Dans le précédent Bulletin, nous avons décrit les lacunes présentes, aujourd’hui comme il y a 20 ans, dans la cybersécurité des systèmes de contrôle. Nous allons voir que les risques qui en découlent ne sont pas négligeables.
Voilà longtemps que les experts s’attendaient à un incident majeur touchant les systèmes de contrôle ; le premier évènement largement médiatisé de ce genre a été l’attaque Stuxnet de 2010 contre le programme nucléaire iranien, apparemment menée par des services secrets. Une clé USB contenant un logiciel malveillant a été introduite dans l’usine d’enrichissement d’uranium à Natanz, en Iran, puis a intercepté le trafic d’un API Siemens de la série 300, et a manipulé son programme de façon à ce que les centrifugeuses tournent à des vitesses variables, ce qui a provoqué une usure, alors que l’interface homme-machine indiquait aux opérateurs que les vitesses de rotation restaient constantes, à leur valeur nominale. Cet incident a marqué un tournant décisif : le logiciel malveillant Stuxnet et ses variantes ont commencé à infecter des systèmes de contrôle dans le monde entier, provoquant des dégâts plus ou moins importants.
Un autre incident majeur a touché à la fois le système informatique, le logiciel de gestion d’expéditions et les systèmes de contrôle maritime de la société de logistique Maersk. Cette dernière a été compromise par le rançongiciel Not Petya, qui s’est propagé en cascade d’un système bureautique à un autre, perturbant ainsi les opérations mondiales de l’une des plus grandes compagnies maritimes au monde, mais causant également des dommages d’un montant de plus de 300 millions de dollars des États-Unis. Des événements politiques mondiaux plus récents ont montré l’impact d’une rupture des chaînes d’approvisionnement sur l’économie mondiale.
Ce dernier incident montre combien notre vie quotidienne repose sur les systèmes de contrôle. Ceux des accélérateurs et des grandes expériences de physique ne sont pas non plus à l’abri de tels scénarios catastrophes, ni d’incidents plus légers. De nombreuses universités et instituts à travers le monde ont été victimes de cyberattaques menées au moyen de rançongiciels par des groupes de cybercriminels au cours de la dernière décennie. Parmi eux, le groupe Vice Society a notamment visé le secteur de la recherche et de l’enseignement. Des centaines d’universités et leurs infrastructures informatiques ont été victimes de ses attaques. Services de centres de données, systèmes de stockage, infrastructures réseau, ainsi que postes de travail et ordinateurs portables sont tombés en panne et ont dû être complètement réinitialisés. Le centre de recherches Helmholtz Zentrum (HZB) à Berlin, en Allemagne, constitue un autre triste exemple : son infrastructure informatique a été bloquée pendant plus d’un an, l’accélérateur BESSY II a été à l’arrêt pendant six mois, et les chercheurs et doctorants étaient condamnés à attendre de nouvelles données.
Un an plus tôt, en 2022, le complexe du téléscope ALMA, situé dans le désert d’Atacama, au Chili, a connu un sort similaire. Ses systèmes de contrôle, compromis par un rançongiciel, ont contraint la recherche et les opérations à rester à l’arrêt dans l’attente d’une réinstallation, entraînant des pertes estimées à 250 000 dollars des États-Unis par jour.
Une convergence entre les technologies opérationnelles et les technologies de l’information
En dépit de tous ces incidents, les systèmes de contrôle ont adopté les technologies informatiques modernes plus que jamais auparavant. Comme cela avait déjà été prédit en 2005, non seulement les serveurs web sont désormais complètement intégrés au fonctionnement des systèmes de contrôle et de sécurité, mais les machines virtuelles et la conteneurisation ont également fait leur apparition dans les installations d’accélérateurs et d’expériences. Un rapide coup d'œil au programme de la conférence ICALEPCS de cette année révèle qu’aujourd’hui, les processus de développement et de déploiement des systèmes de contrôle des accélérateurs et des expériences incorporent des cadres modernes d’intégration et de déploiement continus (tels que GitLab CI/CD), importent automatiquement des bibliothèques et des paquets logiciels depuis Internet (via PyPI et NPM) ou déplacent partiellement, voire totalement, les systèmes de contrôle vers le nuage. Pour s’adapter aux avancées récentes, l’apprentissage automatique et l’analyse des mégadonnées ont été adoptés, par exemple pour la maintenance prédictive, tandis que l’intelligence artificielle et les grands modèles de langage font l’objet d’un entraînement afin de permettre prochainement un fonctionnement entièrement autonome des accélérateurs, actuels et futurs, et de la collecte de données des expériences.
Cependant, ces changements ne prennent pas en compte les risques liés à la cybersécurité et négligent souvent les conséquences potentielles d’une cyberattaque. Quelles sont les mesures à prendre ? Vous aurez la réponse dans le prochain numéro du Bulletin.
Cet article est une version abrégée de l’article paru dans les actes de l’édition 2025 de la conférence ICALEPCS.
________
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse suivante : Computer.Security@cern.ch.