Internet
Il est temps de rendre la cybersécurité obligatoire
Le 7 mai, un réseau de pipelines transportant près de la moitié du carburant utilisé sur la côte est des États-Unis a été paralysé par une cyberattaque majeure. L’arrêt de cinq jours du pipeline Colonial a entraîné des pénuries de carburant généralisées et des achats de panique alors que la Virginie, la Caroline du Nord et la Floride ont déclaré l’état d’urgence.
L’attaque met en évidence la vulnérabilité des infrastructures critiques telles que les pipelines de carburant à une époque de menaces croissantes en matière de cybersécurité. En Australie, nous pensons que le moment est venu de rendre obligatoire pour les entreprises d’infrastructures critiques la mise en œuvre de mesures de cybersécurité sérieuses.
Dommage collatéral
Le risque de cyberattaques sur les infrastructures critiques n’est pas nouveau. À la suite des événements du 11 septembre 2001, la recherche a démontré la nécessité de s’attaquer aux risques de sécurité mondiaux en analysant les problèmes de vulnérabilité et de protection des infrastructures essentielles. Nous avons également proposé des systèmes pour assurer la sécurité dans les infrastructures critiques de la chaîne d’approvisionnement telles que les ports maritimes et les pratiques, y compris la gestion du transport de conteneurs.
La montée des attaques de «ransomwares», dans lesquelles des attaquants saisissent des données importantes des systèmes d’une organisation et exigent une rançon pour leur retour, a accru le risque. Ces attaques peuvent avoir des conséquences inattendues.
Les preuves suggèrent que la fermeture coloniale était le résultat d’une telle attaque, ciblant ses données. Il semble que la société ait fermé le réseau de pipelines et certaines autres opérations pour empêcher la propagation du logiciel malveillant. Cela a entraîné une cascade d’effets non intentionnels à l’échelle de la société et de dommages collatéraux.
En effet, les assaillants ont peut-être été surpris par l’ampleur des dégâts qu’ils ont causés et semblent maintenant avoir mis fin à leurs propres opérations.
Nous avons vu comment les infrastructures critiques de la chaîne d’approvisionnement peuvent être gravement perturbées en tant que dommages collatéraux. Nous devons considérer la gravité des retombées d’une attaque directe.
Les événements aux États-Unis soulèvent également une autre question importante: à quel point notre infrastructure critique de la chaîne d’approvisionnement en Australie est-elle vulnérable?
Les infrastructures critiques sont une cible attractive
La société australienne dépend de nombreuses chaînes d’approvisionnement internationales et nationales. Celles-ci sont étayées par une infrastructure critique de la chaîne d’approvisionnement qui est souvent gérée par des systèmes d’information et de communication avancés et interconnectés. Cela en fait des cibles attrayantes pour les cyber-attaquants.
Les cadres de cyber-risque sont souvent dérivés d’approches traditionnelles de gestion des risques, traitant les problèmes d’une cyberattaque potentielle en tant que risque conventionnel de routine. Ces approches de gestion des risques mettent en balance les coûts de prévention d’une cyberattaque par rapport aux coûts et à la probabilité d’une violation.
Dans certaines industries, cette évaluation prendra en compte le coût d’une clientèle perdue qui ne reviendra peut-être jamais. Cependant, les prestataires de services essentiels tels que le transport, les soins médicaux, l’électricité, l’eau et la nourriture voient peu de risques de perdre des clients.
Après l’incident colonial, les clients sont retournés aux stations-service dès qu’ils le pouvaient et ont continué à acheter du carburant. Ainsi, les industries critiques peuvent percevoir moins de coûts d’une violation que les entreprises d’autres secteurs, car leurs clients reviendront.
Temps de conformité
Les efforts nationaux de l’Australie en matière de cybersécurité sont coordonnés par l’Australian Cyber Security Centre (ACSC) sous les auspices de la Direction australienne des signaux. L’ACSC travaille avec des organisations des secteurs public et privé pour partager des informations sur les menaces et des conseils sur les meilleures pratiques en matière de sécurité.
Les documents de l’ACSC tels que l’Essential Eight fournissent des conseils aux organisations sur les mesures de sécurité de base. Celles-ci sont complétées par des ressources plus complètes, notamment le Manuel de sécurité de l’information du gouvernement australien.
Cependant, nos recherches ont montré que les meilleures pratiques ne sont pas universellement suivies, même par les sites Web du gouvernement australien.
Le manque de connaissances n’est pas le problème. Les meilleures pratiques en matière de sécurité sont généralement bien comprises et documentées par l’ACSC. L’ACSC fournit également des conseils spécifiques pour les secteurs et industries critiques, comme un cadre de sécurité développé pour le secteur de l’énergie.
Le défi ici est que ce ne sont que des lignes directrices. Les entreprises peuvent choisir de les suivre ou non.
L’Australie a besoin d’un programme de conformité en matière de cybersécurité. Cela signifierait obliger les entreprises qui gèrent des infrastructures essentielles telles que les ports ou les pipelines à suivre une sorte de règles.
Une première étape pourrait consister à demander à ces entreprises de se conformer aux directives existantes et d’exiger la certification d’une base de cybersécurité.
Leçons des États-Unis
Le gouvernement américain a répondu à la cyberattaque coloniale par un décret visant à améliorer la cybersécurité et les réseaux du gouvernement fédéral. L’ordonnance propose une série de mesures pour moderniser les normes et améliorer le partage d’informations et les exigences en matière de rapports. Ce sont des mesures précieuses, dont beaucoup sont déjà dans le cadre des fonctions existantes de l’ACSC de l’Australie.
Une autre mesure de l’ordonnance américaine est la création d’un Cyber Safety Review Board indépendant. L’Australie pourrait également établir un partenariat entre le gouvernement et l’industrie pour superviser la cybersécurité. Un organisme similaire réglemente déjà l’aviation: l’Autorité de la sécurité de l’aviation civile.
Une telle organisation fournirait une analyse et un rapport robustes des cyberincidents. Il partagerait également des informations avec les responsables des technologies de l’information, les développeurs de logiciels et de matériel, les administrateurs publics, les gestionnaires de crise et autres.
Les menaces de cybersécurité créent des niveaux élevés d’incertitude pour les secteurs public et privé. Les attaques qui perturbent les infrastructures essentielles de la chaîne d’approvisionnement ont des impacts étendus sur la société et le commerce.
Un programme de conformité à la cybersécurité peut être coûteux sur le plan financier, mais constituerait un investissement rentable étant donné l’impact sociétal d’une cyberattaque réussie.
Les serveurs du hacker Darkside de Colonial Pipeline forcés à l’arrêt: une entreprise de sécurité
Fourni par The Conversation
Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lisez l’article original.
Citation: Il est temps de rendre la cybersécurité obligatoire (2021, 28 mai) récupéré le 28 mai 2021 sur https://techxplore.com/news/2021-05-cyber-compulsory.html
Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.
Sommaire