Bien qu’en pratique les systèmes aient basculé vers le numérique, la transition vers l’adoption des processus et bonnes pratiques de sécurité peut se révéler plus longue et difficile pour des infrastructures. Le fonctionnement de celles-ci ayant en effet toujours été traditionnel et "hors connexion". Aussi les organisations doivent-elles à présent prendre pleinement conscience qu’elles ne sont plus immunisées contre la cybermenace et ont besoin d’un accompagnement pour protéger de façon adéquate leurs systèmes.

Jean-Christophe Vitu, Director Presales and Professional Services France, chez CyberArk a fait les commentaires suivants :

« Les systèmes industriels, utilisés par des opérateurs d’importance vitale (OIV), ont longtemps été épargnés par la cybermenace car traditionnellement ils n’étaient pas connectés à internet. Or la modernisation des structures a changé ce paradigme mais les bonnes pratiques n’ont pas toujours été mises en place immédiatement. Ce manquement a, sans surprise, conduit à une hausse des attaques contre ces systèmes. Ces dernières se sont ainsi concrétisées en 2010 suite à l’infiltration du virus Stuxnet dans une installation industrielle iranienne. Plus récemment, les équipes américaines d’intervention d’urgence sur les systèmes de contrôle industriel (ICS-CERT) ont indiqué que 295 incidents avaient été signalés aux États-Unis sur l’année 2015 uniquement.

Dans l’ensemble, les vulnérabilités, souvent inhérentes à la sécurité de ces systèmes, telles que l’utilisation de comptes partagés ne faisant pas l’objet d’une surveillance individuelle, l’accès aux informations à distance, ou encore les connexions réseau aux différents environnements de l’entreprise, représentent d’importants vecteurs d’attaque. Ces derniers permettent aux hackers d’infiltrer les réseaux critiques, de voler les accès à privilèges, d’exfiltrer les données sensibles ou encore de causer des dommages physiques. De plus, un niveau de sécurité insuffisant peut avoir de sévères conséquences, les environnements SCADA (Supervisory Control And Data Acquisition) et ICS étant généralement constitués de milliers de périphériques, serveurs, bases de données, postes de travail, périphériques réseau et applications, tous contrôlés et gérés par une variété de comptes à privilèges et d’administration.

Par exemple, pour éviter qu’une tentative de piratage n’interrompe le fonctionnement d’une centrale électrique, les industries doivent revoir leur stratégie de sécurité en partant du principe que l’attaquant va inévitablement infiltrer leurs réseaux. Dès lors, isoler leurs systèmes critiques des autres afin d’en protéger l’accès et mettre en place une surveillance en temps réel leur permettra de stopper la progression d’un hacker dans le réseau. En effet, le fait d’empêcher les systèmes de communiquer entre eux évitera à un hacker ayant réussi à identifier une vulnérabilité et à s’introduire insidieusement d’accéder au reste du réseau. Ainsi, l’identification et la protection proactives de l’ensemble des comptes à privilèges existants doivent s’inscrire dans une approche holistique de la sécurité d’une structure ; pour ce faire, les services informatiques et équipes ICS traditionnelles doivent se coordonner autour de la mise en place d’un système capable de contrôler, gérer, surveiller et sécuriser à la fois les comptes administrateurs ayant des accès à privilèges ainsi que ceux des fournisseurs tiers bénéficiant d’accès à distance. Par ailleurs, isoler la connexion externe non sécurisée à des réseaux ICS permettra de réduire la surface d’attaque.

Face à l’ampleur des environnements SCADA et ICS présents dans le monde, et dans un contexte de terrorisme accru, les craintes d’une attaque de grande envergure à leur encontre s’amplifient depuis de nombreuses années. Les terroristes peuvent par exemple utiliser une cyberattaque pour provoquer une confusion de masse, puis perpétrer ensuite une attaque physique provoquant un maximum de dégâts afin de nuire sérieusement aux systèmes de santé, aux marchés financiers ou aux réseaux d’énergie. Il est donc indispensable que les industries prennent les mesures nécessaires pour renforcer la protection de ces systèmes. Elles éviteront ainsi tout risque d’intrusion dans les réseaux et d’utilisation malveillante pouvant aller au-delà d’un "simple" vol de données initial. »