Le boom des cyberattaques sur les technologies opérationnelles

Parmi les technologies OT figurent les systèmes de contrôles industriels (ICS, Industrial control systems) et SCADA (supervisory control and data acquisition), ainsi que les systèmes de contrôle distribué ou DCS (distributed control systems). Les services d’urgence, les stations d’épuration, les systèmes de gestion de la circulation et autres infrastructures critiques reposent tous sur de l’OT.

Ces dernières années, les cyberattaques visant des infrastructures critiques OT ont littéralement explosé, avec une augmentation de 2000 % (1)! Toujours plus audacieuses, elles vont jusqu’à cibler des centrales nucléaires ou des centrales d’épuration. Un attaquant a même empoisonné le réseau d’eau en Floride en profitant d’une gestion insuffisante des mots de passe. Un simple outil d’accès à distance grand public a permis au hacker d’ordonner l’augmentation de la concentration de soude dans l’eau.

Pourquoi une telle augmentation des cyber-risques pour les systèmes OT ?

Pendant des années, les systèmes industriels utilisaient des logiciels et protocoles propriétaires, ils étaient gérés manuellement, surveillés par des êtres humains et n’étaient pas connectés directement à l’Internet public. L’unique moyen d’infiltrer ces systèmes OT était donc d’obtenir un accès physique à un endpoint, ce qui n’était pas chose facile. Les systèmes OT et IT étaient peu intégrés, avec des vulnérabilités différentes.

La situation est très différente aujourd’hui : davantage de systèmes industriels sont en ligne pour les besoins du Big Data et de l’analytique intelligente. Des gains de fonctionnalités et d’efficacité sont rendus possibles par des intégrations technologiques. Cette transition de systèmes fermés vers des systèmes ouverts a engendré une multitude de nouveaux risques de sécurité que les criminels cherchent activement à mettre à profit, souvent avec succès et qu’il convient donc de gérer.

Plus les systèmes industriels sont connectés, plus ils sont exposés aux vulnérabilités. Si l’on tient compte de la présence d’équipements préexistants, de réglementations de sécurité risquant d’empêcher toute modification des équipements et de réglementations de conformité qui imposent de rendre certaines données sensibles accessibles à des tierces parties, nous comprenons la difficulté de la tâche.

Des fournisseurs, des salariés (opérateurs) et d’autres sous-traitants ont souvent besoin d’avoir accès à distance à des systèmes OT pour les besoins de maintenance. De plus, fournisseurs et salariés compliquent la donne quand ils utilisent des endpoints personnels (BYOD). Ces connexions à distance rendent plus floue encore la segmentation entre IT et OT et ont pour effet d’agrandir la surface d’attaque, avec de nouveaux points d’entrée à exploiter par les hackers.

[1] the IBM X-Force Threat Intelligence Report Index 2020

Souvent, des VPN sont utilisés pour l’accès à distance des salariés ou fournisseurs mais les garanties de sécurité restent insuffisantes faute de contrôle d’accès granulaire et d’outils de gestion ou de surveillance de session. En effet, si les VPN permettent d’établir un tunnel sécurisé entre deux points, aucune restriction d’accès n’est imposée. De tous les utilisateurs, ce sont les utilisateurs privilégiés (salariés ou fournisseurs) qui exposent le plus de risques. En effet, un cybercriminel qui s’approprie les privilèges d’un utilisateur peut progresser latéralement depuis le réseau IT vers les systèmes OT et ICS des sites de production. Une fois infiltrés sur le réseau ICS, les hackers peuvent surveiller et manipuler des composants opérationnels, lire des commandes ou modifier des paramètres, avec à la clé des conditions dangereuses pour l’environnement IT, des risques pour la sécurité du personnel ou de la population et des pertes économiques provoquées par l’arrêt ou la perturbation de la production.

4 bonnes pratiques de cybersécurité OT

Voici quatre bonnes pratiques à déployer pour protéger les environnements OT des cybermenaces :

• Instaurer un cadre Zero-Trust après avoir identifié chaque utilisateur et chaque endpoint qui se connecte et à quelles données.
• Faire coïncider les bons outils d’accès à distance aux bons scénarios.

S’ils conviennent pour les accès basiques de salariés distants à des systèmes réputés non sensibles (ex. e-mail, etc.), les VPN n’offrent pas la granularité de contrôle d’accès, la visibilité, l’évolutivité ni les avantages économiques qu’exigent les accès de tierces parties ou de salariés distants aux dispositifs OT/IoT. Les VPN et autres technologies d’accès à distance, comme RDP, sont utilisés au-delà des limites normalement prévues et donc de façon imprudente. Jamais le risque n’est plus grand et dévastateur que sur les réseaux OT. Les VPN et RDP doivent donc être éliminés dans ces scénarios, surtout en présence d’accès privilégiés et de tiers.

• Comprendre la sécurité IT vs. la sécurité OT.

Dans la plupart des organisations, les règles et les accords de service conclus pour les systèmes IT ne sont pas valables pour l’environnement OT, ce qui crée des failles de sécurité et de gestion. Les organisations doivent adopter des solutions et des stratégies pour sécuriser leurs environnements OT au regard de leurs besoins spécifiques.

• Adopter des pratiques robustes de gestion des identifiants privilégiés, sans aucun partage de mots de passe !

Car les mauvaises pratiques d’utilisation des mots de passe persistent dans les environnements OT et demeurent l’une des causes principales de compromissions.

Il est primordial pour les industries de sécuriser leurs accès à distance au réseau sans utiliser de VPN, sans compromettre les processus et la continuité des opérations, ni pénaliser la productivité. Pour cela, au minimum, il convient de savoir à tout moment qui (identité) fait quoi sur le réseau, à partir de quel endpoint et quand. Il faut surtout pouvoir exercer systématiquement un contrôle granulaire complet des accès, sur site et à distance. C’est ainsi que les organisations pourront limiter les risques de cyberattaque et protéger leurs réseaux OT.