Recevez chaque jour toute l'actualité du numérique

x

Un opérateur gazier américain a dû cesser ses activités pendant deux jours à cause d'un ransomware

Hack of the week Un opérateur gazier vient de subir une interruption de deux jours de ses activités. La raison ? L'infection par un rançongiciel d'une de ses usines de traitement de gaz naturel. Mal préparé, il s'est trouvé démuni. Une situation préoccupante, tant ce type d’infrastructure est stratégique pour la production d’énergie.
Twitter Facebook Linkedin Flipboard Email
×

Un opérateur gazier américain a dû cesser ses activités pendant deux jours à cause d'un ransomware
Un opérateur gazier américain a dû cesser ses activités pendant deux jours à cause d'un ransomware © Pixabay / jdblack

L’épisode devrait servir de leçon à l'ensemble des opérateurs gaziers. L'agence américaine de cybersécurité et de sécurité des infrastructures (Cisa), qui dépend du département de la Sécurité intérieure (DHS) des Etats-Unis, a publié mardi 18 février 2020 une alerte sur le cas d'une usine de traitement de gaz naturel ayant dû cesser ses activités à cause d'un rançongiciel (ransomware). Si la victime n'est pas nommée, la Cisa a tenu à faire un cas d'école de cette affaire, assorti d'un guide des bonnes pratiques pour les acteurs de ce secteur ultra sensible.

 

DES DONNéES RENDUES INACCESSIBLES

Selon le document de la Cisa, la compromission des installations s'est produite par harponnage (spearphishing), une technique qui consiste à envoyer des emails mensongers à des individus ciblés très précisément dans le but de les tromper. En cliquant sur un lien contenu dans ces messages, leurs destinataires ont donné aux malfaiteurs un accès au système d'information (IT) de l'établissement.

 

Du fait d'un manque de compartimentation, ces derniers ont ensuite pu étendre leur emprise au réseau informatique industriel (OT) de l'installation. Ils ont alors déployé un rançongiciel sur les deux réseaux, ce qui a rendu de nombreux équipements inaccessibles. Ils étaient en position de force pour réclamer de l’argent à l'exploitant en échange du déblocage de ses systèmes.

 

UNE PROCéDURE D’URGENCE inadaptée

Ce sont les équipements de surveillance des opérations ont été touchés, notamment les interfaces homme-machine et les systèmes d’historisation. Les contrôleurs logiques programmables (PLC), qui contrôlent directement les opérations, ont été épargnés car le ransomware n'affectait que les systèmes fonctionnant sous Windows. Les opérateurs étaient néanmoins sévèrement handicapés dans la poursuite de leur activité.

 

La Cisa note que l'exploitant n'avait pas de plan de réponse d'urgence spécifique en cas de cyberattaque. Il a donc exécuté une procédure d'urgence standard – plus axée sur la sécurité physique. Par chance, seul un site industriel a été touché par l'attaque, et l'opérateur est parvenu a rétablir ses systèmes. Cependant, l'indisponibilité de ce site spécifique a créé une rupture dans la chaîne de traitement du gaz qui a causé l'arrêt des opérations de tout le réseau pendant deux jours. Le gestionnaire du site a reconnu faire état de "lacunes en matière de cybersécurité", qui l’ont empêché d’identifier la réponse à donner face à cet évènement.

 

Le Cisa liste de nombreuses mesures à mettre en place pour mitiger au maximum ce type d'attaque. Les industriels encore en retard sur le plan de la sécurité informatique seraient bien inspirés de les mettre en application, faute de quoi ils pourraient être les prochains concernés.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media