Toutes les cybermenaces ne se valent pas. Une attaque informatique est toujours une mauvaise nouvelle… et des incidents de sécurité peuvent avoir un impact sur la stabilité d’une nation entière.
Tribune par Mortada Ayad, Technical Regional Manager / Emerging Markets de Thycotic – Les Opérateurs d’Importances Vitales (OIV) qui interviennent sur des services essentiels tels que l’eau, l’énergie et les transports, sont des cibles de choix pour les acteurs malveillants. Le monde moderne est extrêmement dépendant du bon fonctionnement des OIV et, par conséquent, très vulnérable à toute perturbation. Une attaque sur le réseau électrique pourrait entraîner la fermeture d’une industrie et mettre des vies en danger, car les hôpitaux et autres installations essentielles sont incapables de fonctionner sans, tandis que l’interférence avec les infrastructures de transport telles que les réseaux ferroviaires pourrait perturber des opérations commerciales et l’approvisionnement en nourriture.
Heureusement, de telles attaques sont extrêmement rares par rapport au flux constant d’activités cybercriminelles standard car elles sont d’une grande complexité à mettre en œuvre. A contrario, les attaques sur les infrastructure critiques (CI) aussi appelées Opérateur de services essentiels (OSE), qui comprennent des sites industriels de tous types (sites chimiques, production alimentaire, industrie pharmaceutique, etc), sont beaucoup plus fréquentes que celles sur les infrastructures critiques nationales (OIV) : les sites industriels sont généralement moins bien protégés et deviennent des cibles faciles pour les acteurs malveillants.
Dans son étude X-Force Threat Intelligence Index menée en 2019, IBM fait état d’une augmentation de 2000% des attaques sur les infrastructures critiques. Le volume des seules attaques en 2019 était ainsi supérieur au cumul des 3 années précédentes. Cela démontre qu’une tendance se dessine et que ce type d’attaques devient la norme.
Ne pas négliger l’impact des attaques
Alors que les attaques envers les OIV sont utilisées pour délivrer un message politique ou comme alternative à des guerres cinétiques traditionnelles, le but des attaques envers les CI est plus complexe. De la simple vengeance à l’extorsion de fond… l’impact économique d’une attaque est réel et peut aussi atteindre la réputation d’une entreprise. Dans le neuvième Baromètre des risques 2020 d’Allianz, les incidents cyber (39% des réponses) figurent pour la première fois en tête des risques d’entreprises dans le monde et le premier risque pour les entreprises françaises. Ce chiffre souligne l’importance croissante que revêt la sécurité des systèmes d’information et des infrastructures pour les entreprises à travers le monde. S’il est admis que l’intrusion est inévitable, les entreprises chercheront cependant à limiter l’impact des cyberattaques. Selon un sondage réalisé par le cabinet Morning Consult, une attaque qui viserait le réseau électrique américain pourraient entraîner des pertes financières pouvant aller de 243 millions à 1000 milliards de dollars, selon le nombre de composants du réseau électrique compromis.
Les challenges de la sécurisation des infrastructures critiques
La technologie opérationnelle (OT) – les systèmes utilisés pour gérer les équipements industriels lourds communs à ces secteurs – fonctionne souvent de manière très différente des technologies de l’information traditionnelles (IT). Pendant longtemps, les systèmes d’information OT des CI étaient coupés des systèmes de communication et fonctionnaient de manière isolée et autonome. Avec l’avènement de l’Internet des Objets (IoT), les sites industriels se sont ouverts au reste du réseau ce qui crée une infrastructure convergente IT-OT complexe et difficile à sécuriser. De plus, les systèmes OT ont souvent été conçus pour une durée de vie de plusieurs décennies et ne sont pas adaptés à l’évolution rapide des réseaux informatiques IT. Il en résulte un retard flagrant en matière de sécurité de systèmes OT par rapports aux besoins réels. A titre d’exemple, en 2019, 200 vulnérabilités ont été détectés sur des systèmes de contrôle industriels (ICS).
L’autre défi de la sécurité des CI concerne la protection des systèmes. En effet, de nombreux systèmes sont encore protégés par leur mot de passe d’origine, établis par le fabricant, ce qui les rend encore plus vulnérables aux attaques. Par ailleurs, un nouveau besoin, jusque-là considéré comme non essentiel, est devenu primordial pour les CI en 2020 : la sécurisation de l’accès distant, qui doit se faire sans prérequis tels que les clients VPN pour les utilisateurs.
Enfin, la protection de ces systèmes est restreinte d’un point de vue réseau car ils sont dépendants des communications. Dans la mesure où tout se passe en temps réel, le moindre problème de communication réseau peut avoir une répercussion dramatique. C’est pourquoi il est essentiel de pouvoir accéder au système et au compte pour s’y connecter le plus vite possible pour pouvoir gérer les incidents sur n’importe quel terminal ou machine.
Reprendre le contrôle des infrastructures critiques
Bien que les systèmes d’OT présentent des défis de sécurité difficiles à relever, ils peuvent encore être sécurisés avec la bonne combinaison de technologies et de processus. Les OIV/CI doivent adopter une approche de "défense en profondeur" qui exploite plusieurs niveaux de sécurité pour tenir compte de la complexité de leur réseau.
L’un des domaines les plus essentiels sur lequel il faut se concentrer est la récupération de la visibilité et du contrôle du réseau dans son ensemble, y compris les systèmes informatiques et d’OT disparates. Cela implique notamment de bien maîtriser les modalités d’accès aux systèmes. Comme pour les réseaux informatiques plus traditionnels, les acteurs malveillants chercheront presque toujours à acquérir des références d’utilisateur qui leur donneront des droits d’accès privilégiés au système.
La mise en œuvre d’une approche de gestion des accès à privilégier (PAM) permettra de contrer cette menace en introduisant une série de mesures qui comprennent une politique de mots de passe fort, la rotation des mots de passe, le RBAC (Role Based Access Control) et le 2FA (Second Facteur d’Authentification). L’analyse comportementale peut également être utilisée pour détecter les comportements inhabituels et forcer automatiquement les utilisateurs suspects à s’authentifier à nouveau et à revérifier leur identité.
Toutefois, un système PAM ne sera efficace que s’il peut couvrir l’ensemble de l’environnement sans aucun angle mort. La solution doit pouvoir s’adapter à tous les systèmes informatiques et d’OT tels que l’ICS et le SCADA, ainsi qu’à d’autres technologies connectées telles que l’IoT. Il faut
également offrir le même niveau de sécurité et de simplicité que l’on se connecte depuis le réseau interne ou externe à l’organisation.
Cela permettra également à l’organisation de fournir les rapports, les alertes et les analyses qui sont essentiels pour se conformer aux exigences des auditeurs du NIS. Mais surtout, grâce à un point unique et centralisé de visibilité et de gestion pour tous les accès et activités des utilisateurs, les opérateurs des infrastructures critiques pourront réduire considérablement le risque qu’un acteur malveillant s’infiltre dans le réseau et exploite ses systèmes pour provoquer une crise à l’échelle nationale.
Les commentaires sont fermés.