11 juillet 2016

Cybermenaces : 91,1% des systèmes de commande industriels (ICS) vulnérables appartiennent probablement à de grandes entreprises

Afin de réduire au minimum le risque d’une cyberattaque, les systèmes de commande industriels (ICS) sont censés fonctionner dans un environnement isolé physiquement. Or ce n’est pas toujours le cas. Dans leur étude sur le paysage des menaces ICS, les experts de Kaspersky Lab révèlent que 13 698 hôtes ICS exposés à Internet appartiennent très vraisemblablement à de grandes entreprises, dans les secteurs de l’énergie, des transports, de l’aéronautique, de l’industrie pétrolière et gazière, de la chimie, de l’automobile, de la fabrication, de l’agro-alimentaire, de l’administration, de la finance ou de la médecine. 91,1 % de ces hôtes ICS présentent des failles pouvant être exploitées à distance. Cependant, le pire est encore à venir : 3,3 % des hôtes ICS situés dans ces entreprises contiennent des vulnérabilités critiques et exécutables à distance.

Afin de réduire au minimum le risque d’une cyberattaque, les systèmes de commande industriels (ICS) sont censés fonctionner dans un environnement isolé physiquement. Or ce n’est pas toujours le cas. Dans leur étude sur le paysage des menaces ICS, les experts de Kaspersky Lab révèlent que 13 698 hôtes ICS exposés à Internet appartiennent très vraisemblablement à de grandes entreprises, dans les secteurs de l’énergie, des transports, de l’aéronautique, de l’industrie pétrolière et gazière, de la chimie, de l’automobile, de la fabrication, de l’agro-alimentaire, de l’administration, de la finance ou de la médecine. 91,1 % de ces hôtes ICS présentent des failles pouvant être exploitées à distance. Cependant, le pire est encore à venir : 3,3 % des hôtes ICS situés dans ces entreprises contiennent des vulnérabilités critiques et exécutables à distance. 

L’exposition des composants ICS à Internet suscite bon nombre d’opportunités mais aussi de préoccupations en matière de sécurité. D’une part, les systèmes connectés offrent davantage de réactivité face aux situations critiques et de souplesse pour les mises à jour. Mais, d’autre part, l’essor d’Internet donne aux cybercriminels la possibilité de prendre à distance le contrôle de composants ICS critiques, ce qui risque de causer des dommages physiques aux équipements ou encore de mettre en danger l’ensemble d’une infrastructure vitale. 

Les attaques complexes contre les systèmes ICS ne sont pas nouvelles. En 2015, un groupe organisé de pirates appelé BlackEnergy APT s’est attaqué à une compagnie d’énergie en Ukraine. La même année, deux autres incidents, présumés liés à des cyberattaques, se sont produits en Europe, l’un dans une aciérie en Allemagne, l’autre à l’aéroport Frédéric Chopin de Varsovie.

D’autres attaques de ce type sont à prévoir à l’avenir, compte tenu de l’étendue de la surface exposée. Ces 13 698 hôtes situés dans 104 pays ne représentent qu’une petite partie du nombre total de systèmes embarquant des composants ICS et accessibles via Internet.

Pour aider les entreprises exploitant des ICS à identifier leurs points faibles potentiels, les experts de Kaspersky Lab ont réalisé une étude sur les menaces contre ces systèmes. L’analyse s’est appuyée sur des informations OSINT (Open Source Intelligence) ou issues de sources publiques (ICS CERT, par exemple), la période étudiée se limitant à l’année 2015. 

Voici les principaux résultats de l’étude sur le paysage des menaces contre les systèmes de contrôle de processus industriels:

• Au total, 188 019 hôtes comportant des composants ICS accessibles via Internet ont été identifiés dans 170 pays.

• La plupart des hôtes accessibles à distance où sont installés des composants ICS se situent aux Etats-Unis (30,5 %, soit 57 417) et en Europe, notamment en Allemagne (13,9 % – 26 142) suivie de l’Espagne (5,9 % – 11 264) et de la France (5,6 % – 10 578). 

92 % (172 982) des hôtes ICS accessibles à distance présentent des vulnérabilités, correspondant à un risque moyen (pour 87 % d’entre eux) voire critique (7 %).

• Le nombre de failles dans des composants ICS a décuplé au cours des cinq dernières années, passant de 19 en 2010 à 189 en 2015. Les composants ICS les plus vulnérables sont les interfaces homme-machine, les appareillages électriques et les systèmes SCADA.

91,6 % (soit 172 338 hôtes distincts) de tous les équipements accessibles de l’extérieur utilisent des protocoles faibles pour leur connexion Internet, ce qui ouvre la porte à des attaques de type « man in the middle ».

« Notre recherche indique que plus une infrastructure ICS est vaste, plus elle présentera de sérieuses failles de sécurité. Celles-ci ne sont pas imputables à un fournisseur de logiciel ou de matériel en particulier. Par nature, l’environnement ICS mêle différents composants interconnectés, dont bon nombre sont reliés à Internet et connaissent des problèmes de sécurité. Il n’est pas possible de garantir à 100 % qu’une installation ICS donnée ne comportera pas au moins un composant vulnérable à un instant donné. Cela ne veut toutefois pas dire qu’il n’y a pas moyen de protéger une usine, une centrale, ou même un pâté de maisons dans une ville intelligente contre les cyberattaques. Une simple prise de conscience des vulnérabilités des composants utilisés sur un site industriel est la condition minimale pour la gestion de la sécurité. C’est là l’un des objectifs de notre étude : sensibiliser les publics concernés », commente Tanguy de Coatpont, directeur général France et Afrique du Nord chez Kaspersky Lab.

Afin de protéger l’environnement ICS contre d’éventuelles cyberattaques, les experts en sécurité de Kaspersky Lab formulent les recommandations suivantes :

Réaliser un audit de sécurité : faire appel à des experts spécialisés dans la sécurité industrielle est probablement le moyen le plus rapide d’identifier et d’éliminer les failles de sécurité décrites dans l’étude.

Solliciter des informations extérieures : la sécurité informatique s’appuie aujourd’hui sur la connaissance des vecteurs d’attaque potentiels. L’obtention de ces informations auprès de fournisseurs réputés aide à prévoir les futures attaques contre l’infrastructure industrielle d’une entreprise. 

Assurer une protection à l’intérieur et en dehors du périmètre. Des erreurs peuvent se produire. Une stratégie de sécurité digne de ce nom doit allouer des ressources suffisantes à la détection des attaques et à la réponse aux incidents, de façon à bloquer une attaque avant qu’elle n’atteigne des objets d’importance critique.

Evaluer des méthodes avancées de protection : mode Default Deny (refus d’accès par défaut) pour les systèmes SCADA, contrôles réguliers d’intégrité pour les automates, surveillance spécialisée du réseau pour renforcer la sécurité d’une entreprise dans son ensemble et réduire les risques d’intrusion, même s’il est possible de corriger ou de retirer certains nœuds intrinsèquement vulnérables. 

L’étude consacrée au paysage des menaces sur les systèmes de contrôle de processus industriels est disponible dans son intégralité sur le site Securelist.com.

 

Articles related to Récompenses et Certifications