Du 19 au 23 septembre 2022, un hackathon consacré aux systèmes de contrôle industriels a été organisé à Thoune, fruit d’une collaboration entre le Cyber-Defence (CYD) Campus et le bataillon cyber 42. Parmi la trentaine de participants figuraient des chercheurs du CYD Campus et de l’Armée suisse, des collaborateurs du NCSC et de Swissgrid, des soldats du bataillon cyber 42, des étudiants de la haute école de Lucerne, de l’EPF Zurich et de l’université de la Ruhr à Bochum (Allemagne), ainsi que des experts de l’économie privée, à l’instar des sociétés ALSEC Cyber Security Consulting et Nozomi Networks. Les participants étaient répartis au sein d’équipes pluridisciplinaires chargées d’explorer divers aspects des systèmes de contrôle industriels, ce qui leur a permis d’analyser les vulnérabilités de manière ciblée et d’étudier différents vecteurs d’attaque. Le travail en petits groupes a en outre favorisé les échanges et l’efficacité. À travers ce hackathon, le CYD Campus poursuivait trois objectifs : développer les connaissances du DDPS dans ce domaine crucial, mettre en relation des experts de l’industrie, des hautes écoles et de l’administration publique, et soutenir les jeunes talents qui souhaitent approfondir leur expertise en la matière.

Risques élevés pour la sécurité des systèmes de contrôle industriels

Combinaison de « hacking » et « marathon », « hackathon » désigne un événement collaboratif visant à développer des logiciels ou du matériel informatique. Les hackathons traitent un sujet ou une technologie spécifique dans le but de trouver des solutions communes à des problèmes urgents.

Cette année, le hackathon du CYD Campus était consacré aux attaques et mesures de défense en lien avec les systèmes de contrôle industriels et les technologies opérationnelles (OT). Les systèmes de contrôle industriels se composent de matériel et de logiciels informatiques servant à commander, surveiller et exploiter des installations, machines et processus dans des environnements industriels. Les ICS sont un élément essentiel des OT et doivent donc répondre à des exigences particulières en matière de sécurité, de fiabilité et de disponibilité. Ils contrôlent les processus de production industriels et sont fréquemment employés dans les infrastructures critiques, notamment l’approvisionnement en énergie et en eau, l’extraction de pétrole, de gaz et de charbon, ou encore le transport et la circulation. Les systèmes de contrôle prennent souvent la forme de systèmes SCADA ou de systèmes de contrôle-commande (DCS). L’édition 2022 du hackathon s’est concentrée sur les ICS dans les systèmes énergétiques.

Mais en quoi les systèmes de contrôle industriels sont-ils un sujet particulièrement pertinent pour un hackathon dans le domaine de la cyberdéfense ? Les raisons sont multiples : pour commencer, on les retrouve dans de nombreux systèmes critiques pour l’approvisionnement du pays. Ils sont donc très intéressants aux yeux des attaquants, et de ce fait, soumis à un risque particulier. Contrairement à un système d’information, les ICS contrôlent des processus physiques. Une attaque contre le système peut ainsi avoir des répercussions physiques sur l’environnement, provoquant des dommages considérables. Une cyberattaque contre une station de pompage peut par exemple interrompre l’approvisionnement en électricité et avoir des conséquences graves pour l’opérateur du réseau et ses clients. Un tel incident a le potentiel d’exacerber les difficultés actuelles en lien avec l’énergie. Ces systèmes de contrôle ont par ailleurs une durée de vie importante et sont rarement entretenus ou mis à jour. Traditionnellement, ils n’étaient pas mis en réseau pour des raisons de sécurité. Mais la numérisation, l’Internet des objets et les mesures de modernisation sont passés par là, et même ces systèmes anciens et complexes à mettre à jour sont de plus en plus interconnectés. Cette mise en réseau et cette fusion avec des systèmes informatiques agrandit la surface d’attaque, et des installations autrefois sûres peuvent désormais ouvrir grand la porte à l’espionnage et au sabotage.

Les laboratoires : une nécessité pour tester les vulnérabilités

Il est plus simple de contrôler les vulnérabilités des systèmes informatiques, puisque les dommages potentiels ne sont pas aussi importants. Les ICS sont en effet coûteux et ont un cycle de vie beaucoup plus long. Des laboratoires sont malgré tout nécessaires pour tester les vulnérabilités et simuler des attaques. Ils conviennent aussi particulièrement bien à la formation et à l’entraînement. Le Cyber-Defence Campus a donc fourni deux laboratoires dans le cadre du hackathon, permettant chacun de simuler un système de contrôle industriel. Les participants ont ainsi pu identifier différents vecteurs d’attaque contre des ICS et lancer leurs propres attaques en laboratoire.

Un nouveau laboratoire ICS a été mis en service cette année au CYD Campus de Thoune. Il s’agit d’une représentation d’une centrale à pompage-turbinage. Le système de contrôle industriel gère des fonctions comme la mesure du niveau d’eau ou le fonctionnement des vannes et pompes. Les participants sont notamment parvenus à manipuler le capteur de débordement de sorte à faire s’écouler l’eau librement, sans que le système ne puisse le détecter. Un attaquant pourrait donc aisément s’en prendre à de tels dispositifs ICS en s’introduisant dans le réseau auquel ils sont reliés. Ce laboratoire est utilisé pour développer les talents ainsi que dans le cadre d’autres recherches sur la cyberdéfense des ICS.

Utilisé à des fins de recherche et de formation, le Krinflab a été fourni par la haute école de Lucerne pour les besoins du hackathon. Ce laboratoire représente une sous-station énergétique suisse fictive, avec son poste de commande et six postes secondaires. Ce système présente plusieurs vecteurs d’attaques potentiels. Parmi les plus fréquemment employés figurent la connexion à l’informatique de l’entreprise ainsi que les accès de télémaintenance mal sécurisés. Cependant, les ordinateurs d’entretien et de test piratés ou infectés, de même que les postes de commande et de couplage constituent aussi des points d’entrée potentiels. Ce laboratoire doit permettre de décider de la marche à suivre, tant du point de vue de l’attaquant que de celui du défenseur, et ainsi élaborer des stratégies d’attaque et des mesures de défense.

Participants et organisateurs ont qualifié cette nouvelle édition du hackathon de franc succès.

Les participants ont apprécié la possibilité d’approfondir ce sujet pendant toute une semaine, qui fut riche en enseignements. Ils ont par ailleurs tiré parti de leurs échanges avec d’autres experts de différents domaines. La plupart des participants possédant une solide expérience en informatique, ils se sont félicités de cette opportunité d’étendre leurs connaissances au monde des technologies opérationnelles.

Le Cyber-Defence Campus va désormais analyser les résultats du hackathon et étudier certains aspects plus en détail. Ses constats seront en outre présentés de sorte de pouvoir être utilisés de manière optimale au sein du DDPS. Certaines conclusions seront rendues publiques sous forme de publications à une date ultérieure.