Cyber-attaques contre les ordinateurs industriels

Dans le dernier Kaspersky-Rapport du CERT sur les cybermenaces pour les systèmes d'automatisation industrielle [1] ont analysé les attaques visant de tels systèmes et plus particulièrement les ordinateurs de systèmes de contrôle industriels (ICS, Industrial Control Systems). Les experts de l'ICS CERT [2Dans leur dernière analyse, les experts de l'OCDE en matière de cybersécurité et de cyberdéfense présentent les cybermenaces actuelles et les tendances pour les systèmes industriels.

L'énergie avant la construction mécanique

Ainsi, 38,7% des ordinateurs ICS analysés dans le secteur de l'énergie et 35,3% des ordinateurs industriels dans les domaines de l'ingénierie et de l'intégration ICS ont été attaqués au moins une fois par des logiciels malveillants au cours du deuxième semestre 2017.

Le secteur de la construction a enregistré la plus forte augmentation par rapport au premier semestre. Ici, 31,1% de tous les ordinateurs ICS ont été touchés par une attaque. L'automatisation est un domaine encore nouveau pour ce secteur et la cybersécurité ne bénéficie donc pas encore de l'attention nécessaire. Dans d'autres secteurs comme l'alimentation, l'éducation, la santé, les télécommunications, les participations industrielles, les services publics et la fabrication, le pourcentage était légèrement inférieur à 30% [3]. Une grande majorité des attaques peuvent être considérées comme des coups de chance.

Le secteur de l'énergie est un pionnier dans l'utilisation à grande échelle de solutions d'automatisation et compte parmi les secteurs qui utilisent le plus d'ordinateurs. Les réseaux électriques modernes font partie des systèmes les plus étendus d'installations industrielles interconnectées avec de nombreux ordinateurs, qui sont en même temps relativement vulnérables. Les incidents de cybersécurité de ces dernières années et le renforcement des réglementations obligent les entreprises d'électricité et d'énergie à adapter la cybersécurité de leurs systèmes dans le domaine de la technologie opérationnelle (OT). D'autres problèmes graves survenus ces dernières années ont été causés par des fournisseurs.

"Les résultats de notre étude sur les ordinateurs ICS attaqués dans différents secteurs nous ont surpris. Par exemple, le pourcentage élevé d'ordinateurs ICS attaqués dans les entreprises des secteurs de l'électricité et de l'énergie montre que leurs efforts pour assurer la cybersécurité de leurs systèmes d'automatisation ne sont pas suffisants après quelques incidents graves. De nombreuses failles sont encore ouvertes aux cyber-attaquants", explique Evgeny Goncharov, directeur de l'ICS CERT.

Les crypto-malwares arrivent sur les ordinateurs industriels

Depuis septembre 2017, les ordinateurs ICS subissent également de plus en plus d'attaques de cryptomalwares. Les experts attribuent ce phénomène à l'engouement général de Bitcom et consorts. Lorsque les activités de minage malveillantes visant à extraire secrètement des monnaies numériques sur des ordinateurs dans un environnement industriel ont atteint une certaine ampleur, cela a des répercussions négatives sur les performances et la stabilité des ordinateurs ICS. Entre février 2017 et janvier 2018, les logiciels malveillants de minage ont attaqué 3,3% de tous les ordinateurs d'automatisation industrielle. Dans la plupart des cas, les attaques ont été menées de manière purement aléatoire.

Autres chiffres du rapport actuel :

• Internet reste la principale source d'infection par ICS, avec 22,7%. Les attaques ont augmenté de 2,3 % par rapport au premier semestre 2017.
• Le nombre de modifications de logiciels malveillants trouvées sur les ordinateurs ICS au cours du deuxième semestre est passé de 18 000 à plus de 18 900.
• En 2017, 10,8% de tous les ordinateurs ICS ont été attaqués par des agents de botnet. Les attaques ont été menées via Internet, mais aussi via des supports de données amovibles et des courriers électroniques.
• Les experts de Kaspersky ICS CERT ont trouvé 63 vulnérabilités dans les systèmes industriels et IoT en 2017, dont 26 ont été corrigées par les fabricants.

"En général, nous constatons une légère baisse des attaques ICS par rapport à 2016, ce qui est probablement le signe que les entreprises accordent plus d'attention à la cybersécurité ICS, par exemple par le biais de la formation du personnel et d'audits (vérifications) des segments industriels de leurs réseaux. C'est un bon signe, car il est très important pour les entreprises de prendre des mesures proactives afin d'éviter de futurs incidents cybernétiques", a déclaré Goncharov.

Recommandations de protection

• Mises à jour régulières du système d'exploitation, des logiciels d'application et des solutions de sécurité sur tous les systèmes appartenant au réseau industriel de l'entreprise.
• Limitation du trafic réseau via les ports et les protocoles sur les routeurs de périphérie et au sein du réseau OT.
• Audits des contrôles d'accès sur les composants ICS dans le réseau industriel de l'entreprise, y compris ses frontières.
• Déployer des solutions de sécurité des systèmes d'extrémité pour les serveurs ICS, les postes de travail et les IHM afin de protéger les OT et l'infrastructure industrielle contre les cyberattaques aléatoires.
• Utiliser des solutions de surveillance du trafic réseau, d'analyse et de détection des attaques ciblées.

Source : Kaspersky Lab