Hack.lu 2011 - Security Problems in operational navy systems, Industrial point of view
Security Problems in operational navy systems, Industrial point of view
par Patrick Hebrard & Laurent Comte (DCNS)
Une présentation des problématiques de sécurité sur les navires de combat. Leur approche se base sur une analyse de risque. On a le droit a une jolie vidéo de présentation très dynamique, montrant une frégate nouvelle génération avec tout plein de systèmes de combat et de schémas techniques, d’images de synthèse.
Bon ce sont des engins bourrés d’électronique et d’informatique (forcément), et tout ces systèmes doivent communiquer entre eux. Ces systèmes automatiques sont classés en deux catégories, les systèmes de combat, et les systèmes de navigation. Ces systèmes interconnectent des serveurs, des systèmes d’armes etc… et ils disposent de liaisons vers des réseaux externes. La plupart des composants existent aussi dans le civil (linux, windows, SCADA, Wifi !).
En plus de la sécurité, il faut que les systèmes encaissent les vibrations, la brume, le sel, l’humidité…
Afin de réduire les couts, la plupart des composants sont issus du monde civil, et souffrent donc des mêmes problématiques que nos SI traditionnels. En plus ils ramènent des vulnérabilités connues qu’il faut gérer 🙁
L’orateur nous déroule son analyse de risque gros grain, indiquant qu’en gros, n’importe quel malware peut mettre à mal le système s’il n’est pas pris en compte dans les mécanismes de sécurité. Ils sont rentrés dans une analyse critère communs. Le niveau demandé sur l’ensemble est souvent inferieur à celui des composants critiques. On nous présente un joli process avec plein de traits partout disant qu’en gros la sécurité est prise en compte au début du projet (zzZzzZZ).
La sécurité est implémentée à grand coup de politiques de sécurité et d’ACL. L’architecture est multi-niveaux pour isoler physiquement. L’AV ne peut pas tourner en permanance pour des questions de performance (doh!), et tourne donc la nuit, etc.. etc… on ajoute à ça une bonne dose de sécurité physique et voila ! pour eux la sécurité n’est pas une option mais un MUST (sans déconner ? yen a qui ont ça en option 😉 ).