l'infrastructure attaquée

L'infrastructure attaquée

Version imprimable, PDF et e-mail

Il n'y a pas si longtemps, des photos de longues files d'attente dans des stations-service faisaient la une sur la toile, alors que les médias annonçaient une pénurie en carburant dans les aéroports. Bien que la grande majorité de la population voyait les cyberattaques comme une chose abstraite sans impact réel, force est d'admettre qu'aujourd'hui, ces attaques, bien réelles, sont un véritable fléau.

Bien évidemment, l'attaque dont a été victime Colonial Pipeline n'était pas la première attaque réussie visant une infrastructure critique. Mais l'impact révélé par cette dernière, dans une région géographique de cette taille (toute la côte est des États-Unis) et dans une nation technologiquement avancée, s'est avéré aussi inédit que préoccupant. Par rapport aux coûts directs et aux répercussions sur les performances économiques, la rançon de 5 millions de dollars payée par l'entreprise n'est, finalement, pas si importante.

Les plus faibles dans le viseur des cybercriminels

Les détails exacts concernant la méthode d'attaque employée demeurent inconnus, mais il ne fait aucun doute qu'il ne s'agissait pas là d'une attaque techniquement sophistiquée, longuement préparée. Le groupe de hackers Darkside et son ransomware, ou son ransomware-as-a-service (RaaS), sont connus depuis mi-2020.

D'après certains rapports des médias, le pipeline, ou les systèmes de contrôle, n'ont pas été directement ciblés. Au contraire, il semble que l'attaque soit partie des systèmes informatiques en interne et ait infecté le système de facturation, un segment essentiel au bon fonctionnement d'un pipeline.

Personne ne peut dire si cette attaque a pu être menée avec la complicité d'organisations gouvernementales étrangères. Ce qui est sûr, c'est que les ordinateurs dotés d'un système de langage russe ou d'Europe de l'Est ne seront pas attaqués par Darkside.

Lorsque les médias du monde entier s'intéressent à un opérateur d'infrastructure critique et attendent de savoir si ce dernier compte payer la rançon ou faire face à d'importantes restrictions publiques pour une période difficilement estimable, la décision semble évidente. La double extorsion, une approche qui chiffre les données et qui menace les victimes de publier ces dernières, n'apaise en rien la pression déjà ressentie. Subsiste alors une question : s'agissait-il vraiment d'une attaque ciblée, ou seulement de la découverte d'une vulnérabilité ouverte ?

Des vecteurs d'attaque traditionnels

Les attaques véhiculées par e-mail demeurent la méthode la plus utilisée par les cybercriminels, les chances de succès étant relativement importantes et le risque de répercussions sur les pirates, inexistant.

Bien évidemment, les attaques par e-mail sont plus fructueuses lorsque les pirates informatiques sont préparés. Les e-mails de phishing envoyés en masse avec du contenu générique ont moins de chances de réussir que des attaques ciblées et peaufinées. L'année dernière, la pandémie de COVID-19 s'est avérée l'appât parfait pour les campagnes d'e-mails de phishing. Le point le plus important pour qu'une attaque de phishing soit fructueuse ? Que le message reçu par une potentielle victime soit personnel, qu'il attise la curiosité ou qu'il émette des promesses financières. Il suffit alors d'un clic sur un lien malveillant pour qu'un logiciel soit téléchargé et que les problèmes commencent.

Dans le cas des réseaux de technologie d'exploitation (OT), dans l'industriel, la production ou les infrastructures, les accès à la maintenance à distance posent souvent problème. Un grand nombre d'employés et de techniciens de maintenance externes doivent pouvoir accéder aux appareils pour différentes raisons, des accès qui, bien souvent, se font de différentes manières. Récemment, un incident grave s'est produit en Floride, dans une usine d'approvisionnement en eau potable, lors duquel l'accès à la maintenance à distance a été utilisé de manière abusive pour manipuler les paramètres de sécurité de l'établissement.

Il existe de nombreuses méthodes d'attaque et de nombreuses façons de s'introduire dans un réseau étranger. Les réseaux d'OT ont ce problème d'être à la fois ouverts et non hiérarchisés, rendant les périphériques vulnérables. Ces caractéristiques permettent aux pirates ou malwares ayant infiltré un réseau de se propager sans difficulté.

