Un ransomware a infecté un site américain de compression de gaz naturel amenant celui-ci à arrêter ses opérations pendant deux jours pour contrôler ses systèmes, a expliqué hier la CISA, agence de cybersécurité et d’infrastructure de sécurité, rattachée au Department of Homeland Security. Au moyen d’un lien de spearphishing, un attaquant a réussi à accéder au système informatique de l’entreprise avant de pénétrer dans son réseau opérationnel (OT). Il a ensuite déployé un ransomware pour chiffrer des données sur les deux réseaux rendant inaccessibles certains actifs industriels incluant les interfaces machines, les historiques des données de production et les serveurs de sondage, explique la CISA dans un communiqué.
« Les actifs impactés ne pouvaient plus lire ni agréger en temps réel les données opérationnelles venant des équipements OT de bas niveau, entraînant un manque de visibilité partielle pour les équipes qui n’ont, toutefois, perdu à aucun moment le contrôle sur les opérations », assure l’agence. Le plan d’intervention d’urgence du site victime se concentrait sur les menaces liées à la sécurité physique et ne prévoyait pas de mesures spécifiques en cas de cyberattaque. L’incident a toutefois été jugé moins sévère que ceux prévus par le plan. L’impact opérationnel direct de la cyberattaque était limité à un établissement, mais les dépendances de transmission du pipeline de gaz concerné avec d’autres établissements géographiquement distincts ont entraîné l'interruption de deux jours. Le communiqué de la CISO ne précise pas quand l'attaque s’est produite et ne fournit pas non plus de précision sur la perte de productivité et de revenus entraîné par l’arrêt de l’activité.
Segmentation des réseaux IT et OT
Cet incident conduit l’agence à rappeler aux opérateurs d’actifs opérationnels au sein d’infrastructures critiques de vérifier qu’ils ont bien mis en place les moyens pour faire face à ce type d’attaques. « Assurez-vous que le plan d’intervention d’urgence de l’organisation prend en compte l’ensemble des impacts potentiels que les cyberattaques entraînent sur les opérations, incluant la perte ou la manipulation de l’affichage, du contrôle et de la sécurité », pointe la CISA. Parmi les mesures d’atténuation, elle recommande une segmentation des réseaux IT et OT pour limiter la capacité des attaquants à passer de l’un à l’autre, la définition d'une zone démilitarisée (DMZ) entre les deux, l'organisation des actifs OT dans des zones logiques en prenant en compte la criticité et les nécessités opérationnelles, et la surveillance de la communication entre les zones. Il convient aussi d’empêcher les protocoles ICS (industrial control system) de traverser le réseau IT.
Parmi les autres recommandations figurent l’authentification multi-facteurs pour accéder à distance aux réseaux IT et OT, le filtrage du trafic réseau, ainsi que toutes les mesures de base : formation des utilisateurs, antivirus/antimalware/antispam, mise à jour logicielles, suppression des scripts de macro dans les fichiers Microsoft Office transmis par mail, listes blanches d’expéditeurs acceptés, accès distants limités.
Une autre recommandation est d'utiliser des passerelles de sécurité unidirectionnelles industriels ou diodes (comme celles de Waterfall Security) qui empêchent physiquement l'accès aux réseaux OT venant de l'IT tout en répliquant les serveurs de données (Historians , OPC-UA) dans le réseau IT pour transférer les données du réseau OT vers le réseau IT.
Signaler un abus