C'est peu de dire que la sécurisation des systèmes industriels est un enjeu clé. En France, cela fait plusieurs années que l'ANSSI alerte sur les risques liés à ces environnements si particuliers et de plus en plus visés par les cyberattaquants. De nombreux retours d'expérience et mises en avant des enjeux et des moyens d'actions à activer sont également proposés à l'occasion de salons spécialisés, dont le FIC qui se tiendra dans quelques semaines. Ces derniers mois ont d'ailleurs bien montré que la tendance à l'accroissement des attaques ciblant les systèmes industriels n'est pas prête de s'enliser (Colonial Pipeline, JBS Foods...).
L'emballement des cybermenaces ciblant ce type d'environnement n'est pas que du domaine du ressenti, mais se traduit également dans les chiffres. Dans son dernier rapport, le spécialiste en cybersécurité en systèmes industriels Claroty indique notamment avoir identifié sur le premier semestre 2021 pas moins de 637 vulnérabilités ayant affecté plus précisément les systèmes de contrôle industriel (ICS) de 76 fournisseurs (Rockwell Automation, Schneider Electric, Eaton, Ovarro, Aveva, EIPSStackGroup, WAGO, Siemens, Matrikon Honeywell, 3S Codesys...). Des chiffres qui ressortent en nette augmentation par rapport aux 449 brèches détectées 6 mois auparavant relatives aux solutions de 59 sociétés. Sur le semestre écoulé, la majorité des failles divulguées ont concernées les systèmes de gestion des opérations (23,55 %), de contrôle de base (15,23 %) et de contrôle de surveillance (14,76 %). « Les systèmes de gestion des opérations peuvent être un point d'entrée critique avec les réseaux informatiques convergés. Ces systèmes comprennent des serveurs et bases de données essentiels au workflow de production, ou ceux qui collectent des données qui seront transmises à un niveau supérieur du systèmes d'entreprise dont certains fonctionnent dans le cloud », explique Claroty.
Des vecteurs d'attaques en local à ne pas sous-estimer
Selon le rapport, 61,4 % des trous de sécurité entraînent des attaques depuis l'extérieur des environnements auxquels les systèmes industriels appartiennent. Mais les vecteurs d'attaques en local ne doivent pas être sous-estimés : « Dans 94,38 % des vulnérabilités des systèmes de gestion des opérations via un vecteur d'attaque local, l'interaction de l'utilisateur serait requise pour être exploitée. Cela renforce le besoin de prévention du phishing et du spam, ainsi que de la sensibilisation qui aiderait à endiguer la vague de ransomwares et d'autres attaques potentiellement dévastatrices », prévient Claroty. « Pour 39,87 % des vulnérabilités des vecteurs d'attaque locaux, aucune interaction avec l'utilisateur n'est requise et la complexité de l'exploitation est considérée comme faible. Un attaquant peut s'attendre à un succès reproductible à chaque fois et n'a pas besoin privilèges pour accéder aux paramètres ou aux fichiers cibles ».
Fait particulièrement inquiétant pointé dans ce rapport : sur les 637 failles ICS identifiées sur les 6 premiers mois de l'année, près de 26 % n'ont reçu aucun correctif, ou alors ce dernier était partiel. Une grande partie des vulnérabilités (62 %) ont concerné le firmware des systèmes de contrôle industriel. Parmi les mesures de protection à privilégier pour sécuriser ce type d'environnement, le rapport préconise principalement la segmentation réseau et la sécurisation des accès distants mais aussi la lutte contre les ransomwares, le phishing et le spam ainsi que la restriction de trafic. « Des contrôles d'accès et une gestion des privilèges appropriés sont essentiels car les entreprises gèrent une tendance à long terme vers le travail à distance. Les solutions d'accès à distance sécurisées doivent non seulement alerter sur les activités suspectes, mais également fournir la capacité d'enquêter sur les sessions spécifiques, en direct ou à la demande, et permettre aux administrateurs de répondre en déconnectant une session ou prendre une autre mesure pour contenir ou réparer les dommages », indique l'étude.