Des cybermenaces inédites ciblent les réseaux industriels
Les équipements industriels, de plus en plus connectés à l’infrastructure IT traditionnelle pour l’analyse de multiples données, rendent indispensable la mise en oeuvre d’une défense en profondeur avec supervision globale.
Déc 2021Par Fabien Pereira Vaz, Technical Sales Manager EMEA, Paessler
En février 2021, la compagnie des eaux floridienne Oldsmar a été victime d’une cyberattaque de sabotage. Le hacker a pris le système de contrôle central, et a multiplié par plusieurs centaines la quantité de soude ajoutée pour réguler l’acidité de l’eau potable. Les conséquences de cette cyberattaque auraient pu être désastreuses pour les quelque 15 000 résidents desservis. Elle a heureusement été parée à temps car l’opérateur du système s’est rendu compte de la prise de contrôle inappropriée de sa souris. Disons cependant que son intervention est davantage due à la chance qu’à une réelle prévention. Cette attaque montre à quel point les réseaux industriels sont sujets à des failles de sécurité subsistant dans de nombreuses infrastructures critiques. Elle souligne la nécessité de disposer d’une supervision intelligente assortie d’un système de détection des intrusions de bout en bout. La surveillance du réseau avec détection d’anomalies aurait ainsi suspecté la connexion de l’intrus avant l’incident, et qualifié potentiellement dangereuse. On repère ainsi diverses anomalies tel que le comportement inhabituel d’un compte utilisateur. Cette vigilance aurait également identifié le hacker comme malveillant s’il était entré dans le système par un tout nouveau compte. Par ailleurs, un système de protection des terminaux industriels aurait automatiquement empêché certaines opérations sur le système de contrôle à distance. Ces dispositifs de protection à la périphérie d’une infrastructure revêtent une importance particulière car ils sont efficaces là où se produit souvent le premier accès au système. Ils empêchent également le déplacement latéral des attaques à travers le parc informatique, ainsi que la progression dans la reconnaissance du réseau. Un plan de cybersécurité efficace ne consiste pas à trouver un dispositif unique qui convienne pour tout. Les cybermenaces et les environnements informatiques devenant de plus en plus complexes, il s’agit plutôt d’identifier le bon ensemble de mesures, et de les mettre en oeuvre dans tout le SI.
ÉTABLIR UNE PROTECTION COMPLÈTE POUR L’IT ET L’OT
Le principe de défense en profondeur consiste à adopter l’ensemble des approches ou normes de cybersécurité en considérant que seule une mise en place systématique de mesures complémentaires conduira à un niveau de sécurité approprié. On comparera cette stratégie à celle des châteaux médiévaux dotés de murs, portes, rétrécissements et tranchées qui garantissent que si un dispositif tombe, la structure globale est toujours sécurisée. La cybersécurité des infrastructures critiques se traduit, elle, par une combinaison de gestion des risques, de pare-feu, de VPN, d’authentification forte, de division du réseau, de supervision du réseau et des équipements ainsi que de détection des anomalies. Bien entendu, la stratégie de défense en profondeur doit intégrer à la fois les technologies opérationnelles (OT) et informatiques (IT). Comme l’OT est l’épine dorsale du fonctionnement quotidien des infrastructures critiques et présente des exigences ou des défis différents de ceux de l’IT d’entreprises de bureau, il est utile de combiner des dispositifs qui répondent à certains besoins spécifiques de l’OT. Il s’agit avant tout d’assurer la stabilité par des approches passives qui ne perturbent pas les processus industriels.
BIO EXPRESS
Spécialiste de la supervision IT, Fabien Pereira Vaz a pour mission de conseiller techniquement les prospects en phase d’avant-vente, et de former les clients ou les partenaires à la solution PRTG.