Cybersécurité : comment protéger les infrastructures critiques

Un paysage des menaces en évolution

Les vacances sont généralement la période de l’année où les entreprises baissent la garde ; ceci est synonyme d'opportunité pour les cybercriminels…Nous comprenons l’importance toute particulière de protéger les infrastructures critiques, les systèmes de contrôle industriel (ICS), les technologies opérationnelles (OT), et plus largement les chaînes de production (manufacturing et d’approvisionnement (supply chain).
Rappel de quelques notions : l'Internet des Objets (IoT) est un réseau constitué de millions d'appareils interconnectés qui communiquent via Internet. De l'IoT est né l'IoT Industriel ou IIoT qui déploie des concepts et des technologies similaires dans les usines, les processus logistiques, les chaînes de fabrication, d’approvisionnement, etc. Les environnements ICS utilisent ce type de dispositifs et de systèmes pour contrôler et faire fonctionner des infrastructures critiques telles que l'approvisionnement en électricité et en gaz, les centrales nucléaires, les raffineries de pétrole et les systèmes de gestion des transports et de la circulation. Ces infrastructures sont indispensables à la production de biens et de services et à garantir l’équilibre de nos institutions et notre sécurité au quotidien. Ceci en fait des cibles de choix pour les cybercriminels !

À l'ère de l'Industrie 4.0, de nombreuses entreprises s'appuient sur la communication entre machines pour automatiser leurs processus métiers. Elles utilisent l'analyse, le cloud et l’apprentissage (machine learning) pour alimenter de nouveaux modèles métier. Les cas d'usage quotidiens de cette technologie incluent les smart cities et les réseaux électriques intelligents qui assurent la maintenance prédictive, la fabrication intelligente et sont dotés de capacités robotiques. Les éléments OT qui exploitent ces systèmes sont souvent connectés aux réseaux informatiques, offrant ainsi aux cybercriminels un pont entre les réseaux IT et les réseaux OT. Compte tenu de l'importance des infrastructures critiques pour la sécurité nationale, il est essentiel de se protéger de telles conséquences. Ce qu’il faut en déduire ? La sécurisation des environnements IIoT et OT contribue à protéger des vies et à assurer la sécurité. Elle permet de se défendre en cas de catastrophes environnementales ou de pertes monétaires importantes dues à des arrêts des chaînes de production par exemple. En somme, une bonne protection limite l'impact des attaques sur la vie des personnes et sur l'économie.

Menaces et conséquences

Les attaques contre les infrastructures critiques peuvent avoir un effet dévastateur sur les entreprises et sur les services publics. Au cours du seul mois de décembre 2020, plus de 148 millions d'enregistrements ont été volés lors de dizaines de cyber-attaques, ce qui porte à plus de 20 milliards le nombre d'enregistrements volés en 2020.

À titre d’exemple, lors d'une attaque contre People's Energy (entreprise écossaise), les données personnelles de l'ensemble de la base de données de l'entreprise, soit 270 000 clients, ont été dérobées. Nous pourrions également citer l’attaque de SolarWinds, l’éditeur américain de logiciels. Cette société a subi une attaque fournisseur (supply chain attack) visant sa plateforme Orion en 2020. Une attaque de type APT (Advanced Persistent Threat) a permis aux cyberattaquants de déposer des logiciels malveillants furtifs dans les systèmes de l'entreprise. Cette attaque a également infiltré les réseaux des clients finaux de SolarWinds, et notamment ceux d’agences gouvernementales américaines telles que le ministère de la Défense, le Ministère de la Justice et le ministère de la Sécurité Intérieure. Plus récemment, lors d'une attaque contre Kaseya, développeur de solutions informatiques, des attaquants ont déployé un rançongiciel dans sa supply chain après avoir exploité une vulnérabilité présent sur l’un de ses logiciels. Selon plusieurs sources, l'attaque a entraîné la fermeture de 800 supermarchés suédois et le chiffrement des serveurs et des postes de travail d’environ 1 000 entreprises.

Un autre exemple très médiatisé est celui de la cyberattaque d'une aciérie iranienne, qui aurait été menée par le groupe hacktiviste "Predatory Sparrow" en juin 2022. Le groupe a déclaré avoir provoqué un grave incendie dans l'installation, preuve supposée à l’appui via la publication d’une vidéo qui semble représenter une séquence de vidéosurveillance, montrant des travailleurs évacuant une zone de l'usine avant qu'une machine ne commence à émettre de l'acier en fusion et du feu. Cette attaque est notable en raison de la rareté des dommages physiques qu'elle a causés, la plupart des cyberattaques se cantonnent en effet généralement à des impacts restreints au domaine numérique (mais pouvant avoir des répercussions indirectes sur le terrain).

La protection des infrastructures critiques repose sur un processus de sécurité en cinq étapes

Les entreprises peuvent protéger leurs systèmes critiques en bloquant tout accès non autorisé à leur réseau et en mettant en place des contrôles de sécurité de type « défense en profondeur » pour les personnes, les processus et la technologie. Elles doivent utiliser des outils d'authentification et d'autorisation pour vérifier la légitimité des utilisateurs et de leurs appareils à chaque tentative de connexion. La surveillance en temps réel de leurs systèmes d'infrastructures critiques est vitale pour détecter immédiatement les menaces et les bloquer. Face à la multiplication des menaces, il est urgent de renforcer les défenses pour protéger les systèmes critiques contre les attaques et les vulnérabilités potentielles. 9 vulnérabilités récemment découvertes, appelées Crit.ix, qui pourraient permettre à un attaquant de prendre le contrôle d'un contrôleur DCS et d'en modifier les opérations, prouvent l'urgence de mettre en œuvre des mesures de sécurité robustes.

●        Inventoriez chaque composant de votre système d’information : le nombre et la diversité d’équipements connectés au réseau des organisations évoluant constamment, il devient de plus en plus difficile de les protéger. Il est vital de commencer par définir votre surface d'attaque, qu'il s'agisse des applications, des données ou des services les plus critiques de l'entreprise.

●        Cartographiez le trafic de votre réseau : les entreprises doivent cartographier les flux de trafic accédant à leur réseau et les documenter afin d’assurer une visibilité totale.

●        Segmentez votre réseau : la sécurité peut être adaptée aux besoins de l’organisation, en commençant par un pare-feu qui permet de segmenter le réseau ou de créer un micro-périmètre autour du trafic. Cette approche est essentielle pour créer des couches supplémentaires de contrôle d'accès et permettre une inspection plus approfondie du réseau.

●        Adoptez une démarche “Zero Trust” : des politiques de sécurité permettent d’autoriser uniquement les appareils et les personnes qui doivent avoir accès au réseau. L'entreprise peut définir quels utilisateurs accèdent à quelles ressources, l’endroit où les ressources sont accessibles et peut mettre en œuvre des mesures supplémentaires pour garantir un trafic légitime.

●        Surveillez et entretenez votre réseau : la dernière étape consiste à s'assurer que le réseau est surveillé et que son trafic est surveillé en permanence. L’entreprise est ainsi informée en continu de l'activité du réseau et peut bloquer les utilisateurs non autorisés et les appareils susceptibles de constituer une menace.
 

En somme, il est vital de ne pas baisser la garde et d’adopter les bonnes pratiques tout au long de l'année, y compris pendant l'été. Les cyberattaquants ne prennent pas de congés ! Assurez-vous de mettre en place les défenses de sécurité nécessaires pour les empêcher de compromettre votre entreprise et préserver la sûreté et la sécurité de votre écosystème métier.