Pour limiter les risques d’une cyberattaque, les systèmes de contrôle industriels (Industrial Control Systems ou ICS) sont censés être exécutés dans un environnement isolé physiquement. Ce n’est cependant pas toujours le cas.
Dans leur rapport sur le paysage des menaces ICS, les experts de Kaspersky Lab ont révélé que 13.698 hôtes ICS étaient exposés à Internet. Ces hôtes ICS appartiennent selon toute probabilité à de grandes organisations des secteurs de l’énergie, du transport, de l’aéronautique, du pétrole et du gaz, de la chimie, de l’automobile et de l’industrie, de l’alimentation et des boissons, des pouvoirs publics ainsi que des établissements financiers et médicaux. 91,1% de ces hôtes ICS présentent des points faibles qui peuvent être exploités à distance. Mais le pire reste à venir : 3,3% des hôtes ICS au sein de ces organisations comportent des vulnérabilités critiques et exploitables à distance.
Le fait d’exposer à Internet des éléments ICS ouvre la porte à de nombreuses possibilités, mais également à de nombreuses préoccupations au niveau de la sécurité. D’une part, les systèmes reliés à Internet sont plus flexibles en ce qui concerne la capacité de réagir rapidement à des situations critiques et à la mise en œuvre de mises à jour. D’autre part, l’extension d’Internet offre aux cybercriminels l’opportunité de piloter à distance des composants ICS critiques, ce qui peut entraîner des dommages physiques aux équipements et un danger potentiel pour l’ensemble de l’infrastructure critique.
Les attaques avancées sur des systèmes ICS ne sont pas nouvelles. En 2015, un groupe organisé de pirates, baptisé BlackEnergy APT, a mené une attaque sur une société d’énergie en Ukraine. La même année, deux incidents, probablement liés à des cyberattaques, ont eu lieu en Europe: l’un dans une aciérie en Allemagne et l’autre à l’aéroport Frédéric Chopin à Varsovie.
A l’avenir, davantage d’attaques de cette nature auront lieu, étant donné l’ampleur de la surface d’attaque. Ces 13.698 hôtes ICS dans 104 pays ne constituent qu’une petite partie du nombre total d’hôtes comportant des éléments ICS accessibles via l’Internet.
Afin d’aider les organisations travaillant avec des ICS à identifier d’éventuels points faibles, les experts de Kaspersky Lab ont établi un rapport sur des menaces ICS. Leur analyse était basée sur des renseignements OSINT (Open Source Intelligence) et des informations provenant de sources publiques comme ICS CERT, la période de l’enquête ayant été limitée à l’année 2015.
La Belgique occupe la 9ème place avec 2,1%
Les principales conclusions du rapport sur le paysage des menaces Industrial Control Systems sont les suivantes:
· Au total, 188.019 hôtes avec des composants ICS accessibles via Internet ont été identifiés dans 170 pays.
· La plupart des hôtes disponibles à distance sur lesquels des éléments ICS sont installés se trouvent aux états-Unis (30,5% – 57.417 hôtes) et en Europe. En Europe, l’Allemagne est en tête (13,9% – 26.142 hôtes), suivie par l’Espagne (5,9% – 11.264 hôtes) et la France (5,6% – 10.578 hôtes). La Belgique occupe la 9ème place avec 2,1%.
· 92% (172.982) des hôtes ICS accessibles à distance présentent des vulnérabilités. 87% de ces hôtes comportent des failles de risque moyen, tandis que les vulnérabilités sont critiques pour 7% d’entre eux.
· Le nombre de vulnérabilités dans des composants ICS a été multiplié par 10 au cours des cinq dernières années. Ce nombre est en effet passé de 19 failles en 2010 à 189 en 2015. Les composants ICS les plus vulnérables étaient des interfaces HMI (Human Machine Interfaces), des appareils électriques et des systèmes SCADA.
· Parmi tous les appareils ICS disponibles de façon externe, 91,6% (172.338 hôtes différents) recourent à des protocoles de connexion Internet faibles, ce qui permet aux pirates de mener des attaques « man in the middle ».
« Notre enquête le montre: plus votre infrastructure ICS est grande, plus grand est le risque de failles de sécurité sérieuses. Ce n’est pas la faute d’un seul logiciel ou fournisseur de matériel. Compte tenu de sa nature, l’environnement ICS est un mélange de différents composants interdépendants, dont de nombreux sont reliés à l’Internet et suscitent des problèmes de sécurité. Il n’y a aucune garantie à 100% qu’une installation ICS spécifique ne dispose pas au moins d’un élément vulnérable à un moment donné. Cela ne signifie cependant pas qu’il n’existe aucun moyen de protéger contre des cyberattaques une usine, une centrale électrique, voire un quartier dans une « smart city ». être simplement conscient de problèmes de sécurité dans des composants utilisés dans une installation industrielle déterminée est la condition de base pour la gestion de la sécurité de cette installation. C’était l’un des buts de notre rapport: sensibiliser à ce sujet un public intéressé », explique Andrey Suvorov, Head of Critical Infrastructure Protection chez Kaspersky Lab.
Afin de protéger l’environnement ICS contre de possibles cyberattaques, les experts en sécurité de Kaspersky Lab donnent les conseils suivants:
· Exécutez un audit de sécurité: faites appel à des experts spécialisés en sécurité industrielle. C’est probablement l’action la plus rapide qui est décrite dans le rapport pour identifier et supprimer les failles de sécurité.
· Demandez des renseignements de l’extérieur: la sécurité informatique moderne repose sur les connaissances de vecteurs d’attaques potentielles. Le fait d’obtenir à ce sujet des renseignements de fournisseurs réputés aide à prédire les attaques futures sur l’infrastructure industrielle d’une entreprise.
· Protégez au sein et en dehors du périmètre: des erreurs peuvent se produire et ne manqueront pas de se produire. Une bonne stratégie de sécurité doit consacrer des moyens considérables à la détection d’attaques et à la réaction à celles-ci, afin de pouvoir bloquer des attaques avant qu’elles n’atteignent des objets d’une importance critique.
· Evaluez des méthodes de sécurité avancées: scénario de Default Deny (Blocage par défaut) pour des systèmes SCADA, contrôles d’intégrité réguliers pour des contrôleurs, surveillance réseau spécialisée pour améliorer l’ensemble de la sécurité d’une entreprise et réduire le risque d’une intrusion fructueuse, même si plusieurs nœuds intrinsèquement vulnérables ne peuvent être corrigés ou supprimés.
Source : Kaspersky Lab
