Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

[Tribune] Les infrastructures critiques dans la ligne de mire des cybercriminels

Les cybercriminels attaquent sans relâche les infrastructures critiques du monde entier et compromettent les systèmes ICS (Industrial Control System) et SCADA (Supervisory Control and Data Acquisition) qui contrôlent ces infrastructures.  Le terme "infrastructure critique" ne se limite néanmoins pas au réseau électrique, mais couvre également des domaines tels que la défense, l’industrie, la santé, les transports, l’approvisionnement en eau et la production alimentaire. Par Yann Le Borgne, directeur technique Europe ThreatQuotient.
Twitter Facebook Linkedin Flipboard Email
×

[Tribune] Les infrastructures critiques dans la ligne de mire des cybercriminels
[Tribune] Les infrastructures critiques dans la ligne de mire des cybercriminels

Les cybercriminels attaquent sans relâche les infrastructures critiques du monde entier et compromettent les systèmes ICS (Industrial Control System) et SCADA (Supervisory Control and Data Acquisition) qui contrôlent ces infrastructures. En 2010, le vers Stuxnet a infiltré de nombreux systèmes de contrôle et a porté atteinte à plusieurs centrales nucléaires. Cinq ans plus tard, l’attaque du malware BlackEnergy sur le système d’approvisionnement électrique ukrainien devenait la première cyberattaque ayant provoqué une coupure totale d’électricité.

 

Le terme "infrastructure critique" ne se limite néanmoins pas au réseau électrique, mais couvre également des domaines tels que la défense, l’industrie, la santé, les transports, l’approvisionnement en eau et la production alimentaire. En 2017, le ransomware WannaCry a affecté plusieurs entreprises évoluant dans le secteur de la santé. En 2018, l’organisme US CERT, conjointement avec l’entité britannique National Cyber Security Center (NCSC) et le FBI, a émis une alerte indiquant que le gouvernement russe avait lancé une attaque ciblant des infrastructures critiques de plusieurs secteurs. Et pendant plusieurs années, les menaces portées aux systèmes de réservation de billets d’avion et de tickets de transports publics ont par ailleurs fait la une des médias. Au début de l’année 2019, une variante du ransomware LockerGoga a commencé à infiltrer et à perturber les processus de production d’entreprises fabriquant des produits chimiques et de l’aluminium.

 

Une sophistication des attaques

Un nombre toujours plus important d’attaques s’appuient simultanément sur plusieurs vecteurs et rendent les moyens de défense plus difficiles à mettre en place. L’alerte US CERT mentionnée ci-dessus décrit l’éventail des techniques, tactiques et procédures (TTP) utilisés, notamment les attaques par spear-phishing et par watering hole, le vol d’identifiants et les attaques spécifiques menées à l’encontre d’infrastructures ICS et SCADA.

 

Dans le même temps, la surface d’attaque s’étend à mesure que les infrastructures critiques migrent vers le Cloud, couvrant ainsi les appareils mobiles et l’IoT. Plus de deux tiers des cadres IT du secteur pétrolier et gazier indiquent que la digitalisation (utilisation de technologies digitales pour faire progresser l’automatisation) les rend plus vulnérables aux failles de sécurité.

 

Un constat alarmant face à des systèmes vieillissants

De nombreux systèmes ICS et SCADA utilisés depuis plusieurs années ne sont pas dotés de fonctions de sécurité en mesure de les protéger contre les menaces actuelles. De plus, ces systèmes sont rarement mis à jour en raison des interruptions que cela peut impliquer. Enfin, la situation ne cesse de s’aggraver car appareils et systèmes sont de plus en plus connectés à Internet.

 

Même si les responsables IT (Information Technology) et OT (Operational Technologies) ont des objectifs, processus, outils et concepts différents, ils se doivent de travailler ensemble à mesure que leurs environnements s’imbriquent.

 

Des études menées auprès de responsables de la sécurité indiquent que 75% des entreprises pensent qu’elles seront, à l’avenir, victimes de cyberattaques ciblant leurs systèmes OT/ICS. Pourtant, seuls 23% respectent les exigences légales minimales de leur secteur en matière de cybersécurité.

 

Une organisation et une priorisation du renseignement

Pour tirer pleinement parti de leurs ressources existantes, les équipes de sécurité doivent être en mesure de comprendre les données et les alertes relatives aux menaces dans le contexte de leur entreprise, et d’établir des priorités. Cette approche permet d’offrir aux équipes la possibilité de communiquer facilement et clairement sur les enjeux de sécurité avec la direction, et de justifier l’allocation de ressources supplémentaires dont elles ont besoin pour améliorer les processus de sécurité.

 

Les entreprises sont en mesure de protéger leur environnement digital des menaces uniquement si elles ont une vue d’ensemble sur l’intégralité de leur infrastructure et si elles sont à même de réévaluer continuellement les données dont elles disposent sur les menaces, et d’établir des priorités :

 

  • Unifier l’ensemble des sources de données externes (telles qu’OSINT) et internes (SIEM, par exemple) sur les vulnérabilités et les menaces dans un référentiel centralisé
  • Collecter des informations de sécurité relatives à l’intégralité de l’infrastructure (local, Cloud, IoT, mobile et systèmes existants) en intégrant des données sur les vulnérabilités et les menaces dans le contexte des menaces actives
  • Filtrer les informations non pertinentes en évitant une navigation dans des quantités massives de données sur les menaces et une surcharge due à un trop grand nombre d’alertes pour se concentrer sur les ressources et vulnérabilités critiques
  • Prioriser les données en fonction de la situation spécifique de l’entreprise, avec possibilité d’adaptation dynamique aux nouvelles données et informations disponibles
  • Rechercher de manière proactive les activités pouvant témoigner d’un comportement malveillant, des attaques par déni de service ou d’autres perturbations et nuisances potentielles faites aux clients, collaborateurs et parties prenantes
  • Se focaliser sur des aspects allant au-delà des mesures de protection pour soutenir la détection, la réaction et la reprise.

 

Yann Le Borgne est directeur technique Europe ThreatQuotient.

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de l'Usine Digitale.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale