De plus en plus de vulnérabilités exposent notre infrastructure nationale critique (CNI) aux cyberattaques d’acteurs menaçants aux motivations géopolitiques ou d’espionnage d’entreprise, cherchant à provoquer des perturbations, des dommages économiques ou à nuire à la santé et au bien-être des citoyens.
Ces vulnérabilités se retrouvent dans les systèmes de contrôle industriel (ICS) qui sont critiques pour le fonctionnement du CNI. Si les acteurs de la menace prennent le contrôle de l’un de ces systèmes, ils peuvent changer leur fonctionnement ou les empêcher complètement de fonctionner, ce qui pourrait avoir des conséquences considérables.
Pour éviter que leur SCI ne soit repris par des acteurs menaçants, les organisations de secteurs clés tels que l’énergie, la fabrication et les produits pharmaceutiques doivent savoir quelles sont ces vulnérabilités et quelles mesures mettre en place pour les atténuer.
A propos de l’auteur
Amir Preminger est vice-président de la recherche chez Claroty
Sommaire
La montée des vulnérabilités
Nos recherches récentes ont révélé que le nombre de failles de sécurité ICS publiées par la base de données nationale sur les vulnérabilités (NVD) et dans les avis de vulnérabilité rapportés par l’équipe d’intervention en cas d’urgence cybernétique du système de contrôle industriel (ICS-CERT) avait augmenté d’année en année.
Nous avons constaté que le nombre d’avis ICS-CERT publiés au premier semestre 2020 était près d’un tiers supérieur à celui de la même période en 2019, alors que les 365 vulnérabilités signalées par le NVD en 2020 ont augmenté de 10,3% par rapport à l’année précédente.
Pour des industries spécifiques, ces augmentations étaient encore plus élevées. Par exemple, le secteur de l’eau et des eaux usées a connu une augmentation de 122,1% des vulnérabilités ICS-CERT, la fabrication critique a connu une augmentation de 87,3%, tandis que dans le secteur de l’énergie, elle était de 58,9%.
Cette croissance est due à un certain nombre de facteurs, y compris le fait que les ICS sont désormais plus connectés à Internet que jamais auparavant, mais leur mise à jour avec les derniers correctifs peut s’avérer problématique. Il est également important de noter que cette augmentation est également en partie due à une plus grande prise de conscience de ces vulnérabilités, et les chercheurs et les fournisseurs accordant plus de priorité à leur identification et à leur résolution le plus efficacement possible.
Connectivité accrue
Traditionnellement, les équipements ICS et les réseaux de technologie opérationnelle (OT) sur lesquels ils fonctionnent étaient complètement cloisonnés (ou isolés) des réseaux informatiques, ce qui rendait quasiment impossible pour les acteurs de la menace de les cibler à distance. Pourtant, dans un souci d’efficacité accrue grâce aux technologies d’automatisation, les entreprises intègrent de plus en plus leur infrastructure OT à leurs réseaux informatiques.
À mesure que cela devient de plus en plus courant, la responsabilité de la gestion de la sécurité du réseau OT incombe de plus en plus aux équipes de sécurité informatique, dont beaucoup supposent à tort qu’elles peuvent simplement appliquer les protocoles de sécurité informatique avec lesquels elles sont familières au réseau OT. Cependant, ce n’est pas le cas car, par exemple, la disponibilité est prioritaire sur la protection des données sur les réseaux OT, ce qui signifie qu’il est difficile de mener des activités de sécurité informatique standard telles que les correctifs et la maintenance logicielle. Malgré cela et d’autres différences flagrantes entre l’informatique et l’OT, les entreprises poursuivent leurs plans d’intégration IT / OT sans être plus sages.
Exploitation à distance
Notre recherche a révélé que plus de 70% des vulnérabilités publiées par le NVD peuvent être exploitées à distance, soulignant que les réseaux OT à vide sont désormais exceptionnellement rares. Par exemple, l’une des façons dont l’entrefer a été fermé consiste à utiliser des postes de travail d’ingénierie (EWS) qui se connectent à la fois aux réseaux OT et IT par nécessité. Un tel lien en fait une cible attrayante pour les acteurs de la menace, car une fois qu’ils ont infiltré le réseau informatique, ils peuvent ensuite utiliser le serveur Web intégré pour passer au réseau OT. Après avoir pris le contrôle, les acteurs de la menace peuvent accéder à d’autres zones de l’OT, y compris les contrôleurs logiques programmables (API), qui leur permettent de falsifier les processus physiques.
