PAPEETE, le 14 septembre 2014 - La TEP, qui gère la distribution électrique en Polynésie, a décidé de blinder ses procédures de sécurité informatique pour éviter que des pirates puissent mettre à mal cette infrastructure essentielle. Il en va de la sécurité de l’ensemble de l’économie du Pays.
Une entreprise qui contrôle des infrastructures vitales ne peut pas se permettre d’être laxiste avec sa sécurité. En Polynésie, la TEP (Société de Transport d’Énergie électrique en Polynésie) est l’entreprise semi-publique qui gère les lignes à haute tension qui approvisionnent nos foyers avec l’électricité généré par les barrages hydroélectriques et les centrales thermiques (comme celle de la Punaruu). Cette activité est très dépendante des nouvelles technologies : toute l’infrastructure est équipée en fibres optiques, la conduite du réseau est gérée à distance par ordinateur... Une panne serait catastrophique. Mais ce n’est même pas le pire scénario : « Un pirate pourrait, s’il parvenait à nous pirater, couper toute l’électricité de Tahiti » nous explique Thierry Trouillet, directeur général adjoint.
Car désormais, l’informatisation des grandes infrastructures les rend vulnérables aux pirates informatiques. Plusieurs affaires récentes ont mis en lumière que des compétences et un marché existent pour créer des logiciels malveillants et des stratégies d’attaques sophistiquées contre ces points stratégiques (voir encadré).
Sans préparation, il est très difficile de se prémunir d’une attaque organisée par une organisation puissante : mafia exigeant une rançon, espionnage industriel, terroristes, état rival… Aussi il est désormais primordial pour tous les opérateurs dans le monde de blinder leur sécurité informatique.
Une entreprise qui contrôle des infrastructures vitales ne peut pas se permettre d’être laxiste avec sa sécurité. En Polynésie, la TEP (Société de Transport d’Énergie électrique en Polynésie) est l’entreprise semi-publique qui gère les lignes à haute tension qui approvisionnent nos foyers avec l’électricité généré par les barrages hydroélectriques et les centrales thermiques (comme celle de la Punaruu). Cette activité est très dépendante des nouvelles technologies : toute l’infrastructure est équipée en fibres optiques, la conduite du réseau est gérée à distance par ordinateur... Une panne serait catastrophique. Mais ce n’est même pas le pire scénario : « Un pirate pourrait, s’il parvenait à nous pirater, couper toute l’électricité de Tahiti » nous explique Thierry Trouillet, directeur général adjoint.
Car désormais, l’informatisation des grandes infrastructures les rend vulnérables aux pirates informatiques. Plusieurs affaires récentes ont mis en lumière que des compétences et un marché existent pour créer des logiciels malveillants et des stratégies d’attaques sophistiquées contre ces points stratégiques (voir encadré).
Sans préparation, il est très difficile de se prémunir d’une attaque organisée par une organisation puissante : mafia exigeant une rançon, espionnage industriel, terroristes, état rival… Aussi il est désormais primordial pour tous les opérateurs dans le monde de blinder leur sécurité informatique.
Une des centrales de la vallée de Vaihiria. La TEP achemine cette électricité vers nos foyers.
