Kaspersky prévoit des changements dans le paysage des menaces pour les systèmes de contrôle industriel en 2023

0
81

Les chercheurs de l’ICS CERT de Kaspersky ont partagé leurs prédictions concernant les évolutions et les risques concernant les systèmes de contrôle industriel auxquels les organisations doivent se préparer en 2023. Parmi ces prédictions, les experts de Kaspersky prévoient une augmentation de la surface d’attaque due à la numérisation, des activités d’initiés bénévoles et cybercriminels, des attaques de ransomware ciblant les infrastructures critiques, mais aussi des incidences techniques, économiques et géopolitiques sur les capacités de détection des menaces et l’augmentation des vulnérabilités potentielles exploitées par les agents malveillants.

Ces prédictions sont la somme des opinions de l’équipe ICS CERT de Kaspersky, sur la base de leur expérience collective en matière de recherche de vulnérabilités, d’attaques et de réponse aux incidents, ainsi que sur la vision personnelle des experts concernant les principales évolutions du paysage des menaces. 

Evolution du paysage des menaces et émergence de nouveaux défis

Les experts de Kaspersky prévoient une réorientation des activités APT contre les industries et les systèmes OT vers de nouvelles filières et de nouveaux lieux. Les secteurs de l’économie réelle tels que l’agriculture, la logistique et le transport, le secteur des énergies alternatives et de la production énergétique dans son ensemble, les fabricants de matériel high tech, de produits pharmaceutiques et d’équipements médicaux sont susceptibles de subir davantage d’attaques en 2023. Par ailleurs, les cibles traditionnelles, comme le complexe militaro-industriel et les agences gouvernementales, resteront également des cibles de choix.

La surface d’attaque devrait également augmenter en raison de la course à la transformation digitale, dans le cadre d’IIoT et de SmartXXX, notamment pour la performance des systèmes de maintenance prédictive et des jumeaux numériques. Cette tendance est étayée par les statistiques concernant les attaques de systèmes de gestion de la maintenance informatisée (GMAO) au cours du premier semestre 2022. En effet, les 10 pays ayant été le plus concernés par ces attaques sont pourtant considérés comme des pays ayant un niveau de sécurité plus élevé que la moyenne.

Top 10 des pays classés en fonction du pourcentage de GMAO attaqués au premier semestre 2022

Les risques liés à l’expansion de la surface d’attaque associés à la hausse des tarifs des fournisseurs d’énergie et à l’augmentation des prix du matériel qui en résulte pourraient obliger de nombreuses entreprises à abandonner leurs projets de déploiement d’infrastructures sur site au profit de services cloud fournis par des prestataires tiers, ce qui pourrait affecter les budgets alloués aux services informatiques de certaines entreprises. 

Les menaces peuvent également provenir des moyens de transport sans pilote et des agrégats, qui peuvent aussi bien être pris pour cible que servir de vecteur d’attaque. D’autres risques potentiels à surveiller de près sont l’intensification des activités criminelles visant à récolter les informations de connexion des internautes, et les délits d’initiés d’agents ayant des motifs idéologiques et politiques, et collaborant à ces fins avec des organisations criminelles, généralement des extorqueurs et des APT. Ces agents peuvent aussi bien être des employés d’usine que des développeurs, des vendeurs ou encore des fournisseurs de services.

Les fluctuations qui caractérisent les partenariats géopolitiques actuels, et qui remettent en cause les rapports de confiance entre les Etats, vont, elles aussi, exercer une influence croissante sur l’état de la cybersécurité dans les ICS en 2023. En plus du possible gain de performance des activités hacktivistes oeuvrant à la réalisation d’agendas politiques internes et externes, nous pourrions également observer davantage d’attaques par ransomware sur les infrastructures critiques, du fait qu’il deviendra plus difficile de traduire ces attaques en justice.

La détérioration de la coopération internationale en matière de répression va entraîner un afflux de cyberattaques dans les pays considérés comme adversaires. Dans le même temps, les nouvelles technologies déployées au niveau national peuvent également faire émerger de nouveaux risques. Par exemple, certains logiciels peuvent contenir des erreurs de configuration de sécurité et des vulnérabilités zero-day facilement exploitables, ce qui les rend plus susceptibles d’être visés par les cybercriminels et les hacktivistes.

