Comment les cybercriminels attaquent les infrastructures OT - et c'est ce qu'ils visent

​

Les machines et les installations industrielles sont de plus en plus surveillées et commandées par des systèmes informatiques, ce qui présente de nombreux avantages, mais aussi des inconvénients. En effet, l'OT, jusqu'à présent strictement cloisonné, est ainsi exposé aux cybermenaces bien connues du monde de l'informatique - et généralement extrêmement vulnérable. Les cybercriminels le savent et exploitent les points faibles de manière ciblée pour atteindre les objectifs suivants :

• Paralyser des systèmes importants pour extorquer une rançon. C'est là qu'interviennent le plus souvent les ransomwares, qui chiffrent non seulement les systèmes de contrôle et de commande, mais aussi souvent les sauvegardes, afin que les entreprises ne puissent pas restaurer facilement les systèmes concernés. Il en résulte des perturbations et des pannes de longue durée qui peuvent rapidement menacer l'existence de l'entreprise - en particulier lorsqu'elles entraînent des pertes de chiffre d'affaires importantes ou des pénalités contractuelles.
• infiltrer des infrastructures pour voler de la propriété intellectuelle. Dans ce cas, les pirates se font discrets et partent du système initialement compromis pour atteindre les trésors de données d'une entreprise, comme les données de conception ou les informations sur les processus de production. Ils les utilisent ensuite pour faire du chantage, en menaçant de les publier, ou les vendent directement à des concurrents. Les conséquences sont entre autres le piratage de produits et la perte d'avantages concurrentiels.
• Manipuler les systèmes OT pour réduire la qualité de la fabrication ou provoquer des accidents. Il s'agit ici de sabotage visant à nuire à la réputation d'une entreprise, par exemple parce que les produits ne correspondent plus aux normes habituelles ou qu'il y a des risques pour l'homme et l'environnement. En outre, les coûts risquent d'être élevés, par exemple en raison de lots défectueux, d'actions de rappel ou d'actions en protection des consommateurs et en dommages et intérêts.

De nombreuses infrastructures mal protégées et un énorme potentiel de dommages font de l'industrie l'un des secteurs les plus attaqués. Dans ce contexte, les pirates utilisent principalement les portes d'entrée et les voies d'attaque suivantes :

