"Les ransomwares contre les fournisseurs d’infrastructures critiques sont incroyablement rentables pour les cybercriminels, comme l’ont montré les fuites de données du ransomware Conti. ... Tous les secteurs d’infrastructures critiques continuent de subir une transformation numérique, ce qui entraîne une expansion de la surface de cyberattaque. Les nouveaux investissements technologiques représentent de grandes opportunités d’efficacité, comme le passage à des usines et des villes intelligentes, mais ces changements peuvent introduire de réelles lacunes en matière de sécurité. Sans amélioration de la sécurité et de la résilience, les fournisseurs d’infrastructures critiques ne sont pas préparés à faire face aux cybermenaces."

Faisant référence aux menaces auxquelles les infrastructures critiques sont confrontées du fait de la connectivité rapide et des risques de convergence IT/OT, Yoran écrit :

"Une évaluation récente d’un moteur de recherche disponible pour les appareils connectés à Internet a révélé que plus de 28 000 systèmes de contrôle industriel (ICS) et systèmes de contrôle de surveillance et d’acquisition de données (SCADA) sont directement accessibles depuis Internet. S’ils ne sont pas directement accessibles depuis l’internet, d’innombrables autres peuvent l’être via des portails de services de plus en plus populaires, qui peuvent eux-mêmes être compromis. Si l’on ajoute à cela l’erreur humaine et la fréquence des logiciels mal configurés, ainsi que la connectivité rapide nécessaire au bon fonctionnement des environnements OT d’aujourd’hui, nous entrons peut-être dans une ère qui accélère de manière exponentielle les défaillances systémiques en matière de cybersécurité. Les systèmes qui sont interconnectés d’une manière qui n’a pas été conçue entraînent la complexité et engendrent l’insécurité.

"Ces systèmes, ainsi que d’autres technologies OT utilisées dans des environnements d’infrastructures critiques, sont notoirement difficiles à corriger, car les systèmes doivent être démontés et testés de manière approfondie chaque fois qu’une mise à jour est effectuée. Les modèles d’exploitation existants pour la plupart des environnements OT, tels que les centrales électriques, les gazoducs et les usines de fabrication, laissent peu de marge pour les temps d’arrêt. Ces entreprises ont historiquement essayé de réduire leur exposition en segmentant fortement leurs environnements, mais l’augmentation de la convergence IT/OT rend la segmentation moins efficace, ce qui se traduit par des systèmes qui ne peuvent pas être patchés ou sécurisés comme des cibles.

Sur ce que les organisations peuvent faire pour mieux se protéger, Amit Yoran ajoute :

"Les fournisseurs d’infrastructures critiques ont un devoir de diligence, mis en évidence en période de turbulence, pour être des gestionnaires responsables des services sur lesquels on compte. Se protéger signifie savoir ce qui se trouve sur son réseau et le maintenir en bon état de fonctionnement, ce qui inclut la protection contre les vulnérabilités connues.

"Comme de plus en plus de personnes ont accès à ces systèmes, la sécurité s’effondre rapidement si des pratiques strictes de gestion de l’identité ne sont pas mises en place. Les systèmes doivent être traités comme si un adversaire sophistiqué y avait déjà accès ou pouvait y accéder."

En conclusion de son témoignage écrit, Amit Yoran a ajouté :

"Il existe des mesures fondamentales que tous les fournisseurs doivent prendre, depuis la connaissance de ce qui se trouve sur leur réseau et de la façon dont ces systèmes sont vulnérables jusqu’à la correction de ces expositions, et depuis le contrôle de l’accès et des privilèges des utilisateurs jusqu’à la gestion des systèmes critiques qui sont interconnectés, qui rendront plus difficile pour les mauvais acteurs de compromettre les infrastructures critiques.

"De nombreux environnements opérationnels critiques ne disposent pas d’une approche systémique formelle en matière d’évaluation des risques et de processus, sans parler de la visibilité continue attendue pour les services critiques et les cibles de grande valeur. Ces processus formels sont désespérément nécessaires car l’augmentation rapide de l’accès et de l’interconnectivité accroît considérablement le risque. Dans ces cas, la réglementation en matière de transparence et de normes de soins peut contribuer à l’amélioration des pratiques de gestion des risques tout en favorisant l’innovation."