Comment la transformation numérique a rendu les centrales électriques vulnérables aux attaques

La transformation numérique de la technologie opérationnelle (TO) pour la surveillance et le contrôle des processus physiques a introduit de nouveaux angles morts et en a amplifié d'autres, rendant les systèmes de contrôle industriel (ICS) sensibles aux attaques des États-nations.

Nous avons déjà vu des attaques terroristes qui donnent la priorité à la violation d'une centrale électrique plutôt qu'au ciblage d'une zone densément peuplée avec des armes militaires. Considérez l'attaque du réseau électrique en décembre 2015 qui a maintenu plus de 230 000 personnes dans le noir dans l'ouest de l'Ukraine pendant plus de six heures. Le pays a blâmé la Russie pour l'attaque. Douze mois plus tard, le système électrique était à nouveau visé, affectant cette fois une grande partie de la capitale Kiev. Un distributeur d'électricité à Porto Rico a subi une cyberattaque par déni de service en juin, provoquant des pannes de courant pour des centaines de milliers d'habitants, avant qu'un incendie ne ravage la sous-station.

Il n'est pas exagéré de penser qu'une attaque d'un État-nation pourrait viser à provoquer une panne d'électricité de plusieurs semaines dans une grande ville comme New York. En fait, les experts pensent que quelque chose dans ce domaine est susceptible de se produire.

Un rapport du Ponemon Institute sponsorisé par Siemens a révélé que 56% des professionnels de la sécurité OT interrogés ont signalé au moins une attaque impliquant une perte d'informations privées ou une panne de leur environnement OT au cours des 12 derniers mois.

Comment ces types d'attaques sont-ils devenus si populaires ? Et que faut-il faire pour favoriser un environnement OT plus sécurisé ?

La quatrième révolution industrielle

Les services publics se modernisent, à la recherche de gains d'efficacité et de productivité. Atteindre ces objectifs signifie numériser et automatiser de nombreux processus qui étaient auparavant effectués en interne et manuellement. Cette transition se produit si rapidement que la sécurité n'est qu'une réflexion après coup.

La refonte numérique rapide des processus industriels, largement connue sous le nom de quatrième révolution industrielle, met en ligne davantage de systèmes et de processus. Cela crée intrinsèquement plus de points d'entrée potentiels pour les acteurs de la menace, et avec autant d'industries qui le font en même temps, il y a plus d'opportunités pour une attaque plus conséquente.

Au cours des décennies précédentes, les centres de données et les mainframes qui exécutaient les composants ICS étaient « air-gapés », ce qui signifie que les systèmes informatiques étaient sur un réseau local, mais pas connectés à Internet. De nombreuses installations pensaient à tort que cela protégeait leurs systèmes des attaques, mais elles étaient toujours vulnérables aux attaques sur site comme une attaque "bash bunny" qui pourrait compromettre un système avec un virus via un périphérique USB.

Ce fut le cas en Iran lorsque la centrale nucléaire de Bushehr a été attaquée à l'aide du ver Stuxnet. Introduit sur le réseau via une clé USB, Stuxnet s'est ensuite propagé pour infecter d'autres actifs sur le réseau, tels que les centrifugeuses utilisées pour enrichir l'uranium gazeux.

Alors que de plus en plus de services publics et d'installations OT se précipitent pour mettre leurs systèmes en ligne, ils n'ont pas alloué de ressources appropriées pour la sécurité comme l'une des étapes du processus. Plus il y a d'équipements existants connectés et d'appareils Internet des objets (IoT) ajoutés, plus la surface d'attaque pour les acteurs potentiels de la menace est grande.

Les acteurs menaçants évoluent

Les moyens de plus en plus créatifs et sophistiqués dont les acteurs de la menace exploitent les organisations amplifient le problème du laxisme de la sécurité. En fait, ce ne sont pas toujours eux qui infiltrent le réseau.

Selon l'étude du Ponemon Institute, les menaces internes représentent la majorité des attaques OT. L'un des plus notables remonte à 1999 dans ce qui était alors le comté australien de Maroochy. Un travailleur mécontent qui gérait les canalisations d'égout a démissionné et peu de temps après, a exploité le système via une copie piratée du logiciel du système de contrôle.

