{"id":19830,"date":"2022-12-08T12:28:54","date_gmt":"2022-12-08T10:28:54","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19830"},"modified":"2022-12-08T12:31:10","modified_gmt":"2022-12-08T10:31:10","slug":"updating-ot-infrastructure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/updating-ot-infrastructure\/19830\/","title":{"rendered":"L’antidote contre le conservatisme de la technologie op\u00e9rationnelle"},"content":{"rendered":"

Je le dis depuis des ann\u00e9es\u00a0: l\u2019antivirus est mort<\/a>.<\/p>\n

Cette d\u00e9claration pourrait para\u00eetre \u00e9trange au premier abord, surtout lorsqu\u2019elle vient de quelqu\u2019un qui a \u00e9t\u00e9 un moteur dans tout ce qui a trait<\/a> aux virus et aux antivirus depuis la fin des ann\u00e9es 80<\/a>, d\u00e9but des ann\u00e9es 90<\/a>. Pourtant, si vous analysez plus en profondeur le sujet de l\u2019antivirus (paix \u00e0 son \u00e2me) et consultez quelques sources fiables sur cet (ancien) domaine, alors cette d\u00e9claration prend tout son sens. Tout d\u2019abord, l\u2019 \u00ab\u00a0antivirus\u00a0\u00bb est devenu une solution qui prot\u00e8ge l\u2019utilisateur \u00ab\u00a0contre tout\u00a0\u00bb. Ensuite, les virus, en tant qu\u2019esp\u00e8ce sp\u00e9cifique de programme malveillant, ont disparu. Enfin, presque<\/em>. Et c\u2019est ce mot presque<\/em>, d\u2019apparence anodine et n\u00e9gligeable, qui cause encore probl\u00e8me dans le monde de la cybers\u00e9curit\u00e9, et pourtant nous sommes fin 2022\u00a0! C\u2019est ce mot presque<\/em> qui fait l\u2019objet de cet article\u2026<\/p>\n

Donc\u2026 Les virus\u2026 Il n\u2019y en a plus que quelques-uns sur liste rouge<\/a>. Mais o\u00f9 sont-ils et que font-ils\u00a0?<\/p>\n

Il s\u2019av\u00e8re qu\u2019ils se trouvent g\u00e9n\u00e9ralement dans un des sous-champs les plus conservateurs de l\u2019automatisation industrielle\u00a0: c\u2019est-\u00e0-dire la technologie op\u00e9rationnelle<\/a> (TO), \u00e0 ne pas confondre avec la technologie de l\u2019information (TI). La TO est une cat\u00e9gorie de mat\u00e9riel et de logiciel qui d\u00e9tecte ou provoque un changement gr\u00e2ce \u00e0 la surveillance et au contr\u00f4le direct du fonctionnement de l\u2019\u00e9quipement industriel, des actifs, des processus et des \u00e9v\u00e9nements. Pour faire simple, la TO est li\u00e9e \u00e0 l\u2019environnement des syst\u00e8mes de contr\u00f4le industriel (ICS<\/a>, ou supervision). TO = syst\u00e8mes de contr\u00f4le sp\u00e9cialis\u00e9s pour les usines, les centrales \u00e9lectriques, les syst\u00e8mes de transport, les services publics, l\u2019extraction, le traitement et toute autre industrie lourde. Oui, l\u2019infrastructure. En effet, il s\u2019agit souvent d\u2019une infrastructure critique. Oui, vous avez encore raison, c\u2019est dans cette infrastructure industrielle \/ critique que les virus informatiques \u00ab\u00a0d\u00e9c\u00e9d\u00e9s\u00a0\u00bb sont encore en vie et actifs. De nos jours, pr\u00e8s de 3 % des incidents informatiques<\/a> qui affectent les ordinateurs de la TO sont caus\u00e9s par ce type de programme malveillant.<\/p>\n