La TEP veut se prémunir des hackers
La TEP s’est dotée ce mercredi 10 septembre d’une politique de sécurité des systèmes d’information. Dans la foulée, elle a organisé une grande réunion avec ses fournisseurs pour les former à leurs nouvelles obligations et les sensibiliser à la nécessité de protéger leurs informations et leurs systèmes. C’est le projet de Thierry Trouillet, selon lui c’est « tout un cheminement et un état d’esprit qu’il a fallu mettre en place pendant des années dans l’entreprise avant d’officialiser cette politique, sinon ça se servait à rien. Maintenant, nous l’avons formalisée et écrite. Il reste à la mettre en œuvre. En interne c’est bon, les employés sont bien sensibilisés, il reste l’extérieur, chez nos prestataires. »
D’où cette réunion : « Après la présentation les avis ont été très bons, ça a été une agréable surprise pour moi. Ils étaient venus avec curiosité, des femmes de ménages jusqu’aux fournisseurs les plus importants, et ils ont été intéressés. Certains de nos fournisseurs m’ont dit qu’ils y pensaient également, et nous ont qualifiés de précurseurs. »
Quatre types d’attaques
Les principales mesures de cette politique répondent à des types d’attaques bien différentes, expliqués par le P-DG adjoint :
Mots de passe non sécurisés : « Nous avons formé l’ensemble du personnel à avoir des mots de passe d’au moins 8 caractères, mélangeant nombres, chiffres et caractères spéciaux. Ils seront changés régulièrement. Le problème des mots de passe que l’on change régulièrement, c’est qu’il faut avoir des techniques mnémotechniques pour s’en souvenir car il ne faut pas les laisser trainer sur des bouts de papier. Ça peut être une phrase dont on prend les premières lettres… Chacun a sa solution. »
Ingénierie sociale : « Il s’agit pour un pirate de se faire passer pour une source sure pour infiltrer un réseau à travers les mails et la messagerie. Nous avons formé nos personnels à repérer les tentatives de phishing, les faux mails de banques qui veulent voler les mots de passe… Les gens ne sont pas toujours sensibilisés à ces attaques, et peuvent révéler des informations qui semblent anodines mais ne le sont pas. Nous leur avons aussi appris les moyens de chiffrement pour permettre à des personnes, notamment la direction, d’échanger avec des personnes extérieures sur des sujets sensibles. »
Cheval de Troie et virus : « Pour éviter de contaminer son ordinateur avec ces logiciels malveillants, nous installons des pare-feu et antivirus sur tous les serveurs, postes et messageries. Nous apprenons aux employés à ne pas ouvrir des fichiers attachés suspects… »
Attaque physique : « Pour éviter que quelqu’un viennent physiquement accéder à un PC, ils ont tous des mots de passe à la reprise et se mettent rapidement en veille. Tous les personnels auront un badge pour entrer, et les fournisseurs ont un passage obligé par l’accueil. »
La TEP est la première entreprise de Polynésie, outre les banques et quelques filiales d’entreprises nationales, à se doter d’une politique de sécurité des systèmes d’information. C’est pourquoi elle a réuni tous ses fournisseurs pour leur expliquer leurs obligations légales, les former à la protection des données et les informer sur leurs nouvelles obligations vis-à-vis de la TEP. Ils y seront liés contractuellement.
La TEP s’est dotée ce mercredi 10 septembre d’une politique de sécurité des systèmes d’information. Dans la foulée, elle a organisé une grande réunion avec ses fournisseurs pour les former à leurs nouvelles obligations et les sensibiliser à la nécessité de protéger leurs informations et leurs systèmes. C’est le projet de Thierry Trouillet, selon lui c’est « tout un cheminement et un état d’esprit qu’il a fallu mettre en place pendant des années dans l’entreprise avant d’officialiser cette politique, sinon ça se servait à rien. Maintenant, nous l’avons formalisée et écrite. Il reste à la mettre en œuvre. En interne c’est bon, les employés sont bien sensibilisés, il reste l’extérieur, chez nos prestataires. »
D’où cette réunion : « Après la présentation les avis ont été très bons, ça a été une agréable surprise pour moi. Ils étaient venus avec curiosité, des femmes de ménages jusqu’aux fournisseurs les plus importants, et ils ont été intéressés. Certains de nos fournisseurs m’ont dit qu’ils y pensaient également, et nous ont qualifiés de précurseurs. »
