La National Security Agency (NSA) et l’agence américaine de cybersécurité (CISA) viennent de publier un avis conjoint expliquant comment déjouer les cyberattaques visant les systèmes de contrôle industriel.
Ce document de 13 pages décrit ce que les exploitants d’infrastructures critiques doivent savoir sur leurs adversaires. Ce retour d’expérience se base notamment sur les récentes cyberattaques contre le réseau énergétique ukrainien et l’attaque par rançongiciel contre un distributeur de carburant, une référence directe à la cyberattaque ayant visé Colonial Pipeline.
publicité
Crainte d’une extension cyber du conflit
On craint en effet de plus en plus que les cyberattaques lancées dans la foulée de l’invasion de l’Ukraine par la Russie ne s’étendent aux infrastructures critiques occidentales. Au début de l’année, la CISA a ainsi averti que des attaquants avaient construit des outils personnalisés pour prendre le contrôle de systèmes de contrôle industriel de grands fabricants.
Le document de la NSA et de la CISA rappelle que les groupes d’attaquants avancés, qu’ils soient criminels ou parrainés par un Etat, ciblent les systèmes de contrôle industriels pour obtenir des gains politiques, des avantages économiques ou des effets destructeurs. Des attaques qui pourraient déboucher sur des morts, des dommages matériels et l’effondrement des fonctions critiques nationales.
Bien connaître la menace
Cependant, avant ces scénarios extrêmes, l’éventail des perturbations qui peuvent se produire est large. « Les exploitants des systèmes de contrôle industriel doivent comprendre parfaitement les menaces pour mieux s’en défendre », explique Michael Dransfield, un expert en cyberdéfense de la NSA. « Nous exposons donc les stratégies des acteurs malveillants pour durcir nos systèmes et empêcher leurs prochaines tentatives », ajoute-t-il.
Comme le signalent les deux agences, les systèmes de contrôle industriel peuvent être supportés par des composants informatiques vulnérables accessibles au public. « En outre, une multitude d’outils sont facilement disponibles pour les viser. C’est pour cela qu’il y a un risque croissant pour les systèmes de contrôle industriel », indiquent la NSA et la CISA.
Plus de vigilance
La surface d’attaque est d’ailleurs en hausse à la faveur de l’intégration de l’informatique industrielle dans des réseaux commandés à distance. La NSA remarque ainsi que les exploitants d’infrastructures critiques doivent partir du principe que leur système sera visé et non qu’il pourrait l’être. Elle propose également des stratégies simples que les opérateurs peuvent reprendre à leur compte.
Ainsi, ces bonnes pratiques consistent notamment à limiter la diffusion d’informations sur le matériel, les logiciels et les systèmes d’exploitation utilisés. Les opérateurs sont encouragés également à dresser un inventaire des points d’accès à distance et à les sécuriser, à effectuer des audits de sécurité réguliers et à mettre en place un environnement réseau dynamique.
Sur ce dernier point, les agences notent : « Bien qu’il puisse être irréaliste pour les administrateurs d’apporter régulièrement des changements non critiques, les exploitants devraient envisager d’apporter périodiquement des changements à leur réseau. Un petit changement peut faire beaucoup pour perturber l’accès précédemment obtenu par un acteur malveillant. »
Source : ZDNet.com
