Sécurité industrielle : des risques majeurs encore sous-estimés

Les vulnérabilités des réseaux OT augmentant de manière constante, la sécurité dans l’industrie doit être plus que jamais au centre des priorités.

Il ne s’agit plus simplement d’éviter les dommages collatéraux tels que les pertes financières ou les répercussions sur les activités commerciales. Toute la chaîne de production peut être affectée par l’intrusion d’un cyberattaquant.

La spécificité du secteur de l’industrie tient à son fonctionnement en continu. Les machines industrielles sont garantes de la continuité d’activité, il est donc rare de pouvoir les réinitialiser ou les éteindre pour effectuer des mises à jour. Ainsi, le principal risque encouru est le détournement des fonctionnalités d’une machine. Il suffit de peu pour qu’un cyberattaquant puisse, par exemple, injecter un programme de langage graphique (langage Ladder), dans un appareil de contrôle, ou sur un automate programmable. Si ce code est injecté sur une machine qui n’a pas été récemment redémarrée et qui communique sur des protocoles propriétaires, il a donc plus de chance de perdurer et il devient extrêmement difficile de compromettre le cyberattaquant.

De plus, le secteur de l’industrie voit émerger de nouvelles attaques, qui ne se limitent plus uniquement au dérèglement ou à l’arrêt d’une machine.

Des menaces qui dépassent le "simple" accès aux données

Dès lors qu’ils s’introduisent sur un site de production, les cybercriminels ont accès à une quantité de données dans laquelle il leur est facile de piocher, mais les conséquences d’une telle intrusion vont plus loin. En effet, une fois qu’un réseau est compromis, il est possible pour le cybercriminel d’entrer dans n’importe quelle autre partie du réseau. Par ailleurs, le cryptojacking standard (c’est-à-dire le vol de puissance du processeur du système affecté, populaire grâce au minage de cryptomonnaie) est toujours possible, mais plus difficile, à cause des configurations verrouillées des équipements industriels, rendant la gestion des programmes rogues plus complexe.

D’autres types de vulnérabilités permettent aussi la modification de programmes sur les machines industrielles. Pire, un attaquant accédant à un site de production peut éteindre, mettre en incapacité ou déconnecter (DoS) une ou plusieurs machines. Il y a donc autant de portes d’entrée pour les cyberattaquants qu’il y a de vulnérabilités. Et il devient de plus en plus difficile de cataloguer les attaques pour les traiter. Incontestablement, il est nécessaire pour le secteur de l’industrie de disposer d’une visibilité complète de la surface d’attaque.

La gestion des mots de passe des appareils IoT

Bon nombre de technologies touchées par les vulnérabilités des réseaux OT appartenaient à la classe de l'IoT, avant même l'avènement de l'Internet. Et les mesures de sécurité appliquées aux plus modernes des technologies, ne s'appliquent pas à l'OT. Et les systèmes IT qui supervisent l'environnement OT peuvent également être obsolètes.

De plus, les appareils IoT sont toujours mêlés à des problèmes de sécurité liés aux mots de passe, causés à la fois du côté fabricant que du côté client. Pris dans la course au lancement de nouveaux produits et au raccourcissement des cycles de vie des produits, les questions de sécurité ne sont pas la priorité des fabricants. Les mots de passe par défaut sont faibles, et bien souvent disponibles en ligne pour une configuration plus rapide de l'appareil. Les cyberattaquants peuvent donc obtenir ces mots de passe avec une facilité déconcertante, et les utiliser pour pirater des appareils à distance.

Enfin, les fabricants n'encouragent pas toujours les clients à changer les mots de passe par défaut ou, parfois même, ils ne peuvent pas être changés. Les clients prennent alors l’habitude d’utiliser des mots de passe faibles et des communications réseau permissives, ce qui place l'appareil dans une situation de vulnérabilité puisqu’il peut alors être en communication avec n'importe qui.

Directive NIS : quel impact ?

Même si la directive NIS a été introduite, les dispositifs IoT ne sont pas encore tous réglementés, ce qui laisse les entreprises sans orientation sur la manière de comparer leur sécurité.

Au fur et à mesure que les industriels adoptent les méthodes propres à la "Digital Workplace", ce sont également d'innombrables dispositifs connectés à Internet qui sont potentiellement introduits sur les réseaux IT et OT, offrant aux pirates encore plus d'opportunités d'infiltration. Il est impératif de s’informer sur les risques de sécurité de l’IoT et les bonnes pratiques afin de garantir la sécurité de tous les dispositifs présents dans les espaces de travail.

Il est également important de rappeler que l'IoT en tant que concept est encore relativement nouveau et ne fonctionne donc pas selon le principe de "security by design". Il est prouvé que de nombreux appareils IoT utilisés par les entreprises ont été conçus avec des noms d'utilisateur et des mots de passe par défaut qui sont codés en dur dans le firmware, ce qui signifie qu'ils ne peuvent pas être modifiés.

Identifier ses faiblesses et automatiser