• Faiblesses non corrigées : Les systèmes OT sont conçus pour fonctionner longtemps et sont souvent en service depuis dix ans ou plus. Les mises à jour et les correctifs sont rares, voire inexistants, ce qui empêche de combler les failles de sécurité. Dans certains cas, les entreprises renoncent sciemment à mettre en place les mises à jour disponibles en temps voulu, car les systèmes sont profondément intégrés dans les processus de production et autres, et les processus ne doivent pas être perturbés dans la mesure du possible.
• Fonctions de sécurité insuffisantes : De nombreux anciens systèmes n'offrent plus de fonctionnalités de sécurité modernes. Ils utilisent entre autres des protocoles et des interfaces obsolètes, des mécanismes d'authentification faibles, des transmissions de données non cryptées ou des algorithmes de cryptage dépassés. De plus, certains nouveaux appareils IoT ne disposent pas de mécanismes de sécurité suffisants. Le problème est qu'il n'est généralement pas possible de mettre en place des applications de sécurité des points de terminaison sur les anciens systèmes et les appareils IoT pour les protéger ultérieurement, car les systèmes ne prennent pas en charge les solutions de sécurité des points de terminaison ou les solutions de sécurité des points de terminaison ne prennent pas en charge les appareils.
• Des accès à distance mal sécurisés : De nombreux systèmes OT sont entretenus à distance, que ce soit par des équipes internes ou des prestataires de services externes. Souvent, les accès utilisés à cet effet sont mal sécurisés et utilisent par exemple des mots de passe par défaut ou des mots de passe communs à plusieurs personnes, ou sont même complètement ouverts. En outre, il n'est pas rare que des mécanismes de sécurité robustes tels que l'authentification multifactorielle, les contrôles d'accès basés sur les rôles et l'enregistrement des sessions fassent défaut, de sorte qu'il est impossible de savoir qui a accédé aux systèmes, quand et quelles modifications ont été effectuées.
• Données de connexion volées : Sur le Darknet, les données d'accès volées se négocient par centaines de milliers. Elles proviennent principalement de bases de données piratées et permettent aux pirates de s'introduire facilement dans les réseaux d'entreprises. Mais pour des attaques ciblées sur une entreprise particulière, les cybercriminels partent aussi à la chasse aux identifiants de manière planifiée, par exemple avec des logiciels malveillants - les "infostealers", qui récupèrent les mots de passe au fur et à mesure qu'ils sont saisis - ou plus classiquement avec le phishing et l'ingénierie sociale. Grâce à l'IA, les fakes peuvent désormais être conçus de manière extrêmement convaincante et sont difficiles à reconnaître, même pour les utilisateurs expérimentés.
• Absence de segmentation du réseau : Dès que les pirates ont pris le contrôle d'un système, ils cherchent d'autres systèmes à infiltrer au sein du réseau. Ce mouvement dit «latéral» est facilité si le réseau n'est pas divisé en différentes zones entre lesquelles le trafic de données est contrôlé avec précision. Ainsi, même un PC de bureau dans l'administration peut servir de tremplin vers l'OT et mettre en danger l'ensemble de la technique d'exploitation.
• Des chaînes d'approvisionnement peu sûres : Les environnements OT se composent d'un réseau complexe de systèmes et d'applications provenant de fournisseurs de matériel, de spécialistes en logiciels et d'intégrateurs de systèmes. Compromettre l'un de ces fournisseurs est souvent le moyen le plus simple pour les cybercriminels d'avoir un pied dans la porte de plusieurs entreprises. Pour cela, ils manipulent les firmwares ou les mises à jour de logiciels, et la manipulation de composants matériels ou l'installation de composants malveillants est également possible, mais plus coûteuse, et donc plutôt utilisée pour des attaques ciblées. Il y a quelques années, SolarWinds, un fournisseur de logiciels de gestion informatique, a montré les conséquences importantes que pouvait avoir une attaque sur la chaîne d'approvisionnement. Une mise à jour manipulée a permis aux pirates d'installer une porte dérobée dans sa plate-forme et d'accéder ensuite à des milliers de réseaux sans être remarqués.
• Surcharge des systèmes : Les attaques DDoS (Distributed Denial of Service) ne sont pas seulement un moyen populaire de faire chanter les entreprises en surchargeant leurs systèmes avec d'innombrables demandes. Souvent, elles servent également à détourner l'attention d'une autre attaque ou à paralyser un système de sécurité afin de pouvoir s'introduire dans l'infrastructure sans être détecté.

«La sécurité OT n'est pas un »nice-to-have«, mais une nécessité, car la numérisation accroît la surface d'attaque et le nombre d'attaques contre les entreprises industrielles atteint chaque année de nouveaux sommets», souligne Christian Koch, Senior Vice President Cybersecurity IT/OT, Innovations & Business Development chez NTT DATA DACH. "L'UE et le gouvernement fédéral l'ont également reconnu et obligent les entreprises industrielles à prendre des mesures de sécurité complètes avec la directive NIS, le Cyber Resilience Act, l'ordonnance sur les machines et la loi sur la sécurité informatique. Celles-ci ne peuvent toutefois être mises en œuvre que si les entreprises établissent une visibilité complète au sein de l'ensemble de leur environnement OT. Ce n'est qu'alors qu'elles peuvent identifier les risques et développer un concept de sécurité approprié, qui devrait au moins inclure des bases telles que la segmentation du réseau, la gestion des correctifs et l'accès à distance sécurisé".»​