Cybermenaces : comment protéger les infrastructures critiques
Dans une économie numérique, les systèmes utilisés au quotidien sont presque tous interconnectés. Il devient donc beaucoup plus facile pour un acteur malveillant de mettre hors service une infrastructure critique comme le réseau d »approvisionnement en eau d'une ville.
En perturbant largement ce type d'infrastructure, les cybercriminels savent qu'ils peuvent demander des rançons plus importantes en contrepartie de la remise en état des systèmes. Si les cyberattaques contre les infrastructures critiques existeront toujours, tirer les leçons de précédentes attaques peut aider à se prémunir contre de futures attaques.
Votre sécurité est celle de votre maillon le plus faible
L'un des principaux enseignements de ces derniers mois en matière de cybersécurité est que la sécurité d'une entreprise se mesure à celle de son fournisseur le moins sûr, et que les failles de sécurité les plus basiques constituent souvent les principales voies d'accès aux systèmes les plus critiques. La plupart des grandes entreprises ont en réalité du mal à avoir une visibilité sur leur propre inventaire d'actifs et encore moins sur celui de leur chaîne d'approvisionnement. Un acteur malveillant n'a finalement pas besoin de cibler la voie d'accès la plus directe à une application, il cherche plutôt le système ou le fournisseur le moins protégé, qui lui demandera moins d'effort.
Suite à l'attaque par ransomware qui touché près de 2 000 entreprises dans le monde, Kaseya a réussi à restaurer les données chiffrées 20 jours après la détection de l'incident. Cependant, des rapports ont montré que l'entreprise avait été avertie de graves failles de sécurité dans son logiciel entre 2017 et 2020, mais que ces dernières n'avaient pas été traitées.
Grâce à la mise en place d'un programme de divulgation des vulnérabilités (VDP), l'entreprise avait notamment connaissance de sept vulnérabilités présentes au sein de ses systèmes, mais seules quatre d'entre elles avaient été corrigées. Cet exemple montre que même si les organisations mettent en place des programmes de sécurité efficaces, elles peuvent être victimes d'une attaque en raison d'une vulnérabilité au sein de son réseau.
En septembre 2021, lorsque le Port de Houston avait été piraté, la détection rapide d'une activité inhabituelle sur le réseau ciblé avait permis à l'équipe de sécurité du Port d'éteindre les systèmes avant que le réseau ne soit touché ou que des données ne soient volées par des acteurs malveillants. Cet exemple montre que la capacité de détection est essentielle dans la protection des réseaux d'infrastructures critiques.
Autre exemple récent en Ukraine, où le gouvernement a été la cible d'attaques coordonnées CMS et Log4j sur un membre essentiel de sa chaîne d'approvisionnement. Ces attaques sont survenues moins de deux mois après la découverte de Log4j, un délai déraisonnablement court pour qu'un scanner, un pentest ou une équipe de sécurité puisse trouver et corriger chaque instance d'un zero-day. La preuve que les infrastructures critiques ont besoin d'approches innovantes pour détecter rapidement les nouvelles vulnérabilités sur de très grandes surfaces d'attaque.
Envisager une approche globale et transparente de la cybersécurité
Le seul moyen de protection contre les cyberattaques est la prévention. Les organisations les plus conservatrices - comme des ministères - commencent à se tourner vers des approches de sécurité moins conventionnelles pour minimiser les risques, comme de faire appel à une communauté de hackers éthiques à travers des programmes de divulgation de vulnérabilités ou de bug bounty.
A travers ce type de programmes, les hackers recherchent de nouvelles vulnérabilités telles que les "failles clandestines" utilisées par de nombreux acteurs malveillants pour accéder aux réseaux d'infrastructures critiques. Ces spécialistes de la sécurité disposent de connaissances importantes dans l'identification des possibilités d'exploitation des vulnérabilités. Ils peuvent également fournir aux organisations un retour d'information détaillé afin d'améliorer leur vitesse de remédiation.
En outre, dans la mesure où la transparence instaure la confiance, les organisations ont tout à gagner en partageant ouvertement les informations concernant les failles de sécurité. Chaque entreprise est vulnérable face aux cyberattaques et l'enjeu est de taille si des acteurs malveillants parviennent à accéder à un réseau d'infrastructure critique dont le public dépend grandement. Ainsi, il est important pour les équipes de sécurité de révéler autant d'informations que possible sur les vulnérabilités découvertes, notamment lorsqu'une intrusion se produit, afin de partager les connaissances et d'aider d'autres à se prémunir contre les mêmes menaces.
En mars 2019, Norsk Hydro, fabricant mondial d'aluminium, a été victime d'une cyberattaque de grande ampleur touchant l'ensemble de son organisation. Face à cette attaque, l'entreprise avait largement communiqué, non seulement dans le but d'informer le public des événements qui se déroulaient, mais aussi afin d'exposer les méthodes utilisées par le groupe cybercriminel, et par conséquent, freiner les futures cybermenaces.
Cet exemple démontre que la transparence aide les entreprises à se protéger contre les menaces, tout en renforçant la confiance envers la marque lorsqu'une cyberattaque a lieu. Des leaders de la cybersécurité, dont le PDG de Dragos, ont largement félicité l'entreprise dans les médias sur sa façon de gérer l'attaque. En septembre 2021, l'équipe de sécurité du Port de Houston avait également été félicitée pour sa transparence lorsque les systèmes ont été piratés.
La seule façon pour les infrastructures critiques de faire face aux cybermenaces est de collaborer avec l'industrie, les gouvernements et le public. En collaborant pour partager des informations, les équipes de sécurité sont plus fortes et peuvent tirer des enseignements d'événements passés et, en fin de compte, instaurer davantage de confiance.
Christopher Dickens, - HackerOne.
Sur le même thème
Voir tous les articles Cybersécurité