Barracuda full logo

Défense des infrastructures : systèmes de communication

Thèmes:
21 janv. 2025
|
Christine Barry

Le secteur des communications est un acteur clé dans le fonctionnement de presque tous les autres secteurs et infrastructures. Il est considéré comme l'un des quatre secteurs fondamentaux et inclut plusieurs domaines tels que le haut débit mobile, l'informatique en cloud, la télé-radiodiffusion et les réseaux qui soutiennent l'Internet et d'autres systèmes d'information. Ces systèmes sont partiellement illustrés ici : 

 

Modèle d'architecture du secteur des communications via la CISA

Modèle d'architecture du secteur des communications, via la CISA

Le secteur des communications moderne est presque méconnaissable pour ceux qui l'ont défini il y a trente ans. Le décret 13010 (EO 13010) de 1996 a désigné les télécommunications comme l'un des huit secteurs vitaux pour la défense et la sécurité économique des États-Unis. Il a acté les menaces physiques et les cybermenaces et a fourni la première définition formelle des infrastructures critiques. Le secteur des télécommunications était axé sur les systèmes et réseaux de télécommunications traditionnels.

La directive présidentielle 63 (PDD-63) de 1998 a élargi la portée des cybermenaces, augmenté le nombre de secteurs d'infrastructures critiques et a désigné des agences fédérales spécifiques pour diriger les efforts des pouvoirs publics dans chaque secteur. La terminologie a également été mise à jour pour refléter un ensemble plus large de secteurs et de fonctions dans chaque secteur. C'est ainsi qu'a été créé le secteur des communications, qui tenait plus compte des technologies émergentes et des nouveaux systèmes d'information.  

Le secteur des communications a des interconnexions étendues avec pratiquement toutes les autres infrastructures critiques. Voici quelques détails sur ses interdépendances avec les trois autres secteurs principaux :

Secteur

Dépendances des communications

Dépendances des communications sur le secteur

transport

- Systèmes de gestion du trafic et de navigation en temps réel
- Systèmes de signalisation ferroviaire et de contrôle aérien
- Planification et mises à jour des transports publics
- Coordination de la réponse aux incidents

- Soutien aux infrastructures (par exemple, lignes de fibre optique le long des voies de transport)
- Énergie pour les réseaux de communication sur les plate-formes de transport

Énergie

- Surveillance et contrôle des activités du réseau énergétique (systèmes SCADA)
- Notifications de pannes
- Commerce de l'énergie et technologies de réseaux intelligents

- Alimentation fiable pour les systèmes de communication
- Énergie pour les antennes-relais, les centres de données et les centraux téléphoniques

eau

- Systèmes de contrôle et d'acquisition de données (SCADA) pour le traitement et la distribution de l'eau
- Alertes d'urgence en cas de contamination ou de pénurie d'eau

 - Eau pour le refroidissement des équipements de communication (par exemple, centres de données)
- Dépendance aux services publics d'eau pour les activités de maintenance

Ces interdépendances créent un panorama des risques complexe, où une perturbation dans un secteur peut avoir des effets en cascade sur plusieurs autres.

Qui s'en occupe ?

La propriété des ressources dans le secteur des communications implique un mélange de sociétés privées, d'établissements publics et de structures hybrides, avec des centaines de sociétés intervenant dans plusieurs secteurs.  Exemples :

Propriétaires du secteur privé

Établissements publics : Verizon Communications Inc. possède et gère un vaste réseau d'antennes-relais, de câbles à fibres optiques et d'autres ressources critiques destinées à la communication.

Sociétés privées : Diamond Communications possède et gère plus de 4 000 sites de communication sans fil en location, des propriétés d'antennes distribuées et d'autres ressources.

Propriétaires du secteur public

Le Ministère américain de la Défense possède et exploite plusieurs systèmes de communication, dont le Defense Information Systems Network (DISN), le Joint Worldwide Intelligence Communication System (JWICS), et le Defense Communications and Army Transmission Systems (DCATS). Ce ministère est l'un des plus grands propriétaires d'infrastructures critiques du secteur public aux États-Unis.

 

Illustration des composantes du DCATS, présentée par le colonel Justin Shell (Armée de terre des États-Unis)

Illustration des composantes du DCATS, présentée par le colonel Justin Shell (Armée de terre des États-Unis)

Structures de partenariat hybrides

La Maine Connectivity Authority est un partenariat public-privé dans le secteur des communications. Cet organisme public existe pour étendre les services à haut débit aux zones rurales et aux autres communautés du Maine. À cette fin, les pouvoirs publics de l'État s'associent à plusieurs entreprises privées capables de fournir ces services.

