Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cyberattaques en environnement industriel : les secteurs du BTP et des hydrocarbures particulièrement ciblés

octobre 2020 par Kaspersky

Au cours du premier semestre 2020, les attaques contre les entreprises des secteurs du pétrole et du gaz et de l’automatisation des bâtiments (climatisations, chauffages automatisés etc.) ont augmenté par rapport au premier et au deuxième semestre de 2019. Cette augmentation a eu lieu alors même que la part d’ordinateurs de systèmes de contrôle industriel (SCI) attaqué dans la plupart des industries a diminué. Les cybercriminels se tournent vers la distribution de menaces plus ciblées et plus précises.

Les attaques contre le secteur industriel sont souvent extrêmement dévastatrices, étant à l’origine à la fois de perturbations de production et de pertes financières. En outre, les attaques contre le secteur industriel sont de plus en plus ciblées, organisées par des groupes d’attaquants sophistiqués qui disposent de ressources importantes et dont les objectifs peuvent être le gain financier comme le cyber espionnage.

Deux segments de l’industrie particulièrement « attractifs » pour les cybercriminels

En début d’année, l’automatisation des bâtiments ainsi que le pétrole et le gaz étaient les secteurs industriels les plus exposés aux cyberattaques. Les attaques contre ces derniers sont potentiellement destructrices puisqu’elles s’ajoutent aux pertes financières liées à la pandémie. Dans le secteur du BTP & de l’automatisation, 39,9% des ordinateurs ont été ciblés par des dispositifs malveillants (contre 38% fin 2019). Dans le secteur des hydrocarbures, ce sont 37,8% des ordinateurs SCI (contre 36,3% fin 2019) qui ont été confrontés à des tentatives de cyberattaques.

Pourcentage d’ordinateurs SCI sur lesquels des objets malveillants ont été bloqués dans différents secteurs industriels

Les systèmes d’automatisation des bâtiments ont tendance à être plus souvent exposés aux attaques. En effet, leur surface d’attaque est plus grande que sur les ordinateurs SCI traditionnels puisqu’ils sont souvent connectés à la fois aux réseaux d’entreprise et à Internet. En outre, ils dépendent traditionnellement d’organisations sous-traitantes et ne sont pas gérés par l’équipe de sécurité des informations de l’entreprise, ce qui en fait une cible plus facile.

L’augmentation du pourcentage de systèmes SCI attaqués dans l’industrie pétrolière et gazière peut, quant à elle, être attribuée au développement de divers virus (programmes malveillants qui s’auto-répliquent sur l’appareil infecté) écrits dans des langages de script, en particulier Python et PowerShell. Ces vers sont capables de recueillir des données d’authentification à partir de la mémoire des processus système en utilisant différentes versions de l’utilitaire Mimikatz. De la fin mars à la mi-juin 2020, un grand nombre de ces vers ont été détectés, principalement en Chine et au Moyen-Orient.

Des attaques moins nombreuses, mais plus ciblées et dévastatrices

Excepté les exceptions que l’on vient de citer, la proportion d’ordinateurs SCI attaqués par des cyber malveillances tend à diminuer. En effet, les cyberattaquants semblent passer d’attaques de masse à des attaques plus ciblées, y compris les backdoors (dangereux chevaux de Troie qui prennent le contrôle à distance du dispositif infecté), les spywares (programmes malveillants conçus pour voler des données) et les ransomwares (qui ciblent des entreprises spécifiques). Il y a eu sensiblement plus d’attaques backdoors et spywares développés sur la plate-forme .NET qui ont été détectés et bloqués sur les ordinateurs SCI. Le pourcentage d’ordinateurs SCI touchés par des ransomwares a légèrement augmenté au premier semestre 2020 par rapport au second semestre 2019 dans tous les secteurs, avec une série d’attaques contre des établissements médicaux et des entreprises industrielles.

Les entreprises industrielles ont également été victimes de campagnes sophistiquées menées par des acteurs de la menace persistante avancée (APT).

« Le pourcentage de systèmes SCI attaqués dans la plupart des industries est en baisse. Cependant, il existe encore des menaces à combattre. Plus les attaques sont ciblées et sophistiquées, plus elles sont susceptibles de causer des dommages sérieux, même si elles sont moins fréquentes. De plus, avec les contraintes de télétravail, les SCI ont été plus exposés aux cybermenaces. Et avec moins de personnel sur place, il y a moins de personnes disponibles pour répondre et atténuer une attaque, ce qui signifie que les conséquences peuvent être bien plus dévastatrices. Étant donné que les infrastructures pétrolières, gazières et d’automatisation des bâtiments semblent être une cible populaire parmi les attaquants, il est crucial que ces propriétaires et opérateurs de systèmes prennent des précautions de sécurité supplémentaire », commente Samy Tadjine, Business Manager Kaspersky Industrial Cyber Security.

Pour en savoir plus sur le paysage de la menace industrielle pour le premier semestre 2020, rendez-vous sur ICS CERT.

Pour que vos ordinateurs SCI soient protégés contre les différentes menaces, les experts de Kaspersky recommandent :
• Mettre régulièrement à jour les systèmes d’exploitation et les logiciels d’application qui font partie du réseau industriel de l’entreprise. Appliquer les correctifs de sécurité et les patches aux équipements du réseau SCI dès qu’ils sont disponibles.
• Effectuer régulièrement des audits de sécurité des systèmes d’exploitation afin d’identifier et d’éliminer les éventuelles vulnérabilités.
• Utiliser les solutions de surveillance, d’analyse et de détection du trafic du réseau SCI pour une meilleure protection contre les attaques pouvant menacer les processus technologiques et les principaux actifs de l’entreprise.
• Une formation dédiée à la sécurité du SCI pour les équipes de sécurité informatique et les ingénieurs OT est cruciale pour améliorer la réponse aux nouvelles techniques malveillantes avancées.
• Proposer à l’équipe de sécurité en charge de la protection des systèmes de contrôle industriel des informations actualisées sur les menaces. ICS Threat Intelligence Reporting fournit des informations sur les menaces et les vecteurs d’attaque actuels, ainsi que sur les éléments les plus vulnérables des systèmes de contrôle industriel et d’OT et sur la manière de les atténuer.
• Utiliser des solutions de sécurité pour les terminaux et le réseau OT, telles que Kaspersky Industrial CyberSecurity, pour assurer une protection complète de tous les systèmes industriels critiques.
• Il n’est pas moins important de protéger également l’infrastructure informatique. Integrated Endpoint Security protège les points terminaux des entreprises et permet une détection automatisée des menaces et des capacités de réponse.


Voir les articles précédents

    

Voir les articles suivants