Comment se prémunir des risques de cybersécurité pour les industriels ?

Plus les industriels adoptent des technologies d'automatisation de leurs usines et process, plus grande est leur exposition aux risques de cybersécurité.

Particulièrement visés, le piratage des systèmes de contrôle industriels est en hausse constante.

À mesure que la technologie devient accessible, la plupart des entreprises construisent des usines connectées (smart factories), surtout que l’automatisation se traduit par un meilleur résultat de fait de la réduction des coûts de fabrication et des gains de productivité rendus possibles. Or parallèlement, la migration vers le cloud crée une surface d’attaque plus large pour les cybercriminels, décidés à utiliser à leur profit les machines dont leurs victimes se servent pour leur croissance.

L’agence CISA (Cybersecurity and Infrastructure Security Agency) entend protéger en priorité le secteur des infrastructures critiques ; autrement dit, les entreprises de fabrication dont les produits sont essentiels au fonctionnement du pays. Une étude récente par Moody’s Investor Services a révélé que ces entreprises sont particulièrement visées et notamment celles de l’électricité, du gaz, de l’eau, des télécommunications, des produits chimiques et de l’énergie.

Force est de constater que les incidents liés au piratage de systèmes de contrôle industriels affichent une hausse constante ces dernières années et que la tendance n’est pas au ralentissement. Ce sont des cibles privilégiées des hackers pour leur propension à verser une rançon et leurs mesures de sécurité souvent inadaptées. Or les entreprises de ces secteurs ont pensé à tort qu’elles ne présentaient pas suffisamment d’intérêt pour être visées. Mais les choses ont grandement changé.

Comment les cybercriminels parviennent-ils à prendre le contrôle de l’entreprise ?

Les objets connectés peuvent se compter en centaines sur le réseau d’une seule usine de fabrication, pourtant beaucoup n’ont toujours pas adopté les mesures de sécurité qui s’imposent. Les cybercriminels misent sur le fait que les gestionnaires ne peuvent pas surveiller chaque dispositif, et tentent ainsi d’occasionner des dommages sans être repérés. Certains vont compromettre ou infecter des capteurs ou autres en prévision d’une campagne d’attaque beaucoup plus large, et ce sans que l’intrusion soit remarquée avant des jours ou des semaines.

En prenant le contrôle de très nombreux dispositifs individuels, les cybercriminels créent un botnet, un réseau d’ordinateurs contraints d’exécuter un programme malveillant. Cette pratique est courante dans les attaques par déni de service distribué, DDoS (Distributed Denial-of-Service), et celles de phishing. Dans la plupart des cas, c’est le facteur humain qui est source de la plus grande vulnérabilité, et en particulier les employés amenés à ouvrir des e-mails hostiles et à révéler des données confidentielles. Voici quelques exemples :

·       L'enseigne de grande distribution Target a été victime de criminels qui ont utilisé un e-mail de phishing adressé à un sous-traitant pour pénétrer la base de données des clients. L’entreprise de climatisation Fazio Mechanical Services était autorisée à se connecter au réseau de Target pour ses obligations contractuelles et sa facturation. Le malware a obtenu les identifiants d’un employé et s’en est servi pour s’infiltrer et propager le malware sur les ordinateurs. 40 millions d’enregistrements de crédit et de débit et 70 millions de dossiers de clients ont été volés en quelques jours. Ce cas de compromission a valu à Target 18,5 millions de dollars d’amendes.  

·       Les attaques de ransomware sont lucratives également et demeurent la menace n°1 des moyennes et grandes entreprises. Les conséquences peuvent être lourdes pour l’entreprise victime mais l’économie-même pourrait s’en trouver perturbée. Colonial Pipeline a versé une rançon de 4,4 millions de dollars pour réactiver son activité pétrolière après qu’une attaque a bloqué la distribution de plusieurs millions de barils d’essence, de diesel et de kérosène. Colonial est à la tête du plus grand circuit de distribution de carburant aux États-Unis et un porte-parole de l’entreprise a reconnu dans les médias que l’impact économique du temps d’arrêt était bien pire que la rançon versée.

·       De nombreux hackers s’engagent dans des pratiques d’ingénierie sociale pour obtenir de précieuses informations. Les professionnels de l’ingénierie sociale ciblent des humains plutôt que la technologie pour collecter des renseignements utiles. Ce terme générique englobe de nombreuses tactiques de manipulation. Le plus souvent, l’agresseur se fait passer pour un représentant d’une entreprise officielle pour inciter les victimes à révéler des informations, comme leurs mots de passe ou des informations personnelles.

·       Les cyberattaques de sabotage peuvent être facilitées par un initié, un employé mécontent, par exemple, ou un concurrent. La technologie opérationnelle (OT) aide les hackers qui se servent des machines comme de points d’entrée d’un réseau sécurisé. Une fois infiltrés, ils peuvent perturber les opérations, les mettre à l’arrêt ou endommager durablement le fonctionnement.

·       Comme l’attaque de sabotage, l’attaque DDoS peut mettre à l’arrêt une machine ou un réseau, et les rendre inaccessibles par l’exploitant. Une attaque DDoS inonde la cible d’un trafic intense ou envoie des informations jusqu’à provoquer un crash. Plusieurs attaques DDoS puissantes ont été observées fin 2016 dont la piste a pu être remontée jusqu’à un malware appelé Mirai. Google a également annoncé cette année avoir bloqué la plus importante attaque de cette catégorie avec 46 millions de requêtes par seconde (RPS). Google l’a comparée à la concentration en 10 secondes de toutes les requêtes adressées en une journée à Wikipédia. Ces attaques sont devenues plus complexes et nombreuses récemment si bien que les entreprises doivent impérativement se doter des bons outils pour détecter et analyser le trafic au plus tôt.

Face à l’explosion des attaques de ransomware, DDoS et d’initiés, les équipes informatiques doivent redoubler d’efforts de prévention

Les entreprises doivent mieux appréhender leur posture de sécurité et il est de leur responsabilité d’investir dans les mesures de cybersécurité pour se protéger. Des experts de la cyber guerre invitent leurs clients à mieux former et préparer leurs employés au plus vite, à travers, notamment :

·       Des exercices d’entraînement

·       Des exercices de détection des e-mails de phishing

·       Des simulations d’attaques

·       Des tests constants des systèmes de sauvegarde et de sécurité

Les employeurs se rendent souvent compte qu’ils ne sont pas suffisamment outillés pour la formation et les questions de sécurité et ils délèguent volontiers à des consultants. Une récente étude de Canalys confirme la progression des services managés, d’externalisation et de consulting, qui représenteront près de 65 % du marché mondial de la cybersécurité cette année. Les MSP et MSSP ont donc une occasion à saisir en termes de services d’aide à la conception et au déploiement et de support sur le long terme. Souvent, leurs modèles d’externalisation flexibles permettent aux clients de décider du niveau d’assistance dont ils ont besoin (assistance exceptionnelle ou contrat sur le long terme).