CYBER. Les douze derniers mois ont été marqués par une recrudescence jamais vue des attaques de rançongiciels, y compris dans la sphère industrielle. La cybersécurité des systèmes industriels (« Operational Technology ») constitue à la fois un domaine différent de la cybersécurité de l’informatique dite généraliste (« Information Technology ») – en même temps qu’on y retrouve nombre de ses problématiques.
Pour en discuter, ce blog ira poser quelques questions à certains spécialistes. En commençant cette semaine par Danny Bren, l’ancien patron de la cybersécurité de l’armée en Israël et fondateur d’Otorio, un cabinet israélo-autrichien spécialisé sur la cybersécurité des systèmes industriels, qui est souvent interrogé par les médias israéliens sur ce type de question.
Question : La crise actuelle de rançongiciels est-elle liée à celle du Covid ? Ou d’autres raisons sont-elles en jeu ?
Danny Bren : C’est certain : La pandémie COVID-19 a eu un impact énorme sur les ransomwares ciblant les organisations industrielles et leur technologie opérationnelle (OT). Une des raisons de fond, c’est la vitesse à laquelle les réseaux se sont ouverts. Cette rapidité n’a pas toujours permis d’introduire les mesures de sécurité adaptées. Et il n’a pas fallu longtemps aux cybercriminels pour en profiter.
Cependant, dès 2019, nous avons constaté une augmentation exponentielle des attaques de ransomwares OT / IT. Plusieurs facteurs expliquent cette tendance. D’une part, la course à la numérisation et à l’automatisation (également appelée industrie 4.0). D’autre part, la convergence IT-OT (note : la plus grande communication entre les systèmes industriels et l’informatique dite généraliste).
De plus, les réseaux OT se sont développés différemment des réseaux informatiques et ont été plus lents à s’ouvrir à Internet.
Le réseau « OT » offre-t-il donc alors une meilleure opportunité d’attaque pour les cybercriminels?
Oui. Alors que la cybersécurité informatique est assez mature, la sécurité OT ne se développe vraiment que maintenant. Le réseau « OT » offre donc une cible facile pour les cybercriminels. D’autant que les entreprises industrielles sont plus sensibles aux attaques de ransomwares en raison de leur impact direct sur la capacité de l’entreprise à gagner de l’argent. Lorsqu’une ligne de production est arrêtée, il n’y a pas de « sauvegarde » pour restaurer les opérations. Il faut remettre les systèmes entièrement « en ligne ». Cela rend les entreprises industrielles plus susceptibles de payer une rançon élevée – et les attaquants le savent bien. Enfin les criminels sont plus sophistiqués. Nous avons à faire à une cybercriminalité organisée, qui utilise des outils avancés qui jusqu’à récemment n’étaient souvent disponible qu’auprès des acteurs États-nations.
La crise a accentué l’usage des outils d’accès à distance – y compris par les fournisseurs. Cela pose de grands problèmes de sécurité. Que faire ?
La maintenance à distance est devenue fondamentale. Cependant les organisations industrielles doivent avoir un contrôle total sur tous les accès à leur environnement de production, sous peine de « donner les clés » pour leurs opérations les plus sensibles à leurs sous-traitants. Il faut donc, entre autre, utiliser des outils pour surveiller, auditer et contrôler les connections des outils d’accès à distance ; vérifier que ces outils sont eux-mêmes bien mises à jour, en utilisant par exemple des bases de vulnérabilités comme B&R Vulnerability ou mB Connect Vulnerability ; continuer à vérifier la qualité de cybersécurité des sous-traitants, en particulier en n’oubliant pas qu’un fournisseur sans vulnérabilités connus n’est pas forcément sûr – ou bien que les machines d’une tierce partie…peuvent comporter des pièces d’une quatrième partie !
Quels facteurs permettraient de résoudre enfin ce problème de vitesse et de maturité de l’environnement OT, évoqué plus haut ?
