"Air gaps" : sécuriser les systèmes de contrôle industriel en comblant les failles de sécurité

La récente mise en accusation par le ministère de la Justice américain de douze Russes, présumés responsables d’attaques contre le Comité national démocrate et contre l’infrastructure électorale américaine, a secoué le pays.

En outre, cela a soulevé une plus grande inquiétude : les attaques permanentes contre les systèmes de contrôle industriel (ICS), qui commandent les infrastructures critiques, ont la capacité de causer le chaos et de perturber la vie quotidienne des Américains. Il en est de même pour tous les pays du monde.

Comme l’a rapporté cet été le Wall Street Journal, les attaquants sont parvenus à pénétrer les réseaux sécurisés des entreprises américaines de services publics d’énergie. Ce sont les méthodes utilisées pour pénétrer dans ces soi-disant réseaux isolés – ou protégés par "air gap" – qui ont été les plus frappantes. Les cybercriminels ont en effet utilisé des techniques de piratage standards pour accéder aux salles de contrôle de ces organisations. Pourtant, ces dernières sont censées disposer de contrôles de sécurité et de sauvegardes pour empêcher le type d’attaques qui se sont produites.

Or, les attaques visant les ICS peuvent avoir des conséquences dramatiques : lors de deux campagnes menées contre l’Ukraine en décembre 2015 et 2016, les attaquants ont pu accéder au réseau électrique du pays et le fermer pendant de longues périodes, en plein hiver. La compromission des réseaux d’infrastructures de services publics a ainsi un effet critique immédiat, tant en termes de coûts que d’implications physiques, sur les entreprises et les citoyens. Dans des compromissions plus récentes, les pirates ont pu s’introduire si loin à l’intérieur des réseaux de services publics d’énergie - censés être protégés par "air gap", ce qui consiste à isoler un système pour le protéger du reste du réseau informatique - qu’ils auraient pu perturber les services électriques ou causer des pannes. D’après les informations disponibles, les attaquants ont accédé à ces réseaux isolés par l’intermédiaire de fournisseurs tiers et l’exploitation d’informations d’identification à privilèges.

La protection par "air gap" n’est pas automatiquement synonyme de sécurité

De toute évidence, la protection par "air gap" n’est pas suffisante pour empêcher les hackers d’accéder à un réseau. Il s’agit pourtant d’un moyen courant pour protéger les ICS ; cependant, l’interprétation des organisations quant à la façon d’isoler les réseaux varie. Par exemple, alors que beaucoup pensent avoir pris toutes les mesures adéquates pour protéger les réseaux critiques grâce à un "air gap", ces environnements vitaux sont en fait perméables, permettant ainsi aux acteurs malveillants de les infiltrer. Séparer les réseaux informatiques de la technologie opérationnelle ne favorise donc pas nécessairement une sécurité optimale.

L’un des principaux facteurs de vulnérabilité des ICS réside dans le besoin croissant d’accessibilité pour les systèmes et données, et d’intégration à de nombreuses technologies informatiques, ainsi qu’aux logiciels d’exploitation et aux produits commerciaux de fournisseurs tiers. Dans cet environnement opérationnel, une protection par "air gap" semble idéale en raison de l’équipement propriétaire et des protocoles de communication inhérents aux industries du service public et de la santé. Mais, en conséquence, les réseaux d’infrastructures critiques sont connectés aux systèmes informatiques internes sur les réseaux de l’entreprise, et au monde extérieur par l’intermédiaire d’internet, créant ainsi une plus grande faille pour les attaquants.

Améliorer les pratiques pour créer un environnement sécurisé  

À mesure que le champ d’application des ICS s’est élargi, les comptes à privilèges – aussi appelés comptes administrateurs – qui peuvent accéder à ces réseaux critiques se sont multipliés. Il s’agit notamment du personnel de soutien et de maintenance, des opérateurs et des ingénieurs de contrôle, des fournisseurs à distance, ou encore des applications d’entreprise ou automatisées par lots ; le tout avec une faible supervision. Les éléments les plus problématiques sont les applications et les périphériques avec des informations d’identification codées en dur, qui pourraient être exploitables à distance et donner accès aux terminaux physiques, à l’exécution de code nuisible ou à des attaques DDoS.

En incorporant quelques pratiques exemplaires en matière de sécurité, en plus de l’utilisation d’un "air gap" effectif, les organisations sont à même de contrôler et surveiller ces réseaux d’infrastructures critiques, tout en fournissant un accès nécessaire aux utilisateurs internes IT et TO, aux tiers et aux applications. Pour les réseaux sensibles disposant de points d’accès, il est important que les entreprises se concentrent sur l’identification de tous les utilisateurs, applications et informations d’identification associées, utilisés pour accéder aux ICS ; sur l’élimination des identifiants obsolètes ou inutilisés ; et sur l’utilisation de mots de passe à usage unique. De plus, il est essentiel de gérer et de surveiller les utilisateurs en dehors du réseau ICS, tant au sein de l’organisation qu’au niveau des fournisseurs et des applications externes. En isolant toutes les sessions provenant de l’extérieur, il est en effet plus facile de contrôler les applications et d’autoriser les outils permettant d’appliquer des politiques de privilèges moins souples.

En fin de compte, les ICS sont très vulnérables et ont besoin d’une sécurité allant au-delà des techniques de "air gap", qui ont démontré leurs limites. C’est pourquoi elles peuvent, et doivent, s’appuyer sur des processus et outils qui, lorsqu’ils sont utilisés de concert avec le "air gap", contribuent à créer un environnement davantage sécurisé.