Il est possible que les organisations doivent faire face à de nouveaux aléas tels qu’une diminution de la qualité de la détection des menaces causée par la dégradation des communications entre les développeurs et les chercheurs en sécurité de l’information localisés dans des pays en conflit. Nous pourrions également être confrontés à une baisse de la qualité des renseignements sur les menaces, ce qui entraînerait des attributions non étayées et pourrait mener à ce que les gouvernements cherchent à contrôler les informations sur les incidents, les menaces et les vulnérabilités. Le rôle croissant des gouvernements dans les processus opérationnels des entreprises industrielles, y compris les connexions aux clouds et aux services gouvernementaux, qu’on sait parfois moins protégés que les clouds et services privés, entraîne également des risques supplémentaires. Il y a donc un risque accru de fuites de données confidentielles en raison du nombre conséquent d’employés sous-qualifiés travaillant dans les institutions gouvernementales, et du fait que les pratiques internes concernant le traitement responsable des données sont souvent encore en friche.

Nouvelles techniques et tactiques à surveiller dans les attaques à venir

Les chercheurs de l’ICS-CERT de Kaspersky ont dressé la liste des principales techniques et tactiques qui devraient se généraliser en 2023 :

  • Les pages et les scripts de phishing intégrés sur des sites légitimes.

  • L’utilisation de programmes corrompus contenant des chevaux de Troie, des correctifs et des générateurs de clés pour des logiciels couramment utilisés.

  • Courriels de phishing portant sur l’actualité instrumentalisant des sujets particulièrement dramatiques, notamment des événements politiques.

  • Documents volés lors d’attaques précédentes contre des organisations proches ou partenaires, utilisés comme leurres dans des courriels de phishing.

  • La diffusion de courriels d’hameçonnage provenant de boîtes mail d’employés et de partenaires piratés, se faisant passer pour des correspondances professionnelles légitimes.

  • Les vulnérabilités « N-day », qui seront comblées d’autant plus lentement que les mises à jour de sécurité de certaines solutions deviennent moins accessibles sur certains marchés.

  • L’utilisation abusive des erreurs de configuration de base par défaut (comme l’utilisation de mots de passe par défaut) et les vulnérabilités facilement exploitables de type « zero-day » dans les produits des « nouveaux » fournisseurs, y compris les fournisseurs locaux.

  • Les attaques contre les cloud.

  • L’exploitation des erreurs de configuration faites par les utilisateurs de solutions de sécurité, celles permettant, par exemple, de désactiver une solution antivirus

  • L’utilisation d’un service cloud populaire comme réseau centralisé: même après l’identification d’une attaque, la victime peut ne pas être en mesure de bloquer les offensives, car des processus commerciaux importants peuvent dépendre du cloud.

  • L’exploitation de vulnérabilités dans des logiciels légitimes, le détournement de DLL et BYOVD (Bring Your Own Vulnerable Driver), par exemple, pour contourner la sécurité du terminal.

  • La diffusion de logiciels malveillants via des supports amovibles pour contourner les failles de sécurité.

« Nous avons observé de nombreux incidents de cybersécurité en 2022, causant de nombreux problèmes aux propriétaires et utilisateurs d’ICS. Cependant, nous n’avons pas constaté de changements soudains ou catastrophiques dans le paysage global des menaces, et aucun qui soit difficile à gérer, malgré les titres des articles publiés dans les médias. En analysant les incidents de 2022, nous devons bien admettre que nous sommes dorénavant dans une ère où les changements les plus importants dans le paysage des menaces ICS dépendent principalement des tendances géopolitiques et des facteurs macroéconomiques qui en découlent. Les cybercriminels sont naturellement cosmopolites ; toutefois, ils portent une attention particulière aux orientations politiques et économiques dans leur quête de profits et de sécurité. Nous espérons que notre analyse des attaques futures sera utile aux organisations, et qu’elles pourront  se préparer à faire face aux menaces nouvelles et émergentes », a commenté Evgeny Goncharov, chef de l’ICS CERT de Kaspersky.

Ces prédictions font partie du Kaspersky Security Bulletin (KSB), une série annuelle de prédictions et de rapports analytiques sur les changements clés dans le monde de la cybersécurité. Lisez l’intégralité du rapport ICS Predictions for 2023 sur Securelist.