Pourquoi l’industrie doit-elle sécuriser les ressources de l’IIoT contre les ransomwares ?
juillet 2024 par Hervé Liotaud, Directeur régional des ventes Europe du Sud chez Illumio
Le ransomware n’est pas une nouveauté pour la sécurité. Il est apparu pour la première fois en 1989 et était distribué via des disquettes. Il a cependant pris une tournure surprenante en devenant le modèle opérationnel favori des criminels modernes : le détournement de ressources critiques dans des environnements industriels en échange d’une rançon.
Les claviers sont plus efficaces que les armes pour prendre en otage les infrastructures industrielles. Le problème ne fera que s’aggraver tant que la sécurité des actifs numériques ne sera pas vraiment considérée comme une priorité pour la cybersécurité dans l’industrie et les infrastructures essentielles.
Un grand nombre d’attaques par ransomware récentes ont visé l’industrie et des infrastructures essentielles qui se consacrent traditionnellement à la production d’actifs physiques.
Mais la plupart des industries migrent rapidement un grand nombre de leurs plateformes informatiques et de leurs solutions d’accès à distance vers le cloud et exposent ainsi leurs systèmes de gestion et leurs capteurs d’usine à des vecteurs d’attaque qui viennent du cloud.
Les attaques par ransomware coûtent des millions à l’industrie chaque année
Le secteur de l’industrie s’estime généralement à l’abri de la criminalité numérique. Mais c’est une erreur. En effet, 21 % des attaques par ransomware ciblent l’industrie. Il s’agit du secteur qui paie le montant de rançon le plus élevé, avec une moyenne de 2,036 millions de dollars en 2021.
Il suffit à un hacker motivé de violer les outils de sécurité cloud d’un fabricant et d’accéder à distance à des contrôleurs ou capteurs critiques, des dispositifs de l’IIoT par exemple, qui se trouvent au cœur d’un environnement industriel ou d’une usine, et de les mettre hors service. Les risques physiques d’une intrusion numérique se manifestent de manière tangible et oblige la victime à choisir entre payer une rançon ou faire face aux conséquences de la paralysie de ses activités. Pour la plupart des victimes, payer la rançon reste l’option la moins chère, mais coûte à l’entreprise des millions d’euros.
Le ransomware est une cible bien trop tentante pour les cybercriminels car il garantit presque à coup sûr un gain financier. Le ransomware-as-a-service existe même sur le dark web et est proposé avec des services d’assistance et des contrats de maintenance pour aider les cybercriminels en herbe à choisir leur prochaine victime.
Bien souvent, le déploiement d’un ransomware survient en dernier lieu dans le processus d’intrusion d’un cybercriminel dans un environnement industriel. Il commence par rechercher des actifs critiques à désactiver, expose la propriété intellectuelle et se renseigne sur la protection offerte par l’assurance cybersécurité de la victime visée pour fixer le prix de la rançon. Une fois en possession de ces informations, il prend l’infrastructure en otage en échange du paiement d’une rançon, que la majorité des victimes choisissent de payer. Son rêve devient réalité.
Les attaques par ransomware contre l’industrie comportent des risques bien réels
L’industrie a longtemps cru que la cybercriminalité ne la concernait pas. Qu’une chaîne de production industrielle produise de l’énergie, de l’acier, des denrées alimentaires ou qu’elle réalise des activités minières, par exemple, dans quelle mesure sont-elles des cibles pour les cybercriminels ? A vrai dire, ce risque de cybercriminalité est élevé.
En 2015, il a été signalé qu’une aciérie en Allemagne avait été victime de ce qui avait été décrit comme le premier exemple de dégâts matériels causés par une cyberattaque. Des cybercriminels avaient réussi à accéder à distance à certains systèmes de contrôle critiques de l’usine qui étaient connectés à son réseau informatique et les avaient désactivés. Suite à cet évènement, des capteurs importants n’ont pas pu surveiller les niveaux de chaleur dans l’usine avec pour conséquences de graves dégâts dans un haut fourneau que ces capteurs n’ont pas pu arrêter automatiquement.
Le monde matériel s’est soudainement retrouvé exposé à des risques entièrement numériques, et cette réalité est loin d’avoir échappé aux cybercriminels.
Augmentation des primes de cyberassurance
La décision de payer une rançon en cas d’attaque n’est pas sans risque pour la victime. Les compagnies de cyberassurance doivent désormais faire face à de sérieuses pertes de revenus liées au paiement des attaques par ransomware, chose dont elles étaient largement à l’abri avant la redécouverte des ransomwares. Les opérateurs obligent désormais leurs clients à appliquer une certaine forme de segmentation dans leur réseau pour compliquer la circulation des malwares au sein de ce dernier. Si les clients y consentent, leurs primes mensuelles peuvent diminuer, mais les primes de cyberassurance ont tout de même augmenté de manière substantielle au cours des dernières années.
Les victimes potentielles ont désormais tout intérêt, d’un point de vue financier, à accorder une grande importance à la cybersécurité et à ne pas se reposer uniquement sur les assurances pour les protéger.