L’étude a également révélé que les produits EWS contenaient plus de la moitié des vulnérabilités découvertes, tandis que les automates en représentaient un quart. En utilisant ces vulnérabilités, les acteurs de la menace sont capables d’effectuer des actions telles que l’exécution de code à distance (RCE), ce qui leur permet d’envoyer des commandes à distance pour établir la permanence et effectuer un mouvement latéral. La RCE a été possible avec près de la moitié des vulnérabilités identifiées (49%), suivie par la capacité de lire les données des applications (41%), de provoquer un déni de service (DoS) (39%) et de contourner les mécanismes de protection (37%).
Divulgation des vulnérabilités
Bien que cela puisse sembler contre-intuitif, le partage des vulnérabilités découvertes avec la communauté ICS est essentiel pour garder les acteurs de la menace à distance. Cela permet non seulement aux fournisseurs et aux chercheurs de trouver de nouvelles méthodes pour atténuer ces risques, mais avertit également les autres utilisateurs des mêmes systèmes qu’ils doivent prendre des mesures pour limiter la capacité des acteurs de la menace à exploiter ces vulnérabilités.
Certains pourraient être réticents à partager leurs connaissances car ils pensent que cela pourrait en faire une cible pour les acteurs de la menace, cependant, il est important de noter que si un fournisseur est affecté par un grand nombre de vulnérabilités, cela ne signifie pas nécessairement qu’il posture de sécurité. Au lieu de cela, cela signifie plus probablement que l’entreprise consacre des ressources pour tester ses produits afin de trouver de manière proactive ces vulnérabilités et de travailler pour les résoudre.
Pour aider l’industrie au sens large, les organisations CNI doivent mettre en place un système de collecte automatique d’informations sur les vulnérabilités révélées et de les comparer à leur propre ICS. Cependant, cela ne peut être efficace que si tous les fournisseurs sont ouverts sur leurs vulnérabilités et sont prêts à les partager.
Protéger ICS n’est pas toujours simple
Les SCI sont par nature des systèmes complexes et multiformes et il n’existe pas de solution simple pour atténuer toutes les vulnérabilités présentes. Au lieu de cela, une approche à plusieurs niveaux est nécessaire.
Comme le démontrent nos recherches, CNI et les principales industries manufacturières doivent prendre des mesures pour protéger les connexions d’accès à distance. C’est maintenant plus important que jamais, car un si grand nombre de travailleurs doivent faire fonctionner des systèmes à distance en raison des restrictions des verrouillages COVID-19.
Des autorisations d’accès granulaires qui permettent aux travailleurs d’utiliser uniquement les fonctions exactes nécessaires pour effectuer leur travail doivent être introduites pour empêcher les acteurs menaçants de se déplacer facilement sur le réseau et de passer d’un appareil à un autre. En contrôlant ces autorisations avec l’authentification multifacteur (MFA), les organisations peuvent contrecarrer les pirates qui utilisent des techniques telles que la force brute pour déchiffrer les mots de passe et accéder au réseau. MFA aide également à atténuer certains des dangers posés par l’ingénierie sociale, dans laquelle les acteurs de la menace utilisent de faux e-mails et sites Web pour amener les employés à révéler leurs informations de connexion. Pour réduire davantage le danger des menaces basées sur l’ingénierie sociale, les employés doivent également recevoir une formation sur la façon de détecter les e-mails malveillants et sur les mesures à prendre s’ils en reçoivent un.
De plus, la collaboration entre les équipes de sécurité IT et OT est vitale pour assurer la sécurité de l’ensemble de l’environnement ICS. De cette manière, toutes les vulnérabilités sur le réseau informatique peuvent être analysées pour déterminer si elles auront un impact sur OT et vice versa. Une telle capacité ne peut être efficace qu’en ayant une vue unifiée à la fois de l’OT et des réseaux informatiques, ainsi que des experts qui comprennent les nuances entre eux.
À mesure que la connectivité entre OT et IT augmente inévitablement en raison des exigences de plus grande efficacité, les vulnérabilités potentielles qui doivent être atténuées augmenteront également. Il est donc aujourd’hui plus important que jamais que les équipes de sécurité travaillant au CNI mettent en place des mesures leur permettant de détecter et de répondre rapidement et efficacement à toute menace, qu’elle survienne sur le réseau informatique ou OT.
