Publicité en cours de chargement...
Les systèmes Scada, cauchemar du RSSI hospitalier – Volet 1
Un système Scada (Supervisory Control and Data Acquisition) est un équipement, ou groupe d’équipements, dédié au contrôle et à la supervision d’un processus industriel, par opposition à l’informatique dite « de gestion » (terme au demeurant assez large qui englobe, au vu de cette dichotomie, à la fois les progiciels purement administratifs, telles la paye, la comptabilité ou la GEF, que les progiciels cœur de métier, tel le DPI dans un établissement de santé).
Les systèmes Scada sont très vastes en termes de catégorie : on y range traditionnellement les équipements de supervision du réseau électrique, de la protection incendie, du système de contrôle d’intrusion, etc. Mais, par extension, on y trouve aussi des équipements plus spécifiques aux métiers tels que les consoles de supervision des modalités d’imagerie lourde (scanner, IRM – la classification Scada est certes discutable), les équipements d’analyse dans les laboratoires de biologie, les systèmes de supervision de la chaîne de stérilisation ou des températures des enceintes réfrigérées, etc. L’ouvrage Informatique de santé[1] distingue trois grandes familles : imagerie, biologie et « Divers », cette dernière catégorie étant elle-même subdivisée en sept sous-catégories : flux physiques, supervision/surveillance, communication, production de soins, fonctions support, terminaux patients et IoT. La classification est bien entendu discutable, mais il est clair que les systèmes Scada interagissent à un moment donné avec un équipement physique spécifique, qui ne peut pas être considéré comme un « simple » PC (même si au final on y trouve un OS, des interfaces, etc.).
Parmi les différentes générations de systèmes Scada (voir à ce sujet l’excellent article[2] du site factoryfuture.fr), nous pouvons en retenir au moins trois :
– Première génération : les systèmes isolés et autonomes ; il s’agit de systèmes qui fonctionnent sans aucun lien avec le monde extérieur : si l’opérateur ne se trouve pas physiquement devant la machine quand l’alarme se déclenche, l’alerte n’est pas connue ; typiquement, un monitoring au chevet d’un patient ;
– Deuxième génération : la mise en réseau « propriétaire » des systèmes Scada ; pour reprendre le cas du monitoring, il s’agit de la mise en réseau « propriétaire » de l’ensemble des systèmes de monitorage d’un étage ou d’un service, avec un report d’alarmes dans le bureau du personnel soignant ;
– Troisième génération, en cours de déploiement : l’utilisation des réseaux IP en lieu et place des anciens réseaux propriétaires.
Tant que ces systèmes étaient isolés à la fois du LAN mais aussi d’Internet, les experts de ce domaine vivaient une vie totalement parallèle à celle de la DSI, sans jamais se croiser. D’une part, les fabricants de ces systèmes utilisent maintenant des composants informatiques « classiques » pour des raisons évidentes de coût de production : OS, interface IP, etc. : la frontière entre les deux mondes a désormais tendance à s’estomper, pour le meilleur comme pour le pire. D’autre part, l’évolution du contexte cyber fait que les systèmes Scada sont devenus des cibles au même titre que les autres équipements de l’IT, voire même davantage, et ce pour quatre raisons majeures :
a) Les cycles de vie
Les systèmes Scada ont des cycles de vie (conception, maintenance, fin de support, mise au rebut) sans commune mesure avec l’informatique « classique » : il n’est pas rare de trouver des équipements de TPO (Transport de petits objets, type valisettes, balancelles ou pneumatiques) qui ont 10 ans, 15 ans d’âge, voire plus. Installés pendant ou peu après la construction d’un bâtiment, ils sont totalement isolés du reste du monde. Tant que le système fonctionne, la maintenance se résume souvent à remplacer des contacteurs ou autres éléments mécaniques. De fait, leurs composants logiciels sont rarement mis à jour.
b) La culture des fabricants
Il est assez compréhensible que, issus d’un monde totalement isolé des décennies durant des affres et des périls cyber, les fabricants ne prenaient pas ou peu en compte le volet SSI dans leurs cycles de développement. Si en janvier 2010 vous aviez interrogé un ingénieur commercial de Siemens, Schneider, Philips, GE, etc. à ce propos, il vous aurait regardé avec une totale incompréhension – l’un d’eux m’a même sorti, à peu près à cette époque, qu’il était inutile de protéger ses équipements avec un antivirus puisque les autres équipements du LAN disposaient, eux, d’un antivirus – authentique.
c) L’évolution de la menace cyber
Le changement majeur s’est produit avec Stuxnet[3] : grâce à – ou à cause de – ce malware qui ciblait les centrifugeuses Siemens utilisées au sein du programme nucléaire iranien, les grands fabricants ont massivement pris connaissance de ce sujet.
d) Les contraintes techniques inhérentes à ces dispositifs
On ne met pas à jour un patch OS avec reboot du système de commande des réacteurs d’un avion de ligne en plein vol : autant l’informatique « classique » peut se permettre de rebooter un système, autant le fonctionnement d’un système Scada ne le supporte généralement pas. Idem pour les antivirus : dans certains cas réels, un antivirus résident peut perturber le fonctionnement d’un système.
À suivre…
[1] Informatique de santé, Eyrolles, 2015.
[2] https://www.factoryfuture.fr/tout-savoir-systemes-scada/#Que_signifie_exactement_le_terme_SCADA
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...