Conséquences juridiques indésirables
Le deuxième risque tient au fait que de nombreux groupes de ransomware sont basés dans des pays qui figurent sur la liste noire du gouvernement américain, la fameuse OFAC Sanctions List (Office of Foreign Assets Control). Il s’agit d’une liste des régimes dictatoriaux étrangers, des narcotrafiquants, des organisations terroristes et des marchands d’armes contre lesquels les États-Unis ont imposé des sanctions économiques et commerciales au nom de la sécurité nationale. Toute personne aux États-Unis qui fait affaire avec des personnes figurant sur cette liste se rend coupable d’un délit.
Si le groupe de ransomware d’un pays sous sanctions prend en otage un actif industriel basé aux États-Unis et que l’entreprise décide de payer la rançon, elle risque d’être pénalement responsable car elle aura fait affaire avec le groupe.
En choisissant de payer la rançon, qui semble être l’option la moins coûteuse, la victime court facilement le risque de se retrouver exposée à des conséquences pénales et juridiques sans le vouloir.
Protéger les actifs industriels de la cybercriminalité : arrêter les mouvements latéraux est-ouest
Les ransomwares viennent bien de quelque part. En général, c’est du côté des technologies de l’information de l’architecture cybernétique globale que cela se passe. Toutes les variétés de ransomware ont un point commun : ils aiment tous se déplacer. Une fois qu’une charge de travail est compromise, le ransomware explore les ports ouverts sur cette charge de travail pour les utiliser comme vecteurs et se propager latéralement vers la charge de travail suivante, puis vers le côté industriel de l’infrastructure, atteignant ainsi les cibles visées.
Bien que la plupart des outils de sécurité dit périmétriques s’occupent du trafic Nord-Sud, pour empêcher l’infiltration des malwares dans un centre de données ou un cloud, les ransomwares profitent du fait que le contrôle de la propagation latérale est-ouest à l’échelle est un problème qui n’est pas encore réglé. Les outils de sécurité les plus avancés, déployés à la frontière nord-sud, offrent une protection insuffisante contre les violations inévitables et la propagation latérale est-ouest au sein du réseau sécurisé.
La segmentation Zero Trust stoppe la propagation des ransomwares
Le concept de Zero Trust requiert l’activation de la microsegmentation, également appelée Zero Trust Segmentation, de chaque charge de travail au sein d’un environnement informatique, quelle que soit son ampleur. Il faut également adopter un modèle d’accès à moindre privilège entre toutes ces charges de travail. La microsegmentation vise à transformer chaque charge de travail en une zone de confiance distincte, sans dépendre d’un appareil réseau sous-jacent ou d’une structure cloud pour le faire. La segmentation de la charge de travail doit être aussi indépendante que possible du reste de la segmentation.
Le modèle d’accès avec le moins de privilèges possible entre toutes les charges de travail signifie que tous les ports reliant toutes les charges de travail sont refusés par défaut. Les charges de travail ont rarement un réel besoin de SSH ou de RDP latéralement entre elles. Tous ces ports sont activés dans les systèmes d’exploitation modernes car ils sont utilisés par les administrateurs pour gérer à distance ces charges de travail, mais l’accès est presque toujours limité à des hôtes d’administration centralisés spécifiques. Ces ports doivent systématiquement être désactivés par défaut, après quoi des exceptions peuvent être définies pour permettre l’accès aux seuls hôtes administratifs autorisés. En segmentant chaque charge de travail de toutes les autres charges de travail et en fermant tous les ports latéralement entre elles, le ransomware n’aura plus aucun moyen de se propager latéralement dans le réseau informatique ni dans la partie du réseau consacrée aux activités industrielles.
Les ransomwares peuvent contourner les solutions de sécurité périmétrique, aussi complexes soient-elles, et une fois qu’ils y parviennent, détournent la première charge de travail qu’ils trouvent. La segmentation Zero Trust peut isoler cette première charge de travail détournée en désactivant tous les ports entre les charges de travail et en empêchant les ransomwares d’accéder à des vecteurs plus loin dans le réseau. La segmentation Zero Trust bloque la propagation des violations dans l’ensemble de l’infrastructure informatique. Elle protège également les systèmes industriels qui se trouvent au cœur de l’architecture.
Un deuxième aspect de la segmentation Zero Trust réside dans la visibilité du trafic entre tous les systèmes déployés, que ce soit du côté industriel ou informatique du réseau. Les dépendances et les comportements du trafic entre les capteurs et les systèmes de contrôle, par exemple, doivent eux aussi être bien visibles, tout comme le trafic entre les systèmes du réseau informatique, que ce soit sur site ou dans le cloud.
Renforcer la cyber-résilience
La cybermenace ne montre aucun signe de ralentissement et toutes les entreprises doivent prendre des mesures pour protéger leurs activités. Les entreprises doivent opter pour une protection contre les ransomwares dans les systèmes de l’IIoT avec la segmentation Zero Trust. Car la segmentation Zero Trust offre une visibilité sur les systèmes de l’infrastructure industrielle.
En effet, aucun environnement industriel n’est à l’abri des ransomwares, peu importe leur taille. Avec la segmentation Zero Trust, les systèmes OT et les systèmes de l’IIoT, déployés au sein de l’architecture industrielle, n’ont nul besoin d’être exposés aux regards du prochain groupe de ransomware opportuniste qui cherche sa prochaine cible.
Protéger efficacement l’environnement de l’IIoT contre les ravages des attaques par ransomware, permet de préserver ainsi la réputation de l’entreprise.