Sécurité informatique : Protégez votre installation : un « jeu sérieux » sur la cybersécurité des systèmes de contrôle

La cybersécurité des systèmes de contrôle retient de plus en plus l'attention, qu’il s’agisse des cybercriminels, des médias ou des chercheurs en sécurité.

 

Après les attaques légendaires « Stuxnet » de 2010 contre une usine d'enrichissement d'uranium iranienne, l'infiltration de Saudi Aramco en 2012, et les attaques les plus récentes des hauts fourneaux allemands, nous devons nous être prévoyants. Imaginez ce qui se passerait si des pirates pouvaient éteindre la lumière à Genève et dans le Pays de Gex pendant un mois (lire l’article « Pirater les systèmes de contrôle, éteindre les lumières ! »). Ou encore, si des attaquants réussissaient à infiltrer l'accélérateur ou les systèmes de contrôle du CERN et à nous empêcher de poursuivre nos activités centrales : délivrer des faisceaux et enregistrer des collisions de particules (lire l’article « Pirater les systèmes de contrôle, éteindre... les accélérateurs »).



Relevez le défi en protégeant une installation industrielle contre les cyber-menaces ! L'équipe de sécurité informatique, en collaboration avec Kaspersky Lab, organise un « jeu sérieux ». Ce jeu s’adresse aux spécialistes des systèmes de contrôle et sécurité, aux personnes du secteur IT et aux supérieurs hiérarchiques, dans le but de les sensibiliser davantage aux risques et problèmes de sécurité liés au fonctionnement des systèmes de contrôle modernes. Chacune des équipes en compétition, composée de 4 à 6 personnes, est chargée de gérer une usine de purification de l'eau de la manière la plus efficace possible. Cette usine se compose de deux lignes de filtration indépendantes contrôlées par des PLC, des HMI, des stations d'ingénierie et un historique des données. Au cours des cinq tours du jeu, ces deux lignes de filtration génèrent des revenus, mais les équipes doivent faire face à des cyber-attaques susceptibles d’avoir des effets sur la performance de l'usine. Pour se défendre, chaque équipe doit prendre des décisions stratégiques, techniques et de gestion afin de protéger son usine tout en tenant compte de ses contraintes opérationnelles et en maintenant un niveau élevé de revenus.



Ce jeu simplifie bien sûr de nombreux aspects de la gestion des systèmes complexes de contrôle. Cela dit, après avoir joué au jeu, vous devriez être en mesure de mieux comprendre :

  • pourquoi une sensibilisation fondamentale à la cyber-sécurité est utile pour remplir la mission du CERN ;


  • pourquoi le réseau technique et le réseau des expériences doivent être distincts du réseau des bureaux du CERN ;


  • pourquoi la protection des PLC et autres dispositifs embarqués est un impératif ;


  • pourquoi les changements réguliers de mots de passe, en particulier ceux utilisés pour les comptes de service, sont essentiels ;


  • pourquoi il est important de garder les PC de contrôle à jour; et

  • 
quels sont les avantages des logiciels anti-virus (entre autres).


     

Et, bien sûr, jouer avec d’autres dans une compétition informelle est amusant : c’est l'équipe qui aura généré le plus de revenus et qui aura le mieux sécurisé son usine qui l’emportera !



Ce jeu a été créé par Kaspersky Labs, une entreprise de sécurité de renom, qui l’animera dans un mode interactif à l’aide d’un tapis de jeu simulant l'usine (voir l’image ci-dessous) ainsi que d’iPads pour les nouvelles annonces et pour la comptabilité des recettes et dépenses (on trouvera un descriptif ici). Le jeu sera hébergé au CERN, au « Pump Hall » (bâtiment 216) et aura lieu le mardi 3 février 2015, de 16 h à 18 h. Saisissez cette occasion unique ! Inscrivez-vous ici. Les places étant limitées, les experts en systèmes de contrôle et de sécurité, les techniciens et les ingénieurs seront prioritaires.


Crédit image : Kaspersky


N'hésitez pas à contacter l'équipe de sécurité informatique
ou à consulter notre site web.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).


Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Stefan Lueders, Computer Security Team