Comment est-ce possible\u00a0?<\/p>\n

Nous vous avons d\u00e9j\u00e0 donn\u00e9 la r\u00e9ponse : la TO, et plus concr\u00e8tement son utilisation dans le secteur industriel, est tr\u00e8s conservative. S\u2019il y a bien un secteur qui croit dur comme fer au proverbe \u00ab\u00a0pas besoin de r\u00e9parer ce qui n\u2019est pas cass\u00e9\u00a0\u00bb c\u2019est celui de la TO. La stabilit\u00e9 est le point le plus important dans la TO, et non les derni\u00e8res technologies modernes et les gadgets. Nouvelles versions, mises \u00e0 niveau\u2026 M\u00eame une simple mise \u00e0 jour (d\u2019un logiciel, par exemple) est per\u00e7ue avec beaucoup de scepticisme, si ce avec m\u00e9pris ou peur ! En effet, la technologie op\u00e9rationnelle dans les syst\u00e8mes de contr\u00f4le industriel inclut g\u00e9n\u00e9ralement de vieux ordinateurs grin\u00e7ants qui fonctionnent sous\u2026 Windows 2000 ! Et qui utilisent divers programmes tout aussi anciens qui regorgent de vuln\u00e9rabilit\u00e9s, ainsi que de failles b\u00e9antes dans les politiques de s\u00e9curit\u00e9 et de tout un ensemble de choses terribles et cauchemardesques pour la personne charg\u00e9e de l\u2019informatique. Mais voyons maintenant ce qui se passe loin des machines : le kit informatique de la partie administrative, c\u2019est-\u00e0-dire dans les bureaux, en dehors de la cha\u00eene de production, dans les installations auxiliaires ou techniques. Ces syst\u00e8mes ont \u00e9t\u00e9 vaccin\u00e9s contre les virus puisqu\u2019ils sont r\u00e9guli\u00e8rement mis \u00e0 jour, mis \u00e0 niveau, r\u00e9vis\u00e9s et parfaitement prot\u00e9g\u00e9s gr\u00e2ce aux solutions de s\u00e9curit\u00e9 modernes. Pendant ce temps, les parties purement industrielles (TO) ont fait tout le contraire : les virus survivent et se d\u00e9veloppent.<\/p>\n

D\u00e9couvrons les 10 programmes malveillants \u00ab\u00a0anciens\u00a0\u00bb d\u00e9tect\u00e9s dans les ordinateurs des syst\u00e8mes de contr\u00f4le industriel en 2022 :<\/p>\n

\"\"<\/p>\n

Sality\u00a0<\/a>! Virut\u00a0<\/a>! Nimnul\u00a0<\/a>!<\/p>\n

Que pouvons-nous en conclure\u00a0?<\/p>\n

Tout d\u2019abord<\/strong>, il convient de pr\u00e9ciser que les pourcentages ci-dessus correspondent \u00e0 la phase \u00ab\u00a0de repos\u00a0\u00bb de ces vieux virus. Pourtant, ces virus peuvent parfois franchir les limites d\u2019un seul syst\u00e8me infect\u00e9, se r\u00e9pandre dans tout le r\u00e9seau et provoquer une \u00e9pid\u00e9mie locale grave. Au lieu d\u2019administrer un traitement complet, les responsables r\u00e9cup\u00e8rent de vieilles sauvegardes qui ne sont pas toujours \u00ab\u00a0propres\u00a0\u00bb. De plus, l\u2019infection peut affecter les ordinateurs des ICS et les automates programmables industriels<\/a> (API). Par exemple, longtemps avant l\u2019apparition de Blaster<\/a>, un ver preuve de concept capable d\u2019infecter le micrologiciel des API, le chargeur de Sality \u00e9tait d\u00e9j\u00e0 pr\u00e9sent. Enfin, presque. Il n\u2019\u00e9tait pas dans le micrologiciel mais se pr\u00e9sentait sous la forme d\u2019un script dans les fichiers HTML de l\u2019interface Web.<\/p>\n

Oui, Sality peut vraiment semer le d\u00e9sordre dans les processus automatiques de production, mais ce n\u2019est pas tout. Il peut aussi perturber la m\u00e9moire gr\u00e2ce \u00e0 un pilote malveillant et infecter les fichiers et la m\u00e9moire des applications. Tout cela pourrait provoquer une d\u00e9faillance compl\u00e8te du syst\u00e8me de contr\u00f4le industriel pendant plusieurs jours. Dans le cas d\u2019une infection active, tout le r\u00e9seau pourrait \u00eatre an\u00e9anti puisque Sality peut effectuer des communications pair-\u00e0-pair afin de mettre \u00e0 jour les listes des centres de contr\u00f4le actifs depuis 2008. Les fabricants de l\u2019ICS n\u2019ont certainement pas \u00e9crit le code en pensant \u00e0 un environnement de travail aussi agressif.<\/p>\n

Ensuite<\/strong>, 0,14 % en un mois ne semble pas si important mais\u2026 il s\u2019agit de milliers de cas d\u2019infrastructures critiques partout dans le monde. C\u2019est dommage quand vous pensez comment ce risque pourrait compl\u00e8tement et simplement \u00eatre exclus en suivant les m\u00e9thodes de base.<\/p>\n

