16 Juin 2017

Systèmes de contrôle industriels de la cybersécurité : vue d’ensemble

Business

Ces dernières années, même les plus gros médias n’ont cessé de parler des incidents de cybersécurité des systèmes de contrôle industriels. Malheureusement, le problème ne repose pas uniquement sur les attaques ciblées, telles que BlackEnergy ou l’Opération Ghoul, visant le secteur industriel, mais aussi davantage sur des cybermenaces communes ne visant pas de victimes en particulier. Le dernier exemple en date, celui du ransomware WannaCry, qui n’avait pas été explicitement conçu pour viser des systèmes de contrôle industriels mais qui avait réussi à infiltrer un certain nombre de réseaux de systèmes de contrôle industriels et dans certains cas, avait conduit à l’immobilisation des processus industriels.

Mais de quelle façon les personnes en charge de la sécurité des systèmes de contrôle industriels répondent-elles aux menaces ? Comment ces professionnels de la cybersécurité perçoivent-ils les risques, et possèdent-ils les compétences nécessaires pour y faire face ? Comment la perception et la réalité s’alignent-elles ? Nous avons observé un certain fossé entre la perception des incidents des systèmes de contrôle industriels au sein des entreprises industrielles et la réalité. C’est la raison pour laquelle, à l’aide de Business Advantage, nous avons mené une étude auprès de 359 professionnels de la cybersécurité industrielle. Voici nos conclusions.

Conclusions des systèmes de contrôle industriels de la cybersécurité

  • 83% des sondés pensent qu’ils sont bien préparés face à un incident de cybersécurité des systèmes de contrôle industriels. Dans le même temps, la moitié des entreprises interrogées ont été confrontées à des incidents de sécurité (entre un et cinq) ces douze derniers mois, et 4% d’entre elles plus de six.
  • Les professionnels de la sécurité des systèmes de contrôle industriels ont un bon sens des réalités mais ne sont pas convaincus que leurs sentiments soient partagés : 31% déclarent que la cybersécurité des systèmes de contrôle industriels n’est pas une priorité de la haute direction.
  • Une mauvaise cybersécurité coûte en moyenne 497 000 dollars aux entreprises industrielles.
  • Pour la plupart des entreprises des systèmes de contrôle industriels, les malwares conventionnels restent le plus gros point douloureux : 56% des sondés les considèrent comme étant le vecteur le plus inquiétant. Ici, la perception rencontre la réalité ; la moitié des entreprises interrogées ont dû atténuer les conséquences des malwares classiques de l’an dernier.
  • Parmi les trois principales conséquences des incidents : les dommages liés à la qualité du produit et du service, la perte d’informations confidentielles, et la réduction ou la perte de production sur un site.
  • La moitié des entreprises des systèmes de contrôle industriels interrogées ont reconnu que les fournisseurs externes ont accès à des réseaux de contrôle industriels dans leur entreprise, élargissant le périmètre des menaces.
  • 81% des entreprises indiquent une utilisation accrue des connections sans fil sur le réseau industriel. Cela indique la fin de toute stratégie de faille de sécurité réaliste.
  • Le top trois des types de solutions de sécurité les plus populaires sont les suspects habituels : antimalware, supervision des réseaux, et contrôles d’accès à l’appareil. Mais dans le même temps, 54% n’ont pas tenu compte de l’analyse des vulnérabilités et de la gestion des patchs, et parmi ceux qui en ont, 41% émettent des patchs une fois par mois voire moins souvent. Comme l’a démontré WannaCry, ce n’est pas une stratégie solide.

Nos conclusions

Même si les recherches démontrent que les professionnels sont conscients des menaces, leurs perceptions et interactions envers elles indiquent un besoin de mieux comprendre la nature de ces menaces et de quelle façon les combattre. Les stratégies de la cybersécurité industrielle actuelle sont largement contradictoires, avec des entreprises qui mettent des solutions en place mais qui ne suivent pas de processus sécurisés, de conseils et n’ont pas mis en place de logiciel correctement.

Kaspersky Lab recommande que les entreprises industrielles sensibilisent davantage leurs employés sur la montée des problèmes et aident les utilisateurs à comprendre les menaces et comportements qui mettent en danger les entreprises. Le manque de compétences peut être résolu en externalisant la gestion spécifique de la cybersécurité à des équipes externes spécialisées qui comprennent les exigences uniques du secteur.

Par ailleurs, les solutions de cybersécurité élaborées spécifiquement pour le secteur fournissent une protection beaucoup plus efficace que les solutions génériques, qui, comme nous l’avons vu, exposent au moins 50% des entreprises à des failles.