Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’évolution des cybermenaces au sein des environnements OT

juin 2020 par Fortinet

Cette année marque le 10eme anniversaire de la découverte de Stuxnet. Ce ver particulièrement malveillant a été sous les feux de l’actualité pour sa capacité à cibler les systèmes industriels de contrôle et d’acquisition de données (SCADA).

Le code de Stuxnet, sophistiqué et d’un poids de plus de 500 ko a su trouver sa voie au sein des machines sous Windows et des réseaux, en se répliquant à de multiples reprises avant de rechercher des logiciels supplémentaires. Ce ver cible les automates programmables industriels (PLC), clé de voûte de l’automatisation des processus électromécaniques et industriels.

Depuis Stuxnet, de nombreux autres exemples d’attaques sophistiquées sur les systèmes industriels (OT pour operational technology) ont eu lieu dans le monde. C’est le résultat, entre autres, de réseaux OT de plus en plus connectés à Internet, ce qui les rend plus vulnérables aux attaques menées par les cybercriminels, les hackers et certains états. Comme le souligne le rapport “State of Operational Technology and Cybersecurity Report” de Fortinet, 74% des acteurs de l’industriel ont subi une intrusion par malware au cours des 12 derniers mois, pesant ainsi sur la productivité, les revenus, la réputation, les actifs immatériels et même sur la sécurité physique des entreprises qui en sont victimes.

Des cyberattaques majeures sur les environnements OT et les systèmes ICS

En évaluant les cyberattaques les plus importantes sur les systèmes ICS au cours de la dernière décennie, on ne peut que constater le net progrès des assaillants en matière de savoir-faire technique. Leur volonté est de nuire non seulement aux infrastructures digitales, mais aussi aux infrastructures physiques, jusqu’à impacter les travailleurs et les communautés. Stuxnet est sans doute le pionnier d’une série d’attaques malveillantes contre les systèmes ICS qui ont amené les organisations dans le monde à réfléchir à l’étendue et à l’impact des cyberattaques sur le monde physique.

La progression des nouvelles menaces et attaques a redéfini intégralement le fonctionnement des systèmes ICS et SCADA. Voici un récapitulatif des cyberattaques OT les plus significatives au cours de la décennie passée, ainsi que leur influence sur les stratégies modernes de sécurité des infrastructures critiques.

2011 : Duqu

Des chercheurs hongrois en cybersécurité ont identifié un malware, dénommé Duqu, proche de Stuxnet dans sa structure et sa conception. Duqu a pour objectif de détourner des informations en déguisant ses transmissions de données dans un format de trafic HTTP normal et en transférant de faux fichiers JPG. Duqu se distingue par l’importance accordée au travail de reconnaissance en amont de l’exécution d’une campagne d’attaque : un malware de détournement de données est utilisé en tant que première phase d’une série d’attaques qui suit.

2013 : Havex

Havex est un malware de type RAT (Remote Access Trojan) découvert en 2013. Associé au groupuscule de cybercriminels GRIZZLY STEPPE, Havex cible les systèmes ICS et communique avec un serveur C&C qui déploie des modules malveillants.

Le module spécifique aux ICS recueillait des informations serveur OPC (Open Platform Communications), comme les clés CLSID, le nom du serveur, le Program ID, la version OPC, des informations sur le constructeur, le statut d’exploitation et la bande passante du serveur. Il pouvait également énumérer les tags OPC. En communiquant avec l’infrastructure C&C, Havex pouvait envoyer des instructions pour offrir des fonctionnalités améliorées et inconnues au malware.

2015 : BlackEnergy

Découvert en 2015, le malware BlackEnergy était utilisé pour exploiter les macros de documents Microsoft Excel. Ce malware a su s’immiscer au sein des réseaux via des emails de spear-phishing envoyés aux collaborateurs. Les tactiques des assaillants étaient relativement peu sophistiquées. Pour autant, ce malware prouve que les cybercriminels pouvaient manipuler les infrastructures critiques à grande échelle.

2017 : TRITON

Le malware TRITON, identifié en 2017, cible les systèmes de sécurité industrielle. Il s’en est ainsi pris à un système de sécurité actif, en intégrant des fonctionnalités malveillantes au cœur du firmware. L’assaillant installe ainsi un malware pour lire et modifier les contenus de la mémoire, puis déployer un code personnalisé et des programmes supplémentaires permettant de désactiver, d’inhiber ou de modifier la capacité d’un processus industriel à subir une défaillance en toute sécurité. TRITON est le tout premier malware connu pour être conçu sur mesure pour s’en prendre aux systèmes de sécurité industriels protégeant les vies humaines.