Les cadres dirigeants des entreprises industrielles doivent comprendre qu’ils risquent d’être légalement responsables des dommages causés par les cyberattaques, surtout en ce qui concerne la sécurité humaine. Un rapport récent de Gartner prédit que 75% des PDG seront personnellement responsables des incidents de sécurité cyber-physique en 2024. Cette prédiction a le potentiel de changer radicalement l’état de la cybersécurité des environnements OT. En parallèle, les managers opérationnels devront être en mesure de fournir des rapports complets sur l’état de la sécurité aux parties prenantes, en faisant figurer de manière claire l’impact business du risque. Et ils devront vérifier que la posture de risque ne devienne trop coûteuse – ou trop compliqué à gérer.
L’autre face de la médaille, c’est au niveau des fournisseurs de solution de cybersécurité. Ils doivent comprendre qu’essayer de protéger des réseaux « OT » avec des outils pour l’ « IT », cela ne marchera pas. Les solutions de cybersécurité pour l’OT doivent être développées avec à l’esprit les ingénieurs industriels et les managers opérationnels.
Une différence de posture est-elle également nécessaire ?
Oui, il faut passer d’une approche réactive, où l’on essaie de détecter la menace une fois qu’elle est dans les systèmes – à une approche proactive. Parce qu’une fois que la menace est déjà là, dans l’environnement industriel, c’est déjà « game over » – et les coûts en termes de production stoppé, mais aussi le risque élevé de sécurité humaine, deviennent trop importants et graves. Plusieurs actions sont nécessaires. En plus de ce qui a été déjà évoqué sur les actions à distance, et sur les éléments clés de préparation communs aux environnements OT & IT, je citerai également la nécessité de bien écouter et aider les équipes d’experts OT, qui sont ceux qui peuvent le mieux gérer la situation sur la chaîne de production, en simplifiant la gestion de la cybersécurité et en offrant des guides clairs de remédiation ; ou encore d’automatiser la surveillance autant que possible, l’environnement industriel étant devenu juste trop complexe pour une surveillance manuelle. Cela inclut d’ailleurs également l’évaluation du risque cyber des réseaux OT qui doit être continue et automatisée autant que possible.
Les Etats-Unis semblent demeurer la première cible des attaques de rançongiciels contre les systèmes industriels. Quid de l’Europe?…
Nos plus récentes recherches montre que les attaques de rançongiciels ont surtout ciblé les centres industriels majeurs – les Etats-Unis, l’Allemagne, la France, le Japon et l’Inde (Note de l’auteur : on constatera qu’il s’agit de centres occidentaux). Les Etats du golfe persique, qui sont les centres de production énergétique de l’économie mondiale, ont également été ciblés par des rançongiciels industriels. Nous pensons que ce ciblage géographique devrait se poursuivre dans les années à venir. Nous nous attendons cependant à ce que les attaques contre les systèmes « OT » deviennent plus importantes en cas de regain des tensions géopolitiques.
…et la France ?
La France est la septième économie mondiale, la deuxième de l’Union Européenne et l’un des centres industriels les plus importants au niveau mondial. Malgré cela, l’écosystème industriel français n’a pas toujours forcément un profil d’ « early adopter » sur les questions de cybersécurité industrielle. Cette combinaison peut attirer les cybercriminels….De plus, l’écosystème industriel français est structuré par de très grands groupes industriels mondiaux avec de plus petits fournisseurs. Cela fait de la France un marché avec un nombre réduit de cibles, mais dont l’impact peut être systémique. Cette concentration est vraie pour nombre de secteurs incluant l’automobile, la défense et l’aérospatiale, l’énergie, l’industrie pharmaceutique, la chimie et dans une moindre mesure, l’agroalimentaire. Ce n’est pas donc par hasard que l’ANSSI prend la menace au sérieux et impose sur certains domaines des standards de plus en plus drastiques.
/www.usinenouvelle.com