Les menaces internes ne sont pas toujours des employés malveillants; les utilisateurs négligents sont souvent victimes d'attaques de phishing, utilisent des mots de passe faibles et cliquent sur des liens qui donnent accès aux pirates. Un autre vecteur commun est un tiers ou un entrepreneur qui ouvre une porte sur le réseau et conduit à l'exploitation. Lors de l'attaque de la chaîne d'approvisionnement de Kaseya, le gang de ransomware REvil a eu accès à des centaines d'entreprises grâce à une mise à jour logicielle. Les tiers ne sont généralement pas sécurisés et les entreprises ne doivent pas supposer qu'elles le sont.

Gartner a été optimiste sur la sécurité OT et a sonné l'alarme que les organisations industrielles ont du mal à définir des cadres de contrôle appropriés. Gartner dit également que d'ici 2025, les attaquants « auront armé des environnements OT pour réussir à blesser ou à tuer des humains. »

Trop d'entreprises sont si profondément enracinées dans leurs processus au cours des dernières décennies qu'elles ne considèrent pas ces piratages, violations et attaques des gros titres comme des menaces pour elles-mêmes. Ils ne veulent pas réparer ce qui, dans leur esprit, n'est pas cassé. En fait, ils ne voient même pas le potentiel pour qu'il soit cassé jusqu'à ce qu'il se casse.

Une nouvelle approche pour sécuriser l'OT

Les entreprises ont besoin d'une bonne visibilité sur leurs réseaux et d'une compréhension globale jusqu'au niveau des actifs individuels, y compris la manière dont ces ressources et utilisateurs se connectent les uns aux autres et aux réseaux dans leur ensemble. Souvent, ceux qui finissent par fouiller dans les détails de leurs réseaux trouveront des actifs fantômes dont ils n'étaient pas au courant. Ce sont des problèmes de sécurité que vous devez détecter avant qu'ils ne soient exploités.

La première étape que les entreprises peuvent prendre pour mieux se protéger consiste simplement à éduquer les employés sur une bonne hygiène de sécurité avec une formation complète en matière de sécurité. Trop souvent, les entreprises qui mettent la lumière sur la sécurité le font au petit bonheur, avec un diaporama rapide et aucun suivi avec les employés quant à l'importance de ce qu'ils viennent d'apprendre.

La priorité absolue sera toujours l'efficacité et la fonctionnalité des machines OT, mais si elles sont attaquées, à quoi servent-elles ? Éduquer les employés sur ce qu'il faut rechercher et à quel point les attaques sont devenues courantes pourrait être très utile.

Un employé attentif a évité une catastrophe en mars 2021, lorsque le système d'approvisionnement en eau d'Oldsmar, en Floride, a été piraté et que le niveau d'hydroxyde de sodium a augmenté par un acteur menaçant à un niveau dangereux. Heureusement, un ingénieur était au courant de la situation, a remarqué le changement et a rapidement reconnu qu'il s'agissait d'une attaque et pas simplement d'un dysfonctionnement.

En octobre, des stations dans tout l'Iran ont été contraintes de fermer. Le pays a déclaré qu'une cyberattaque était à blâmer et a ciblé les cartes électroniques émises par le gouvernement qui subventionnent les prix du carburant pour les Iraniens.

Pour se protéger contre de telles attaques, les entreprises ont besoin d'une visibilité totale sur leurs réseaux, leur permettant de voir tous les actifs connectés et vulnérables. Mais ce n'est que la première étape. Il existe des outils de sécurité OT complets disponibles qui fournissent des alertes sur les machines ICS non seulement pour les actions de sécurité, mais aussi pour les drapeaux rouges de productivité. Des contrôles de sécurité appropriés offriront une visibilité et des capacités de réponse pour le réseau OT sans affecter les opérations quotidiennes ni apporter de modifications substantielles au réseau.

Les technologies passives peuvent surveiller l'activité sans affecter de quelque manière que ce soit les réseaux OT sensibles, contrairement aux plates-formes « en ligne » perturbatrices. La bonne plate-forme passive sera en mesure de répondre à des débits élevés et d'assurer des taux minimaux de faux positifs.

L'utilisation de nouveaux outils peut être intimidante pour les cadres OT de carrière qui sont réticents à changer des processus éprouvés, mais il vaut mieux être préparé que de vivre dans la crainte d'une attaque potentielle qui cause un préjudice généralisé à la fois à l'entreprise et à ses consommateurs.

Elad Ben-Meir est directeur général de SCADAfence.