Une défense sans faille

Des mesures de sécurité structurées doivent être mises en place afin de bien protéger les réseaux industriels. L'exemple de l'attaque de Colonial Pipeline montre également que les systèmes IT et OT sont étroitement liés, et que les dépendances qui existent entre eux doivent être protégées en conséquence. Dans le cas où une attaque visant un système de facturation ou un système ERP classique causerait une panne à grande échelle, cette dernière témoignerait d'un haut niveau d'interaction entre les systèmes, la même chose pouvant se produire dans d'autres entreprises similaires. L'isolement entre les réseaux IT et OT n'est plus d'actualité, c'est pourquoi ils doivent être protégés.

Parmi les mesures de protection pouvant être mises en place, on retrouve les mesures techniques et organisationnelles, ainsi que la formation du personnel et la sensibilisation des utilisateurs. Une suite complète de solutions de sécurité des e-mails devrait absolument faire partie de la stratégie de protection des entreprises, les e-mails étant le vecteur d'attaque préféré des cybercriminels. Toutefois, même avec la meilleure solution technique, il faut toujours envisager une possible intrusion. Par conséquent, les employés doivent être formés à ces attaques, afin de pouvoir les identifier lorsqu'elles surviennent.

Les e-mails ne constituent pas la seule façon pour les cybercriminels de s'introduire dans un réseau. En effet, les accès à la maintenance à distance représentent un risque majeur, notamment pour les réseaux industriels. Plutôt que de faire appel à différentes solutions d'accès à distance, l'adoption d'une méthode normalisée intuitive et hautement sécurisée devrait être envisagée. L'authentification multifacteur doit être obligatoire, et l'accès à la maintenance à distance, programmé. Enfin, si un malware ou un cybercriminel parvient à infiltrer un réseau, la segmentation empêchera l'attaque d'atteindre la totalité des ressources de l'entreprise.

Les vecteurs d'attaque physiques, tels que le social engineering, les clés USB et les malwares sur les appareils mobiles doivent aussi être pris en compte. Les cybercriminels ont donc les moyens de contourner, d'une manière ou d'une autre, les mesures de sécurité mises en place en périmètre, un élément que les entreprises doivent inclure dans leur stratégie de cybersécurité.

La segmentation permet de séparer le réseau informatique interne du réseau de technologie d'exploitation. Au sein de ce dernier, les contrôles et les processus sont eux aussi séparés. Les connexions légitimes sont autorisées mais restreintes le plus possible. Ces dernières sont aussi analysées par des systèmes de sécurité nouvelle génération (antivirus, systèmes IPS et de protection contre les menaces avancées), à la recherche de contenu malveillant. Afin d'empêcher la diffusion horizontale d'un malware (p. ex., d'une machine à l'autre), les ressources sont isolées les unes des autres, individuellement ou en petits groupes, à l'aide d'une micro-segmentation. Enfin, un système de détection des anomalies peut aider les entreprises à détecter des activités suspectes au sein du trafic réseau et ainsi les bloquer automatiquement sur les pare-feux. En cas de violation, ce système permet de contenir l'attaque.

Il convient donc d'implémenter des mesures de protection différentes ou multicouche, chacune devant être imparable. En prenant ces indications véritablement au sérieux et en appliquant ces conseils à la lettre, votre réseau ne sera plus une proie facile pour les pirates informatiques.

La récente attaque par ransomware subie par Colonial Pipeline a bien plus capté l'attention du public que ce à quoi s'attendaient les cybercriminels. Le moins que l'on puisse dire, c'est que cet événement a tiré la sonnette d'alarme. La réponse du gouvernement américain et la promesse du Président Joe Biden de développer les ressources financières afin de renforcer la sécurité des infrastructures informatiques ne manqueront pas elles aussi d'inciter les entreprises à minutieusement revoir leurs propres mesures de sécurité.

La gamme de produits CloudGen Firewall dédiés proposée par Barracuda vous aidera à sécuriser vos réseaux d'IoT industriels et de technologie d'exploitation. Les accès à la maintenance à distance sont conçus de manière sécurisée et reposent sur des clients VPN traditionnels ou notre solution ZTNA CloudGen Access. Nous mettons à votre disposition un pack de mesures associé à des solutions de sécurité professionnelles telles que Total Email Protection, Barracuda Web Application Firewall et Barracuda Backup. Résultat : votre entreprise sera prête à se défendre contre les attaques modernes.

Remonter en haut de page
Tweeter
Partager
Partager