Partenariats public-privé (PPP)

La Eastern Shore of Virginia Broadband Authority est un partenariat entre les comtés d'Accomack et de Northampton. Cet organisme a construit une infrastructure centrale intermédiaire à haut débit dans les deux comtés ruraux et l'a mise à la disposition des communautés locales et des fournisseurs de services privés.

Aux États-Unis, le secteur privé détient la majorité des ressources destinées aux communications. Étant donné que les propriétaires et les opérateurs sont responsables de la sécurité de leurs ressources, le secteur privé est chargé de sécuriser la majeure partie de l'infrastructure destinée aux communications aux États-Unis.

Chaque secteur dispose d'une Agence de gestion des risques sectoriels (SRMA) et d'un Plan spécifique au secteur (SSP) destinés à aider les propriétaires et les opérateurs à gérer les risques existants. Bien que l'établissement du SSP soit obligatoire, l'application des directives du SSP est presque toujours volontaire pour le secteur privé et les autres entités non fédérales.

Le Department of Homeland Security (DHS) est l'Agence de gestion des risques sectoriels (SRMA) pour le secteur des communications. La Cybersecurity and Infrastructure Security Agency (CISA) est l'agence qui s'acquitte de ces tâches SRMA. Le SSP de communication est publié ici.

Risques et défis

Un rapport de 2021 du U.S. Government Accountability Office (GAO) a résumé les risques pour le secteur des communications dans un rapport de 43 pages qui a identifié trois questions clés :

  • La CISA n'avait pas évalué la performance de son soutien au secteur des communications. Aucun indicateur ni mécanisme de retour d'information n'avait été mis en place pour évaluer l'efficacité.
  • La CISA n'avait pas effectué d'évaluation des capacités pour son rôle de coordinateur fédéral en matière de réponse aux incidents et reprise après sinistre. Il peut exister des failles inconnues en matière de ressources ou de personnel.
  • La CISA n'a pas mis à jour le Plan sectoriel des communications de 2015 pour refléter les nouvelles menaces, les risques émergents et ses responsabilités statutaires. La SRMA recommande que tous les SSP soient mis à jour tous les quatre ans.

Le GAO a inclus des recommandations pour des mesures exécutives afin de traiter ces questions clés. À l'heure actuelle, ces recommandations restent en suspens.

 

Illustration des menaces potentielles sur le secteur des communications.

Illustration des menaces potentielles pour le secteur des communications, GAO

Il est important de se rappeler que le SSP fournit uniquement des conseils, et qu'aucune entité n'est obligée de suivre les recommandations. Cependant, le SSP aborde les conditions d'exploitation uniques et le panorama des risques auxquels le secteur est confronté. Étant donné que le SSP est actuellement obsolète, il ne fournit pas de directives sur les menaces nouvelles et émergentes pour la chaîne d'approvisionnement des technologies de communication, ni sur les perturbations des services de positionnement, de navigation et de synchronisation. 

Il existe d'autres défis, similaires à ceux rencontrés dans de nombreux autres secteurs : des systèmes existants stratégiques mais obsolètes et non pris en charge, des vulnérabilités de la chaîne d'approvisionnement sous contrôle de tiers, et une fragmentation de l'infrastructure qui crée des pratiques de sécurité incohérentes entre les fournisseurs.                       

Cyberattaques en cours et dommages

Au moins neuf fournisseurs de communications américains ont été compromis par Salt Typhoon, un pirate affilié à la République populaire de Chine (RPC). Ce groupe cible les communications et autres infrastructures essentielles à l'international depuis au moins 2020. Les chercheurs estiment que ce groupe ciblait les hôtels, les pouvoirs publics et les cabinets d'avocats depuis 2019, mais il n'a été identifié que plus tard. Le FBI et la CISA ont confirmé l'affiliation de Salt Typhoon à la RPC.

Salt Typhoon est connu sous plusieurs autres noms, tels que FamousSparrow, GhostEmperor et UNC2286. Le groupe utilise une variété de tactiques, techniques et procédures sophistiquées (TTP) dans ses cyberattaques :

  • Exploitation des vulnérabilités : le groupe exploite à la fois des vulnérabilités connues et des vulnérabilités zero-day dans des systèmes largement utilisés, tels que Microsoft Exchange (vulnérabilités ProxyLogon) et Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887).
  • Logiciels malveillants avancés : des logiciels malveillants personnalisés tels que « GhostSpider » permettent un accès permanent aux systèmes compromis.
  • Déplacement latéral et techniques de dissimulation : le groupe utilise divers outils pour se déplacer dans les systèmes et éviter d'être détecté.