Enfin<\/strong>, \u00e9tant donn\u00e9 que la cybers\u00e9curit\u00e9 des usines est comme une passoire, il n\u2019est pas surprenant d\u2019entendre que d\u2019autres types de programmes malveillants ont r\u00e9ussi \u00e0 attaques les usines, notamment les ran\u00e7ongiciels (par exemple, Snake contre Honda<\/a>).<\/p>\n

Le conservatisme du personnel de la TO est \u00e9vident\u00a0: pour eux, le plus important est que les processus industriels qu\u2019ils supervisent ne s\u2019arr\u00eatent jamais et l\u2019apport de nouvelles technologies, de mises \u00e0 jour ou de mises \u00e0 niveau pourrait provoquer des interruptions. Et si ces arr\u00eats sont caus\u00e9s par l\u2019attaque d\u2019un vieux virus pr\u00e9sent depuis des ann\u00e9es\u00a0? C\u2019est effectivement le dilemme auquel le personnel de la TO est confront\u00e9, m\u00eame s\u2019il choisit g\u00e9n\u00e9ralement de maintenir ce retard. D\u2019o\u00f9 les chiffres du graphique ci-dessus.<\/p>\n

Devinez quoi ?! Ce dilemme pourrait appartenir au pass\u00e9 gr\u00e2ce \u00e0 notre \u00ab\u00a0pilule\u00a0\u00bb\u2026<\/p>\n

Dans l\u2019id\u00e9al, les industries ont besoin de pouvoir innover, mettre \u00e0 jour et mettre \u00e0 niveau leur kit TO sans mettre en p\u00e9ril la continuit\u00e9 des processus industriels. L\u2019an dernier, nous avons d\u00e9pos\u00e9 un brevet pour un syst\u00e8me qui le garantit\u2026<\/p>\n

Voici comment il fonctionne en quelques mots\u00a0: avant d\u2019introduire quelque chose de nouveau dans les processus qui DOIVENT continuer \u00e0 fonctionner, ils sont test\u00e9s dans une maquette du syst\u00e8me r\u00e9el, un support sp\u00e9cial qui simule les fonctions industrielles critiques.<\/p>\n

Ce support est \u00e9tabli \u00e0 partir de la configuration du r\u00e9seau TO en question, qui allume les m\u00eames types d\u2019appareils utilis\u00e9s par le processus industriel (ordinateurs, API, capteurs, mat\u00e9riel de communication et divers kits de l\u2019IoT) puis les fait interagir entre eux pour reproduire la fabrication ou tout autre processus industriel. Un \u00e9chantillon du programme test\u00e9 est plac\u00e9 au terminal d\u2019entr\u00e9e du support et est observ\u00e9 par une sandbox<\/a> qui enregistre toutes les actions, observe les r\u00e9ponses des n\u0153uds du r\u00e9seau et conserve les modifications des performances, l\u2019accessibilit\u00e9 des connexions et bien d\u2019autres caract\u00e9ristiques atomiques. Les donn\u00e9es obtenues de cette fa\u00e7on permettent l\u2019\u00e9laboration d\u2019un mod\u00e8le qui d\u00e9crit les risques du nouveau programme, ce qui permet \u00e9galement de prendre une d\u00e9cision r\u00e9fl\u00e9chie quant \u00e0 l\u2019ajout ou non du nouveau programme et par rapport \u00e0 ce qu\u2019il faut faire au niveau de la TO pour fermer les vuln\u00e9rabilit\u00e9s non corrig\u00e9es.<\/p>\n

Attendez, cela devient encore plus int\u00e9ressant\u2026<\/p>\n

Vous pouvez litt\u00e9ralement tester tout ce que vous voulez sur le terminal d\u2019entr\u00e9e, pas seulement un nouveau programme ou les mises \u00e0 jour \u00e0 d\u00e9ployer. Par exemple, vous pouvez tester la r\u00e9sistance face \u00e0 des programmes malveillants qui arrivent \u00e0 contourner les m\u00e9thodes de protection externes et \u00e0 p\u00e9n\u00e9trer dans le r\u00e9seau industriel prot\u00e9g\u00e9.<\/p>\n

Cette technologie a beaucoup de potentiel dans le domaine des assurances. Les compagnies d\u2019assurance pourront mieux \u00e9valuer les risques informatiques afin de calculer plus pr\u00e9cis\u00e9ment les primes d\u2019assurance, alors que les assur\u00e9s ne vont pas payer plus sans aucune raison valable. Ainsi, les fabricants de mat\u00e9riel industriel pourront utiliser ce support de test pour certifier les logiciels et le mat\u00e9riel informatique de d\u00e9veloppeurs tiers. Si nous poussons cette id\u00e9e plus loin, cette m\u00e9thode pourrait aussi servir aux centres d\u2019accr\u00e9ditation sp\u00e9cifiques \u00e0 l\u2019industrie. Sans parler du potentiel de recherche pour les institutions acad\u00e9miques\u00a0!\u2026<\/p>\n

