Brisbane, capitale du Queensland et deuxième ville d'Australe, accueillera en novembre 2014 le prochain sommet du G20
avec l'obligation de réussir un événement doublement
médiatique et politique, sans anicroche sécuritaire (manifestations,
incidents techniques, attaque terroriste).
C'est dans ce cadre que le Queensland audit office (QAO)(1) vient de remettre au parlement Australien un rapport sobrement intitulé "Traffic management systems" (2). A première vue ce pourrait être un énième rapport traitant de cybersécurité et de systèmes industriels. A première vue seulement car, en réalité, ce rapport aborde la sûreté (3) des Intelligent Transport Systems (ITS)(4) sur deux axes : un axe technique assorti de recommandations et un axe économique s'interrogeant sur la pertinence de conserver deux ITS opérés à deux niveaux pour la seule ville de Brisbane.
Concernant la partie technique, le QAO a conduit des audits et des tests de pénétration sur les deux ITS, l'un opéré au niveau national par le département des transports (5), l'autre de niveau local sous responsabilité de la ville de Brisbane (6). Audits et tests ont évidemment démontré la vulnérabilité des ITS et la possibilité qu'ils fassent l'objet d'attaques ciblées. Le rapport comprend plusieurs recommandations suffisamment génériques pour être déclinées sur d'autres infrastructures critiques comme l'énergie, l'eau ou le transport ferroviaire. Parmi celles-ci, toutes acceptées par le TMR et le BCC, citons la réalisation de cycles d'audits réguliers, la mise en place de sessions de sensibilisation pour les cadres, l'utilisation des bonnes pratiques et des standards, la revue des droits et des permissions d'accès (7) et enfin l'établissement de PCA/PRA (8).
Au-delà de la transparence affichée, rare pour le contexte, l'autre côté frappant du document est l'analyse du rapport coûts/efficacité. A partir de plusieurs tableaux reprenant les coûts, les avantages et les inconvénients d'une seule et même infrastructure critique (la gestion du trafic routier) opérée par deux systèmes et deux opérateurs différents. Tout en se voulant le plus neutre et diplomatiquement acceptable, la conclusion et que les deux entités devraient (devront ?) dorénavant travailler de concert et étudier toutes les stratégies de long-terme. Insistant sur l'impact sans doute positif d'une meilleure gestion de la congestion actuelle et à venir du trafic urbain de Brisbane, la nécessité de réduire la complexité (9) donc la surface d'attaque apparait également comme un élément de premier plan à prendre en compte par les autorités.
Le simple fait d'aller au-delà de l'unique vision du "coût total de possession" (10) relève soit d'un procédé soit d'une évolution notable où la cybersécurité serait en train de devenir un levier d'amélioration et un gage d'efficience. Il est alors possible qu'une tendance naissante apparaisse enfin, combinant l'obligation d'améliorer l'efficacité de l'investissement public, tant à l'échelle nationale que sur le plan local, avec la nécessité de rendre les infrastructures vitales plus sûres.
(1) Le bureau d'audit du Queensland a pour rôle de "fournir les services d'audits indépendants et les rapports au Parlement pour améliorer les responsabilité du secteur public"
(2) Systèmes de gestion du trafic routier
(3) Ou security en anglais signifiant "un état sûr du système" autant vis à vis des défaillances accidentelles que des actes malveillants délibérés comme des cyberattaques
(4) Systèmes de transports intelligents c'est à dire l'ensemble systèmes d'information / systèmes industriels autrement appelés SCADA utilisés dans le secteur des transports
C'est dans ce cadre que le Queensland audit office (QAO)(1) vient de remettre au parlement Australien un rapport sobrement intitulé "Traffic management systems" (2). A première vue ce pourrait être un énième rapport traitant de cybersécurité et de systèmes industriels. A première vue seulement car, en réalité, ce rapport aborde la sûreté (3) des Intelligent Transport Systems (ITS)(4) sur deux axes : un axe technique assorti de recommandations et un axe économique s'interrogeant sur la pertinence de conserver deux ITS opérés à deux niveaux pour la seule ville de Brisbane.
Concernant la partie technique, le QAO a conduit des audits et des tests de pénétration sur les deux ITS, l'un opéré au niveau national par le département des transports (5), l'autre de niveau local sous responsabilité de la ville de Brisbane (6). Audits et tests ont évidemment démontré la vulnérabilité des ITS et la possibilité qu'ils fassent l'objet d'attaques ciblées. Le rapport comprend plusieurs recommandations suffisamment génériques pour être déclinées sur d'autres infrastructures critiques comme l'énergie, l'eau ou le transport ferroviaire. Parmi celles-ci, toutes acceptées par le TMR et le BCC, citons la réalisation de cycles d'audits réguliers, la mise en place de sessions de sensibilisation pour les cadres, l'utilisation des bonnes pratiques et des standards, la revue des droits et des permissions d'accès (7) et enfin l'établissement de PCA/PRA (8).
Au-delà de la transparence affichée, rare pour le contexte, l'autre côté frappant du document est l'analyse du rapport coûts/efficacité. A partir de plusieurs tableaux reprenant les coûts, les avantages et les inconvénients d'une seule et même infrastructure critique (la gestion du trafic routier) opérée par deux systèmes et deux opérateurs différents. Tout en se voulant le plus neutre et diplomatiquement acceptable, la conclusion et que les deux entités devraient (devront ?) dorénavant travailler de concert et étudier toutes les stratégies de long-terme. Insistant sur l'impact sans doute positif d'une meilleure gestion de la congestion actuelle et à venir du trafic urbain de Brisbane, la nécessité de réduire la complexité (9) donc la surface d'attaque apparait également comme un élément de premier plan à prendre en compte par les autorités.
Le simple fait d'aller au-delà de l'unique vision du "coût total de possession" (10) relève soit d'un procédé soit d'une évolution notable où la cybersécurité serait en train de devenir un levier d'amélioration et un gage d'efficience. Il est alors possible qu'une tendance naissante apparaisse enfin, combinant l'obligation d'améliorer l'efficacité de l'investissement public, tant à l'échelle nationale que sur le plan local, avec la nécessité de rendre les infrastructures vitales plus sûres.
(1) Le bureau d'audit du Queensland a pour rôle de "fournir les services d'audits indépendants et les rapports au Parlement pour améliorer les responsabilité du secteur public"
(2) Systèmes de gestion du trafic routier
(3) Ou security en anglais signifiant "un état sûr du système" autant vis à vis des défaillances accidentelles que des actes malveillants délibérés comme des cyberattaques
(4) Systèmes de transports intelligents c'est à dire l'ensemble systèmes d'information / systèmes industriels autrement appelés SCADA utilisés dans le secteur des transports
(5) The Department of Transport and Main Roads (TMR)
(6) Brisbane City Council (BCC)
(7) Physiques et logiques
(8) Plan de Continuité d'Activité / Plan de Reprise d'Activité
(9) complexité induite par l'utilisation de plusieurs systèmes industriels interagissant avec plusieurs systèmes d'information
(10) Total cost of ownership
(6) Brisbane City Council (BCC)
(7) Physiques et logiques
(8) Plan de Continuité d'Activité / Plan de Reprise d'Activité
(9) complexité induite par l'utilisation de plusieurs systèmes industriels interagissant avec plusieurs systèmes d'information
(10) Total cost of ownership
Aucun commentaire:
Enregistrer un commentaire