Salt Typhoon utilise également des identifiants volés et des infections par des logiciels malveillants pour obtenir un accès. Ce sont des méthodes de compromission éprouvées, et on peut supposer que même les groupes les plus sophistiqués utiliseront ces méthodes.

Deux autres affiliés de la RPC ont été liés à des attaques sur le secteur des communications. Volt Typhoon et APT41 ont infiltré des systèmes apparemment sécurisés, souvent par le biais de vulnérabilités non corrigées ou inconnues jusqu'alors.

La RPC n'est pas seule dans ses tentatives de déstabiliser d'autres pays. Les pirates russes tels que Sandworm (l'unité 74455 de la GRU) et APT29 (Cozy Bear, Midnight Blizzard) possèdent des entreprises d'infrastructure dans de nombreux pays occidentaux. Sandworm semble concentrer ses efforts sur l'Ukraine, tandis qu'APT29 mène des attaques à l'échelle internationale.

Plusieurs groupes affiliés à la République populaire démocratique de Corée (RPDC, Corée du Nord) ont été impliqués dans des attaques contre les communications américaines. Des groupes de pirates tels qu'Andariel (APT45), Kimsuky (APT43) et Lazarus Group ont infiltré les infrastructures critiques des États-Unis en soutien au régime nord-coréen.  Les chercheurs de Mandiant ont publié cette illustration des relations entre les pirates de la RPDC et le régime de Kim Jong-Un :

 

Organigramme des organisations cyber de la RPDC, via Mandiant

Organigramme des organisations cyber de la RPDC, via Mandiant

Tous ces groupes sont motivés par l'espionnage, le positionnement stratégique et les gains financiers.  Il est difficile de calculer les dommages causés par ces attaques, mais nous savons qu'elles entraînent des pertes financières significatives et l'exposition de données sensibles. Il y a également eu des perturbations opérationnelles, qui amplifient les coûts au-delà du cadre de la récupération des incidents.

Conseils aux opérateurs de systèmes de communication

Les exploitants d'infrastructures de communication devraient suivre ces bonnes pratiques et procédures :

  • Segmentation du réseau pour limiter les déplacements latéraux et isoler les systèmes critiques et les données sensibles.
  • Méthodes d’authentification robustes conçues pour résister à l'hameçonnage et à d'autres attaques basées sur les identifiants.
  • Désactivation de tous les services et protocoles inutiles sur les appareils du réseau, maintien des versions du système d'exploitation à jour et application rapide des correctifs de sécurité.
  • Sensibilisation du personnel aux bonnes pratiques en matière de cybersécurité, dont l'identification des tentatives d'hameçonnage et l'importance de suivre les procédures de sécurité de l'entreprise.
  • Élaboration d'un plan de réponse aux incidents et conduite d'évaluations régulières de la sécurité.
  • Évaluation et suivi des pratiques de sécurité des fournisseurs et des prestataires pour atténuer les risques liés à l'accès de tiers aux systèmes et aux données.

Recommandations à l'intention du public

L'une des responsabilités les plus importantes du public est de protéger ses identifiants et son identité. Utilisez des mots de passe forts et l’authentification multifacteur, méfiez-vous des tentatives d’hameçonnage et des liens ou téléchargements suspects, et soyez attentif au partage d’informations personnelles sur les réseaux sociaux. L'utilisation de connexions Wi-Fi sécurisées et la protection de l'accès aux appareils personnels sont également des mesures essentielles.  

Il est indéniable que les infrastructures critiques représentent un enjeu de sécurité nationale. Chaque exploitant de ces réseaux doit encourager une culture de sensibilisation à la sécurité et promouvoir les bonnes pratiques en matière de cybersécurité. Il est également crucial que les parties prenantes exploitent leurs partenariats et autres systèmes de soutien. Nous ne pouvons pas sécuriser correctement l'infrastructure destinées aux communications sans une approche collaborative impliquant les pouvoirs publics, les secteurs concernés et le public.

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
La responsabilité de la sécurité des infrastructures critiques évolue
La responsabilité de la sécurité des infrastructures critiques évolue
 Défense des infrastructures : réseaux d'approvisionnement en eau et traitement des eaux usées
Défense des infrastructures : réseaux d'approvisionnement en eau et traitement des eaux usées
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.