Pour le moment, revenons-en \u00e0 notre support pour les usines\u2026<\/p>\n

Il va sans dire qu\u2019aucune \u00e9mulation ne peut reproduire \u00e0 100 % toute la vari\u00e9t\u00e9 des processus des r\u00e9seaux de TO. Pourtant, avec le mod\u00e8le que nous avons d\u00e9velopp\u00e9 \u00e0 partir de notre vaste exp\u00e9rience, nous pouvons anticiper les \u00ab\u00a0surprises\u00a0\u00bb qui pourraient apparaitre apr\u00e8s l\u2019ajout du nouveau programme.<\/p>\n

De plus, nous pouvons contr\u00f4ler en toute s\u00e9curit\u00e9 la situation avec d\u2019autres m\u00e9thodes, notamment avec notre syst\u00e8me de d\u00e9tection pr\u00e9coce d\u2019anomalies MLAD<\/a>, dont j\u2019ai parl\u00e9 dans cet article<\/a>, qui peut identifier les probl\u00e8mes dans les sections sp\u00e9cifiques d\u2019op\u00e9rations industrielles \u00e0 partir des corr\u00e9lations directes voire indirectes. \u00a0Vous \u00e9vitez ainsi de perdre des millions ou des milliards de dollars \u00e0 cause de ces incidents.<\/p>\n

Qu\u2019est-ce qui emp\u00eache le personnel de la TO d\u2019adopter notre mod\u00e8le\u00a0?<\/p>\n

Peut-\u00eatre que pour le moment, comme ce secteur est si conservateur, les entreprises ne recherchent pas activement une solution comme la n\u00f4tre parce qu\u2019elles pourraient croire que ce n\u2019est pas n\u00e9cessaire. Nous ferons de notre mieux pour promouvoir notre technologie afin d\u2019aider ce secteur \u00e0 \u00e9conomiser des millions mais, en attendant, je souhaiterai ajouter quelque chose\u00a0: notre mod\u00e8le, bien que complexe, va rapidement se r\u00e9v\u00e9ler rentable s\u2019il est adopt\u00e9 par une grande organisation industrielle ou infrastructurelle. Il ne s\u2019agit pas d\u2019un mod\u00e8le avec un abonnement ou quelque chose de similaire. C\u2019est un achat unique qui permet de faire des \u00e9conomies (tout en r\u00e9duisant les risques li\u00e9s \u00e0 la r\u00e9glementation, la r\u00e9putation et les op\u00e9rations) pendant des ann\u00e9es sans avoir \u00e0 faire un investissement suppl\u00e9mentaire. Ah, il y a autre chose qui sera pr\u00e9serv\u00e9\u00a0: la sant\u00e9 de l\u2019\u00e9quipe de la TO.<\/p>\n","protected":false},"excerpt":{"rendered":"

Les d\u00e9tails relatifs \u00e0 la protection et \u00e0 la mise \u00e0 jour d\u2019une infrastructure de TO.<\/p>\n","protected":false},"author":13,"featured_media":19831,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[1730,4345,4343,4344,46],"class_list":{"0":"post-19830","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-ics","10":"tag-mlad","11":"tag-technologies-operationnelles","12":"tag-to","13":"tag-virus"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/updating-ot-infrastructure\/19830\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/updating-ot-infrastructure\/24942\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/updating-ot-infrastructure\/20439\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/updating-ot-infrastructure\/10478\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/updating-ot-infrastructure\/27499\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/updating-ot-infrastructure\/25272\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/updating-ot-infrastructure\/25602\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/updating-ot-infrastructure\/28159\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/updating-ot-infrastructure\/27424\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/updating-ot-infrastructure\/34311\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/updating-ot-infrastructure\/46467\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/updating-ot-infrastructure\/20453\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/updating-ot-infrastructure\/29576\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/updating-ot-infrastructure\/33951\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/updating-ot-infrastructure\/28791\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/updating-ot-infrastructure\/25628\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/updating-ot-infrastructure\/31318\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/updating-ot-infrastructure\/31027\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ics\/","name":"ICS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19830","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=19830"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19830\/revisions"}],"predecessor-version":[{"id":19836,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19830\/revisions\/19836"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/19831"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=19830"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=19830"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=19830"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}