Relever les défis de la sécurité des systèmes ICS et SCADA

Les systèmes ICS constituent un segment important des couches d’architecture. Ils se déclinent en de très nombreux types de dispositifs, systèmes, outils de contrôle et réseaux qui gèrent les processus industriels. Les plus communs d’entre eux sont les systèmes SCADA et les systèmes de contrôle distribués (DCS).

Alors que la plupart des entreprises ont déployé des mesures de sécurité IT depuis des années, la sécurité OT se veut un terrain quelque peu nouveau. Avec l’essor de l’Internet industriel des objets (IIoT) et l’avènement de la convergence IT/OT, les systèmes OT n’opèrent plus au sein d’un environnement cloisonné qui les protégeait contre les hackers et les logiciels malveillants. En conséquence, les cybercriminels ont de plus en plus ciblé les systèmes OT pour détourner des informations confidentielles, perturber les opérations ou mener des actes de cyberterrorisme contre les infrastructures vitales, en partie parce que les malware existants s’en prennent efficacement aux systèmes déployés au sein des réseaux OT. Ces systèmes n’ont probablement pas été patchés, ni mis à jour, puisqu’ils ne bénéficient plus de nouveaux développements.

Les systèmes OT ont rencontré de nombreux défis qui ont contribué à faire évoluer les menaces au cours des récentes années :

● L’absence d’inventaire des dispositifs OT : sans visibilité et contrôle total, il n’est pas possible de protéger des ressources à l’aide de patchs ou via des audits de sécurité.
● L’absence d’accès distant au réseau : la majorité des technologies liées aux systèmes ICS opère dans un cadre d’accès physique restreint et de composants/protocoles obscures.
● Matériels et logiciels obsolètes : de nombreux systèmes ICS et SCADA reposent sur des systèmes d’exploitation ou du matériel obsolète, incompatibles avec les technologies modernes de défense. Nombre de ces équipements sont déployés au sein d’environnements qui ne permettent pas de mettre à l’arrêt les systèmes à des fins de patching ou de mise à jour.
● Segmentation du réseau : les environnements OT fonctionnent dans un contexte de confiance, un modèle peu adapté aux nouveaux environnements IT et OT. La pratique qui consiste à partitionner les réseaux en segments fonctionnels, limitant ainsi les données et applications qui peuvent migrer d’un segment à l’autre, est largement sous-utilisée dans le cas des ICS.
● Contrôle d’accès limité et gestion des permissions : alors que des systèmes isolés ou cloisonnés deviennent interconnectés, les contrôles et les processus qui gèrent les accès gagnent souvent en complexité.

Heureusement, les risques qui induisent des menaces de sécurité ciblant les systèmes ICS/SCADA sont mieux connus, et sont davantage pris en compte par de nombreuses entreprises de premier plan. Des organisations gouvernementales, comme l’ICS-CERT (Industrial Control Systems Cyber Emergency Response) américain ou le CPNI (Centre for Protection of National Infrastructure) britannique, proposent désormais des conseils et recommandations sur les meilleures pratiques en matière de sécurité des systèmes ICS. Il en est de même en France, avec l’ANSSI.

Des normes ont également été élaborées par l’International Society of Automation (ISA), avec un framework qui répond aux carences les plus urgentes en matière de sécurité des réseaux industriels et fournit des lignes directrices pour en améliorer la gestion. De même, l’organisme à but non lucratif ICS-ISAC encourage le partage des connaissances sur les risques, les menaces et les meilleures pratiques pour aider les entreprises à développer une sensibilisation qui vient en support à la sécurité locale, nationale et internationale.

La nécessité d’accompagner les infrastructures vitales

La sécurité des systèmes ICS/SCADA devrait être une priorité en raison des répercussions potentielles d’une attaque contre la sécurité physique des collaborateurs, des clients et des communautés. À ce titre, la conformité réglementaire devient également une priorité. Fort heureusement, l’adoption d’une approche d’une sécurité en profondeur pour les systèmes ICS/SCADA permet aux entreprises de renforcer leur niveau de sécurité global et leur stratégie de maîtrise des risques.




Voir les articles précédents

    

Voir les articles suivants