Face aux attaques, la cybersécurité industrielle doit être repensée

L’énorme fossé culturel entre la sécurité des technologies de l’information (IT) et la sécurité des technologies d’exploitation (OT) crée un risque mondial majeur. Un risque préoccupant car on estime que, d’ici 2025, les cybercriminels seront capables de transformer les technologies opérationnelles en armes qui pourraient mettre en péril des vies humaines.

Telles sont les conclusions de la dernière étude de Gartner . Les attaques contre le matériel et les logiciels des technologies d’exploitation, essentiels à la surveillance et au contrôle des équipements et des processus industriels, sont de plus en plus fréquentes. Les ransomwares ont constitué la première technique d’attaques contre l’OT des entreprises cette année, représentant 32 % des attaques.

« Les enquêtes menées auprès de nos clients révèlent que les organisations des secteurs à fortes ressources, tels que l’industrie, l’énergie et les services publics, ont du mal à définir des cadres de contrôle appropriés », explique Wam Voster, directeur de recherche senior chez Gartner.

Les cyberattaques augmentent, pouvant mettre en péril l’économie d’un pays tout entier

Stuxnet, un ver informatique sophistiqué apparu il y a plus de dix ans, s’est attaqué au programme nucléaire iranien en ciblant les automates industriels (PLC). Depuis cette attaque, nous avons vu ce ver évoluer avec de nombreuses variantes, notamment le malware Industroyer, qui a provoqué une panne de courant en Ukraine, et Triton, qui a touché une usine pétrochimique du Moyen-Orient.

Plus récemment, l’attaque Solar Winds a entraîné des répercussions sur de nombreux systèmes informatiques. Elle met en évidence le risque de compromission des protocoles SNMP (Simple Network Management Protocols), intégrés dans des systèmes OT tels que les unités de distribution d’énergie et les systèmes de contrôle.

Au début de l’année, des pirates informatiques ont compromis le réseau d’oléoducs de Colonial Pipeline qui transporte de l’essence et du kérosène le long de la côte est des États-Unis, provoquant des pénuries au moyen d’une attaque par ransomware relativement peu sophistiquée. Les cybercriminels ont ouvert une brèche à l’aide d’un unique mot de passe volé. Le compte correspondant n’exigeait qu’une authentification à facteur unique. L’entreprise a choisi de payer la rançon. Sur le montant total de la rançon, 2,43 millions de dollars ont ensuite été récupérés en cryptomonnaie par le ministère de la Justice américain.

Ces attaques doivent être considérées comme un signal d’alarme par les gouvernements et les entreprises. Il est en effet urgent de reconnaître les vulnérabilités de la sécurité des technologies d’exploitation, d’autant qu’elles peuvent compromettre les services publics et l’économie d’un pays tout entier et mettre des vies en danger. A titre d’exemple, selon le département de la Sécurité intérieure, environ 85 % des infrastructures et ressources critiques des États-Unis appartiennent au secteur privé chargé de la sécurité publique.

La convergence IT-OT s’accompagne d’un élargissement de l’éventail des menaces.

Dans une étude récente, le Ponemon Institute a constaté que les entreprises subissaient en moyenne quatre atteintes à la sécurité entraînant la perte de données confidentielles ou perturbant les opérations OT. Les trois principales menaces de cybersécurité citées sont le phishing et l’ingénierie sociale, les ransomwares et les attaques par déni de service basées sur le DNS.

Les attaques peuvent passer de l’environnement OT à l’environnement IT et vice-versa. Les vecteurs d’attaque comprennent le wi-fi, l’accès physique, les réseaux de capteurs, les dispositifs IoT et les logiciels malveillants à propagation automatique. L’avènement de l’industrie 4.0 apporte de nombreux avantages en matière d’automatisation et d’intelligence, mais la multiplication des connexions implique de se préparer à faire face à davantage de risques pour les entreprises opérant dans les secteurs manufacturier, pétrochimique et nucléaire.

Selon le Ponemon Institute, le principal problème lié aux vulnérabilités dans le domaine de l’IT et de l’OT est que les efforts de gestion des risques ne sont pas en phase. 63% des personnes interrogées ont déclaré que les gestions des risques de sécurité IT et OT ne sont pas coordonnées. La mise en place d’une stratégie de sécurité robuste dans l’environnement OT d’avère alors difficile. Les principales raisons des difficultés rencontrées en matière de sécurité OT sont le manque de technologies adaptées aux réseaux OT, la complexité de ces réseaux, ainsi que le manque de ressources.

Sécuriser l’IT et l’OT dans un environnement convergent

La responsabilité partagée de l’IT et de l’OT vis-à-vis des risques auxquels les systèmes industriels sont exposés rend la gouvernance complexe. Il est toutefois primordial d’avoir une approche unifiée en matière de sûreté et de sécurité.

La meilleure façon de sécuriser à la fois l’IT et l’OT dans un environnement convergent est de placer l’équipe responsable de la sécurité IT et l’équipe responsable de la sécurité OT sous une même entité. Cela permettrait à ces équipes d’aller au-delà de leurs silos fonctionnels et de mettre en œuvre les nouvelles technologies en fonction des besoins.

Gartner1 recommande aux entreprises de mettre en place plusieurs contrôles pour renforcer leur sécurité et empêcher que des incidents dans le monde numérique n’aient un impact négatif sur les environnements physiques. Il s’agit notamment de veiller à ce que l’ensemble du personnel OT reçoive une formation adaptée en matière de sensibilisation à la sécurité, de tester la réponse aux incidents, de s’assurer que des procédures de restauration, de sauvegarde, et de reprise après sinistre sont en place, et d’établir une segmentation adéquate du réseau. Tous ces éléments sont en effet indispensables pour garantir que la totalité du trafic entre le réseau OT et le reste du réseau passe par une passerelle sécurisée. L’authentification multifactorielle devra de plus être utilisée de manière systématique pour authentifier les sessions interactives OT au niveau de la passerelle.

En ce qui concerne les chaînes d’approvisionnement, il est possible d’atténuer considérablement les risques en informant les fournisseurs des menaces IT et OT et en effectuant des audits réguliers en interne et dans les entreprises des fournisseurs. Il est également essentiel que les entreprises sachent précisément où se trouvent leurs données, comment elles sont utilisées et qui gère les données fournisseurs. Crypter les données en transit est également une mesure cruciale.

IT-OT : à la recherche d’une stratégie de protection commune

À mesure que les environnements IT et OT convergent, les vecteurs d’attaque se développent et tout cela va très vite. Afin de renforcer la sécurité et d’empêcher les acteurs malveillants de sévir, l’IT et l’OT doivent se mettre à parler un langage commun par le biais de procédures et de politiques partagées, sans quoi nous risquons d’assister à des incidents potentiellement mortels dans les années à venir.

Pour en savoir plus, téléchargez le livre blanc d’Orange Cyberdefense « Obscured Vision – Why you can’t view OT security through an IT Lens » en cliquant ici

jan-howels_0.png
Jan Howells

Depuis plus de 22 ans, je signe des articles sur les technologies pour des magazines et des sites Web tels que ComputerActive, IQ et Signum. Correspondante de ComputerWorld à Sydney, j’ai également travaillé pour la chaîne de Ziff Davis à New York.