Quatre types d’attaques
Les principales mesures de cette politique répondent à des types d’attaques bien différentes, expliqués par le P-DG adjoint :
Mots de passe non sécurisés : « Nous avons formé l’ensemble du personnel à avoir des mots de passe d’au moins 8 caractères, mélangeant nombres, chiffres et caractères spéciaux. Ils seront changés régulièrement. Le problème des mots de passe que l’on change régulièrement, c’est qu’il faut avoir des techniques mnémotechniques pour s’en souvenir car il ne faut pas les laisser trainer sur des bouts de papier. Ça peut être une phrase dont on prend les premières lettres… Chacun a sa solution. »
Ingénierie sociale : « Il s’agit pour un pirate de se faire passer pour une source sure pour infiltrer un réseau à travers les mails et la messagerie. Nous avons formé nos personnels à repérer les tentatives de phishing, les faux mails de banques qui veulent voler les mots de passe… Les gens ne sont pas toujours sensibilisés à ces attaques, et peuvent révéler des informations qui semblent anodines mais ne le sont pas. Nous leur avons aussi appris les moyens de chiffrement pour permettre à des personnes, notamment la direction, d’échanger avec des personnes extérieures sur des sujets sensibles. »
Cheval de Troie et virus : « Pour éviter de contaminer son ordinateur avec ces logiciels malveillants, nous installons des pare-feu et antivirus sur tous les serveurs, postes et messageries. Nous apprenons aux employés à ne pas ouvrir des fichiers attachés suspects… »
Attaque physique : « Pour éviter que quelqu’un viennent physiquement accéder à un PC, ils ont tous des mots de passe à la reprise et se mettent rapidement en veille. Tous les personnels auront un badge pour entrer, et les fournisseurs ont un passage obligé par l’accueil. »
La TEP est la première entreprise de Polynésie, outre les banques et quelques filiales d’entreprises nationales, à se doter d’une politique de sécurité des systèmes d’information. C’est pourquoi elle a réuni tous ses fournisseurs pour leur expliquer leurs obligations légales, les former à la protection des données et les informer sur leurs nouvelles obligations vis-à-vis de la TEP. Ils y seront liés contractuellement.
Présentation de la nouvelle politique de sécurité aux fournisseurs de la TEP jeudi dernier
Quand le programme nucléaire iranien se faisait pirater par des agents secrets
L’exemple de piratage d’infrastructure le plus spectaculaire jusqu’à présent viendrait des services secrets américains et israéliens (jamais confirmé) qui avaient créé le virus le plus avancé qui ait été révélé au public : Stuxnet. Il a servi à infiltrer et saboter les centrifugeuses du programme nucléaire iranien, le retardant de plusieurs années. Le même virus a également été retrouvé dans 15 000 ordinateurs appartenant à des systèmes critiques en France, Allemagne, Indonésie ou en Inde…
Et ce n’est pas le seul exemple. Les serveurs de Bercy (ministère des Finances) avaient ainsi été piratés en plein G20 en 2011. En 2012, ce sont plusieurs grandes banques coréennes qui avaient laissé échapper les données bancaires de millions de clients. En début d’année 2014, plusieurs cas de piratage des feux de signalisation avaient été révélés aux États-Unis. Aucun de ces cas n’a été élucidé…
L’exemple de piratage d’infrastructure le plus spectaculaire jusqu’à présent viendrait des services secrets américains et israéliens (jamais confirmé) qui avaient créé le virus le plus avancé qui ait été révélé au public : Stuxnet. Il a servi à infiltrer et saboter les centrifugeuses du programme nucléaire iranien, le retardant de plusieurs années. Le même virus a également été retrouvé dans 15 000 ordinateurs appartenant à des systèmes critiques en France, Allemagne, Indonésie ou en Inde…
Et ce n’est pas le seul exemple. Les serveurs de Bercy (ministère des Finances) avaient ainsi été piratés en plein G20 en 2011. En 2012, ce sont plusieurs grandes banques coréennes qui avaient laissé échapper les données bancaires de millions de clients. En début d’année 2014, plusieurs cas de piratage des feux de signalisation avaient été révélés aux États-Unis. Aucun de ces cas n’a été élucidé…
