationnels et interétatiques. M. Udo Helmbrechte, directeur exécutif de l'Agence européenne de cyber sécurité, a formulé que «les systèmes Scada sont souvent implantés dans des secteurs faisant partie des infrastructures critiques d'un Etat, comme par exemple les infrastructures de contrôle de la distribution et des transports, les transformant en cible privilégiée pour de potentielles attaques toujours plus nombreuses et perpétrées par des individus mal intentionnés, des groupes dissidents et même des Etats étrangers. De tels systèmes devraient être examinés de façon à permettre la collecte et l'analyse des preuves numériques et l'identification des causes liées aux failles de sécurité». Plus simplement Les programmes Scada sont employés dans des applications de commande de processus industriel pour la surveillance et l'enregistrement centralisés des pompes, niveaux de réservoir, commutateurs, systèmes des températures... D'une manière plus simple, Scada est désigné également sous le nom de HMI (interfaces homme-machine). Un programme Scada fonctionne sur un PC et communique avec les dispositifs externes d'instrumentation et de commande. Les méthodes de communications peuvent être par l'intermédiaire de liens périodiques directs, de radio, de modem, de «fieldbus» ou de liens d'Ethernet. Scada est employé souvent sur les systèmes d'acquisition de données à distance où les données sont regardées et enregistrées centralement. Le programme de Scada a une base de données configurée par utilisateur qui indique le logiciel au sujet de l'instrumentation reliée et quels paramètres dans les instruments doivent être accédés. La base de données peut également tenir l'information sur combien de fois les paramètres des instruments sont accédés et si un paramètre est seulement une valeur lue (par exemple une valeur mesurée) ou lecture/écriture, permettant à l'opérateur de changer une valeur (par exemple un setpoint d'alarme). Les paramètres de l'instrument accédé sont normalement dédoublés entre l'analogue (numérique) ou le logique (numérique). En courant, le logiciel de Scada met à jour sans interruption sa propre base de données avec les dernières valeurs analogues et numériques rassemblées de l'instrumentation. Des systèmes d'un certain Scada permettent également à des calculs en temps réel d'être effectués sur les données reçues et les résultats seraient disponibles comme valeur «virtuelle».