Ce n’était jusqu’à présent qu’une rumeur, c’est désormais une certitude : Kaspersky Lab développe son propre système d’exploitation sécurisé destiné aux systèmes critiques, notamment dans l’industrie.
C’est ce que révèle Eugen Kaspersky en personne sur son blog. « Nous confirmons la rumeur et mettons fin aux spéculations », annonce le co-fondateur et CEO de l’éditeur.
Ce dernier évoque ensuite un futur « pas très glamour de cyberattaques en masse contre des centrales nucléaires, des fournisseurs d’énergie, des équipements de contrôle des transports, des systèmes financiers et de télécommunications et contre toutes les autres installations considérées comme critiques », renvoyant le lecteur au film Die Hard 4, dans lequel une cyberoffensive contre une infrastructure nationale plonge les Etats-Unis dans le chaos.
Selon Eugen Kasperky les systèmes d’information d’un site industriel critique ont des priorités différentes de celles des autres SI. Alors que dans la plupart des entreprises, la priorité est donnée à la confidentialité des données – ce qui incite les responsables IT à isoler les systèmes infectés des autres systèmes – dans les sites industriels critiques la poursuite de l’activité prévaut sur la sécurité. Par ailleurs, afin de ne pas interrompre le service ces entreprises hésitent à mettre à jour leurs systèmes, ce qui multiplie les risques.
Enfin, la plupart des systèmes d’information ne sont pas équipés pour répondre à des menaces de type Stuxnet, Duqu, Flame ou Gauss, tellement complexes qu’elles ont probablement été développées avec l’aide de certains Etats, ces derniers constituant, selon le spécialiste russe de la sécurité, la principale menace. « Nous ne pouvons laisser cette guerre bloquer les progrès de l’humanité. Surtout lorsque la menace concerne non seulement les gouvernements et les activités économiques, mais également le commun des mortels », insiste-t-il.
Selon lui, tous les logiciels ICS (Incident Command Systems) qui assurent la sécurité des sites critiques devraient être réécrits pour prendre en compte les dernières protections en matière de cyberattaques. Malheureusement, cela impliquerait des tests colossaux et des mises au point qui ne le seraient pas moins.
L’alternative consiste donc à développer un système d’exploitation hautement sécurisé sur lequel les ICS seront installés et que l’on introduira dans l’infrastructure existante. Ce système d’exploitation se distinguera d’un Windows, d’un iOS ou d’un OS open source par son incapacité à exécuter des codes tiers ou à accepter dans le système des applications non autorisées.
Le développement d’un projet aussi sophistiqué ne peut se faire, précise Eugen Kaspersky, sans la collaboration des gestionnaires de sites et des éditeurs de logiciels d’ICS.
Notre homme se refuse toutefois à fournir d’autres détails afin, notamment, d’éviter que des concurrents lui volent ses idées.