Quatre risques numériques majeurs pour notre planète : 2022 - 2030+ (Première partie)
21/11/2021
Les lecteurs de mon blog connaissent mon optimisme, ma vision positive du futur et en particulier des évolutions des solutions numériques.
Ce n’est pas pour autant que je ne suis pas sensible aux risques majeurs qui menacent notre planète et nos vies, au contraire.
Ces risques sont nombreux ; j’ai choisi d’en présenter quatre, par ordre chronologique prévisible d’arrivée. Ce sont les risques que je pense être les plus élevés, ceux qui ont une forte probabilité de déclencher des crises mondiales majeures.
Pour chacun de ces risques, la dimension “numérique” est centrale.
● Horizon 2022 - 2023 : cyberattaques sur les infrastructures physiques de transport.
● Horizon 2025 : guerre dans le détroit de Taiwan.
● Horizon 2030 : non-maîtrise de la croissance exponentielle des potentiels des outils numériques.
● Horizon 2030+ : réchauffement climatique hors de contrôle.
Il existe probablement pour vous d’autres risques majeurs, liés au numérique ; n'hésitez pas à les évoquer dans vos commentaires.
La complexité de ces sujets et la longueur de mes textes m’ont amené à couper ce blog en plusieurs parties.
Horizon 2022 - 2023 : cyberattaques sur infrastructures physiques de transport
Depuis des années, une des priorités des États et des entreprises a été de protéger leurs données et en particulier les données personnelles. Le RGPD européen est un bon exemple des réglementations établies dans ce domaine. L’accès non autorisé à des données est grave, mais rarement mortel.
À l’inverse, les cyberattaques sur les infrastructures physiques peuvent tuer des centaines, des milliers de personnes.
Il y a une urgence absolue à protéger les installations physiques de transport, dans tous les domaines :
● Eau
● Gaz
● Électricité
● Télécommunications
● Transports de personnes : métros, trains, avions…
La majorité de ces infrastructures physiques sont gérées par des solutions informatiques regroupées sous le nom de SCADA (Supervisory Control and Data Acquisition).
Le danger que j’évoque est celui de la prise de contrôle à distance d’un SCADA par des acteurs externes. Une fois qu’ils ont pénétré un SCADA, ils peuvent déclencher des opérations dans les infrastructures physiques pouvant entraîner des morts d’hommes : ouverture ou fermeture de réseaux, injection de produits dangereux dans l’eau…
Pour éviter ces attaques, la seule défense actuelle est la déconnexion à 100%, pas à 99,99% entre les réseaux SCADA et Internet. Nul ne peut garantir qu’une liaison entre un SCADA et Internet, aussi sécurisée soit-elle, ne sera pas utilisée pour infecter le SCADA.
Ce n’est pas une sécurité parfaite, comme l’a démontré l’attaque Stuxnet contre une installation nucléaire iranienne en 2010. Ce virus aurait été introduit par une clef USB.
Ces attaques sont prises au sérieux, comme le montre cet article récent de l’OTAN sur les réseaux électriques.
Quelles sont les mesures urgentes que je propose pour la France et l’Europe ?
● Audit immédiat de TOUS les réseaux physiques français et européens, avant la fin de l’année 2022.
● Identification et suppression de 100% des liens Internet et cloud public de ces infrastructures.
● Création d’un RGPD des infrastructures, RGPDIST (Infrastructures Stratégiques de Transport).
Ces mesures de précaution et de sécurité mettront nos infrastructures physiques à l’abri des cyberattaques les plus dangereuses. Elles ont un inconvénient majeur ; elles réduisent la capacité des entreprises à gérer efficacement leurs infrastructures.
Heureusement, il existe une réponse moderne pour gérer en toute sécurité une infrastructure numérique : construire un jumeau numérique, “Digital Twin” en anglais.
Généralisation des jumeaux numériques
Un jumeau numérique, c’est une “image” numérique d’une installation physique, que l’on peut utiliser pour simuler son fonctionnement et prendre les décisions qui s’imposent.
Les grandes plateformes de cloud public, AWS, Azure ou GCP proposent déjà des solutions performantes pour créer des jumeaux numériques. En 2021, AWS a probablement l’offre la plus riche et plus avancée du marché, mais les deux autres acteurs font des progrès rapides.
Les données liées à l’activité physique des infrastructures, pression, voltage, vitesse, volume… sont déjà saisies pour alimenter un SCADA. Il est nécessaire d’envoyer en même temps toutes ces données vers le jumeau numérique pour qu’il puisse simuler le fonctionnement de l’infrastructure source.
Lorsque Teréga, l’entreprise qui gère le réseau de transport et stockage du gaz dans le sud de la France, a décidé de construire son jumeau numérique, elle s'est trouvée devant un problème universel pour tout jumeau numérique : comment transmettre les données vers le jumeau numérique sans risquer que ce canal de transmission soit utilisé dans l’autre sens ?
Devant un problème qui n’avait pas de solutions sur le marché, Teréga a pris la décision de proposer des réponses innovantes et d’inventer et breveter des produits qui répondent à cette attente universelle.
En juin 2021, les équipes de Teréga Solutions et Dominique Mockly, le P-DG de l’entreprise, ont présenté IO-Base, leurs offres innovantes, matérielles et logicielles.
Cette solution, qui s’appuie sur AWS, permet de construire un jumeau numérique sécurisé.
Le composant matériel se nomme Indabox ; c’est une diode numérique qui interdit tout transfert de données dans le sens Cloud vers les infrastructures locales. C’est ce boîtier que tient Dominique Mockly dans sa main.
Comme le montre ce schéma d’un jumeau numérique avec Indabox, l’alimentation des données physiques vers le Cloud AWS est unidirectionnelle, cette diode physique interdisant tout retour d’information depuis le Cloud.
Il y aura, hélas, des catastrophes dès 2022 ou 2023, dans de nombreux pays industrialisés.
Les installations informatiques dans ces infrastructures sont souvent très anciennes, utilisant des solutions dont les mises à jour de sécurité n’ont pas été faites depuis des années. Il est possible de rencontrer des serveurs fonctionnant avec des versions Windows XP ou antérieures.
Les États-Unis sont en première ligne des risques industriels dans ces domaines.
Après les États-Unis, ce sont probablement les pays africains qui sont les moins bien préparés pour résister à ces cyberattaques.
Un exemple récent : le blocage des stations de distribution de carburant en Iran, le 26 octobre 2021.
Les impacts humains de ces cyberattaques peuvent être dramatiques, et se mesurer en centaines ou milliers de morts.
Il est clair pour moi que des dizaines d’infrastructures critiques de transport sont déjà infectées, en état de veille, de "pré-attaque". Des cyberattaques mortelles peuvent se déclencher à tout instant.
Ce seront en priorité des attaques déclenchées par des états contre d’autres états.
Les suspects “classiques” sont bien connus : Chine, Corée du Nord, Russie, Iran…
Croyez-vous pour autant que les autres grands pays comme les États-Unis, la France ou l’Europe ne préparent pas eux aussi des cyberattaques de ce style ?
Moi, pas une seconde.
Dans la deuxième partie de cette analyse, j’aborde le thème de Taiwan.
Dans la troisième partie, je parle des défis liés à la croissance exponentielle des performances des outils numériques.