Hackathon du Cyber-Defence Campus sur la forensique dans les systèmes énergétiques

Le hackathon a réuni plus de 35 cyberexperts issus du monde académique, du secteur privé et de l’administration. Les objectifs étaient de promouvoir l’échange de connaissances au sein de la cybercommunauté, d’identifier les vulnérabilités des systèmes de contrôle industriels et de développer des contre-mesures efficaces.

Du 11 au 14 septembre 2023 a eu lieu à Thoune l'Industrial Control Systems (ICS) hackathon organisé par le Cyber-Defence Campus en collaboration avec la Haute école de Lucerne. Parmi les plus de 35 participants figuraient des chercheurs du CYD Campus et de l’Armée suisse, des collaborateurs d'entreprise d'approvisionnement en énergie comme EWS AG Schwyz, des soldats du bataillon cyber 42, des étudiants de diverses hautes écoles, des experts du secteur privé, d’OMICRON electronics GmbH, de Nozomi Networks, des CFF, de Hitachi Energy et d’ALSEC Cyber Security Consulting.

Le hackathon avait pour thème la forensique et la détection des attaques dans les infrastructures critiques, comme les systèmes énergétiques. Le cas suivant a été examiné de plus près : un système de détection des attaques a identifié certains indicateurs d’une cyberattaque potentielle, mais n’a pas pu confirmer l’imminence de l’attaque avec une certitude absolue.

Dans de tels cas, il est indispensable d’examiner le système en profondeur. La question est la suivante : s’agit-il vraiment d’une attaque nécessitant des contre-mesures immédiates ? Ou pourrait-il s'agir d'une fausse alerte ? C’est là qu’intervient la nouvelle approche forensique testée lors du hackathon. Elle se distingue des approches forensiques classiques par le fait qu'elle met l'accent sur le système à analyser et qu’il faut soit prouver que le système est propre, soit prouver qu’il y a eu une attaque. Dans l'approche classique, la conservation des preuves passe au premier plan, alors qu'ici la disponibilité est très importante. On tient également compte des particularités du système de commande ainsi que des exigences élevées en matière de disponibilité du réseau électrique suisse, car d'une part les systèmes doivent rester disponibles et d’autre part, le système est normalisé selon une standardisation élevée.

Déroulement du hackathon

Pour organiser le hackathon de manière pratique, deux laboratoires ont été utilisés. D’une part, la centrale de pompage-turbinage du Cyber-Defence Campus. Celle-ci dispose de plusieurs bassins reliés par des systèmes de conduites et de pompes et gérés par un système de contrôle industriel. La centrale de pompage-turbinage possède des fonctions permettant de mesurer le niveau d’eau ou d’actionner des vannes et des pompes pour produire de l’électricité. D’autre part, le « Krinflab » de la Haute école de Lucerne a été utilisé. Celui-ci représente une sous-station suisse fictive avec son poste de commande et six postes secondaires et utilise des dispositifs qui sont également utilisés dans la réalité.

Pour présenter le processus forensique, une formation cyber sur le thème « Forensique numérique » a été organisé sous la direction de Hannes Spichiger et de Sebastian Obermeier, tous deux de la Haute école de Lucerne (HSLU). Les participants ont pu acquérir des connaissances ciblées et les mettre directement en pratique dans le cadre d’exercices pratiques. En parallèle, tous les participants ont également pu travailler de manière autonome dans les laboratoires et réaliser des expériences.

Résultats des tests

Les résultats techniques suivants ont été obtenus :

Détection de vulnérabilités matérielles :
Les participants ont étudié le matériel du Krinflab et ont pu y découvrir des vulnérabilités, comme le firmware non protégé sur des cartes CompactFlash ou des accès non sécurisés à l’appareil. Ces découvertes sont d’une grande importance, car elles représentent des portes d’entrée potentielles pour des cyberattaques. Dans un souci de divulgation responsable, les fabricants de ces appareils ont été immédiatement informés de ces vulnérabilités.

Confirmation de l’applicabilité des approches forensiques :
L’applicabilité des approches forensiques aux systèmes énergétiques a également été confirmée. Cela permet une investigation plus précise des incidents de sécurité et constitue un pas décisif vers une cyberdéfense plus efficace. Cependant, des limites ont été mises en lumière ; elles inspireront la recherche et le développement futurs.

Et ensuite ?

Le Cyber-Defence Campus et la HSLU analyseront les résultats du hackathon et les mettront ultérieurement à la disposition du grand public sous forme de publications.

Le projet « Cyber Training » a été initié par Viola Amherd, dans le cadre de la Stratégie cyber en réponse à l’évolution constante des exigences et à la complexité croissante de la cybersécurité au niveau national. L’objectif est de proposer des exercices techniques et stratégiques aux autorités disposant d’infrastructures critiques d’importance nationale et aux hautes écoles. Les formats d’exercices interdisciplinaires prévus sont axés sur le développement de mécanismes et de processus décisionnels d’application générale pour faire face aux cyberattaques.