Systèmes de contrôle industriels (ICS) : vers une multiplication des attaques
Notre monde est de plus en plus connecté. C'est également le cas des usines et équipements industriels, qu'il s'agisse de production d'énergie ou de fabrication de produits de consommation courante.
Il existe en effet des systèmes IoT permettant de rationaliser les processus métiers, avec à la clé une productivité accrue. Mais cette course à l'innovation a un prix.
À l'heure de la convergence entre les technologies opérationnelles (OT) et les technologies de l'information (IT), de nouvelles menaces émergent peu à peu par le biais de protocoles de communication, silos informatiques et matériels obsolètes, qui ne sont pas conçus pour être patchés régulièrement.
Lorsqu'on évoque les
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Mais dans l'immédiat, ce sont les attaques courantes qui sont le plus susceptibles de frapper. Et ce n'est pas une raison pour lever le pied en matière de sécurité ! Bien au contraire : c'est justement pour cela qu'il est crucial de mettre en place un système de défense adapté.
Afin d'approfondir le sujet, Trend Micro a récemment mis au point son propre honeypot ou « pot de miel » industriel.
Les honeypots offrent aux chercheurs en cyber-sécurité une méthode éprouvée pour réunir de précieuses informations sur leurs adversaires. Mais les cyber-attaquants étant désormais familiers de ce type de piège, les acteurs de la sécurité informatique doivent aller plus loin pour crédibiliser le stratagème.
Dans le cadre de ce projet, les chercheurs ont décidé de se faire passer pour une petite agence de conseil industriel conduisant des projets sensibles pour le compte de clients très pointus. Pour mieux tromper les hackers, ils sont allés jusqu'à réaliser un site web complet et à créer des profils d'employés fictifs sur les réseaux sociaux.
Et pour rendre le tout encore plus crédible, ils ont utilisé un véritable système de contrôle industriel ainsi qu'un mélange d'hôtes physiques et virtuels, avec plusieurs automates industriels programmables, des interfaces homme-machine, des postes de travail techniques et robotisés ainsi qu'un serveur de fichiers.
Lire aussi : Cybersécurité : 8 personnalités qui ont marqué 2024
Pour attirer les cybercriminels, certains ports ont été laissés ouverts sans mot de passe pour permettre d'accéder à des services tels que les systèmes VNC, et des informations ont été publiées sur l'application Pastebin pour permettre de remonter plus facilement à la vraie fausse entreprise.
Le honeypot a d'abord été piraté à des fins de minage de crypto-monnaies, mais il a également été visé par deux attaques distinctes de ransomwares, via des emails proposant aux victimes de faire évoluer leur forfait pour acheter un nouvel iPhone, ou de convertir leurs miles en cartes cadeaux. Cette expérience livre ainsi des enseignements précieux sur la sécurité des usines intelligentes.
Tout d'abord, il n'est pas indispensable d'exécuter des attaques complexes en plusieurs phases pour perturber des processus métiers ou subtiliser des données sensibles sur l'entreprise. Les attaques en question étaient plutôt simples, mais suffisamment efficaces pour poser de sérieux problèmes, notamment aux petites structures.
Deuxième enseignement : les meilleures pratiques en matière de cyber-sécurité fonctionnent vraiment. Même les mesures les plus élémentaires mises en place au début de l'expérience empêchaient les attaquants d'infiltrer le honeypot. Par exemple, c'est seulement lorsque nous avons ouvert le port VNC que le honeypot a été infecté par un malware de minage de crypto-monnaies.
Les responsables de la sécurité informatique en charge d'environnements de type « usine intelligente » ont donc tout intérêt à filtrer les connexions entrantes et à appliquer des mesures strictes de contrôle d'accès, selon le principe du moindre privilège. Et ce n'est qu'un début. Ces mesures devraient être renforcées par des solutions de sécurité dignes de confiance spécialement conçues pour de tels environnements.
L'objectif : se prémunir de l'exploitation des vulnérabilités et des canaux de communication non sécurisés, et fournir une meilleure visibilité des actifs OT.
Sur le même thème
Voir tous les articles Cybersécurité