Connect with us

Technologie

Groupe de réflexion sur la sécurité : l’évolution des menaces, la technologie, laisse le CNI exposé

Published

on


Les systèmes de contrôle industriel (ICS) qui sous-tendent notre infrastructure nationale essentielle (CNI) sont confrontés à des risques sans cesse croissants, et les risques immédiats pour le SCI et d’autres technologies opérationnelles peuvent être vus dans l’incidence croissante de ransomware, l’évolution de la connectivité et une attention accrue.

Ransomware peut avoir un effet dévastateur sur une entreprise ou une organisation, comme le NHS britannique l’a découvert avec WannaCry en 2017. L’impact de ce type d’attaques signifie qu’une réponse immédiate est nécessaire pour récupérer les capacités opérationnelles. Le fait que les effets soient souvent clairement visibles pour le public, comme ce fut le cas pour la Deutsche Bahn lorsque les écrans d’information de leurs clients étaient cryptés, crée également une pression pour une action rapide.

Un exemple plus récent a été l’attaque contre Norsk Hydro par le ransomware LockerGoga. Il s’agissait d’une attaque criminelle motivée financièrement, menée directement contre les réseaux de l’entreprise. L’attaque a entraîné des arrêts de production en Europe et aux États-Unis et l’entreprise est revenue à des opérations manuelles pendant que le problème était contenu. Elle a touché 22 000 ordinateurs répartis sur 170 sites différents dans 40 pays, la reprise prenant plus de trois mois et coûtant au moins 45 millions de livres sterling.

Une tendance inquiétante, en particulier face aux infrastructures critiques, est la façon dont ransomware évolue avec certaines versions ciblant spécifiquement les systèmes de contrôle industriel, ce qui rend plus facile de tenir les opérateurs d’infrastructure critique à rançonner.

Les changements dans la connectivité à la technologie opérationnelle sont un autre facteur qui augmente le risque pour les systèmes de contrôle. Les changements comprennent l’adoption croissante de la technologie cloud pour prendre en charge ou traiter les données de la technologie opérationnelle qui se traduit par des données opérationnelles résidant en dehors des frontières traditionnelles.

Une autre vulnérabilité découle de l’intégration plus étroite des infrastructures informatiques et ot, généralement pour des raisons commerciales ou de productivité valables, mais qui crée un nombre accru de voies d’accès à la technologie opérationnelle.

En outre, l’utilisation croissante de la technologie commerciale standard (COTS) signifie que la technologie opérationnelle est plus à risque des techniques et des outils d’attaque courants qui, auparavant, auraient été limités par la technologie à l’infrastructure informatique. Ensuite, il y a le risque de la croissance du travail à distance causée par les restrictions actuelles de voyage et de distanciation, ce qui signifie une plus grande utilisation de l’accès à distance.

Un plus grand intérêt pour les infrastructures essentielles

La récente tentative d’attaque contre l’usine de traitement des eaux d’Oldsmar en Floride est un exemple d’une tentative d’exploiter l’accès à distance pour compromettre la technologie opérationnelle. L’attaquant a pu avoir accès à un logiciel de contrôle industriel pour modifier la concentration d’hydroxyde de sodium dans le système de traitement de 100 ppm à 11 100 ppm. Heureusement, dans ce cas, un exploitant d’usine vigilant a remarqué le changement et l’a inversé immédiatement, mais si cela ne s’était pas produit, l’attaque aurait pu avoir une incidence sur la santé d’environ 15 000 résidents fournis par l’usine.

La technologie opérationnelle fait également l’objet d’une attention accrue parce qu’il y a plus d’informations à la disposition des attaquants. Des outils de recherche internet dédiés, tels que Shodan, permettent de découvrir des appareils industriels connectés à Internet et des outils de piratage de technologies opérationnelles dédiés, tels que « Industroyer », réduire le niveau de connaissances nécessaires pour tenter une attaque.

Parallèlement, les connaissances sur les systèmes industriels et les technologies opérationnelles ne ce sont que de plus en plus, en partie à cause de l’évolution de la connectivité et de la fusion des technologies, mais aussi de la divulgation croissante des vulnérabilités.

Alors, compte tenu de ces risques immédiats, que peut-on faire?

Comprendre vos systèmes

Ce premier conseil est aussi vieux que certaines des technologies utilisées. Il est essentiel de savoir quels sont les atouts que vous avez dans votre technologie opérationnelle et de comprendre comment ils se rapportent à ce que vous faites.

Si une vulnérabilité est divulguée pour un composant, l’impact potentiel de la vulnérabilité ne peut être correctement évalué que si la prolifération de la composante au sein de l’infrastructure est connue. La réponse sera très différente pour un composant en utilisation limitée sur un système isolé par rapport à un composant commun à travers plusieurs systèmes critiques.

Comprendre les risques

Les évaluations des risques doivent être effectuées pour tous les systèmes critiques et réexaminées sur une base annuelle, ou en réponse à un changement important dans la configuration de la menace ou du système. Les évaluations des risques devraient être basées sur des scénarios de menace crédibles pour l’organisation et devraient se transformer en plans d’atténuation des risques.

S’assurer que l’infrastructure essentielle est « sécurisée par la conception »

Il est largement reconnua déclaré qu’il est plus facile et plus rentable de concevoir quelque chose en toute sécurité dès le début, plutôt que d’essayer d’intégrer des fonctionnalités de sécurité à un stade ultérieur. Bien que cette approche ne puisse être adoptée que pour les nouveaux systèmes, les principes directeurs de la « sécurité par la conception » devraient être incorporés dans la mesure du possible.

En outre, l’approche devrait être suffisamment large pour aller au-delà de la technologie et rendre les personnes et les processus « sécurisés par la conception » ainsi.

Surveiller activement les systèmes critiques

Il est essentiel de comprendre ce qui se passe à la fois au sein de votre réseau et aux limites, ainsi que d’avoir une base de comportement normal établie pour votre infrastructure et vos systèmes. Cela peut être beaucoup plus facile à réaliser avec la plus grande disponibilité de solutions de surveillance matures et spécifiques à l’OT.

Soyez prêt à intervenir en cas d’incident

Enfin, il doit y avoir un plan d’intervention en cas d’incident éprouvé qui œuvre à bon compte des cyber causes de défaillance et guide les réponses appropriées pour récupérer les systèmes afin de rétablir les opérations conformément aux objectifs de l’entreprise.

Tim Parker est un expert en cybersécurité des infrastructures nationales essentielles chez PA Consulting

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance