La sécurité du SCI sous les projecteurs en raison des tensions avec l'Iran 

Compte tenu des tensions accrues entre les États-Unis et l'Iran, les organisations avec une infrastructure industrielle connectée doit être sur ses gardes.

"Le cyber-impact potentiel de l'assassinat de [le général iranien Qasem] Soleimani est profond", a averti Eyal Elyashiv, PDG et co-fondateur de la société de sécurité réseau Cynamics.

Les observateurs de l'industrie disent que les récents problèmes entre les deux pays augmentent le cyber-risque dans son ensemble. "Bien que Trend Micro ne dispose d'aucune information privilégiée sur des plans d'attaque spécifiques, il va de soi que l'augmentation des tensions politiques entraînerait des cyberattaques", a déclaré Bill Malik, vice-président des stratégies d'infrastructure chez Trend Micro.

À la suite de l'assassinat, plusieurs experts en cybersécurité, ainsi que des responsables du gouvernement américain ont mis en garde contre le risque de sécurité de l'ICS que représentent les adversaires affiliés à l'Iran.

D'autres soulignent la probabilité de cyberattaques plus petites conçues pour distraire plutôt que pour inciter à des représailles. La perspective d'une cyberguerre totale entre les États-Unis et l'Iran « ne devrait pas être l'hypothèse par défaut », a déclaré Andrea Little Limbago, Ph.D., spécialiste des sciences sociales en chef chez Virtru. La « cyberactivité de l’Iran – des attaques destructrices à la désinformation – est généralisée depuis un certain temps. Ce n'est pas nouveau et n'est pas lié aux événements de cette semaine", a-t-elle déclaré.

Au cours de la dernière décennie, les cyber-capacités de l'Iran se sont considérablement développées. Les experts en cybersécurité ont attribué une série d'attaques contre les États-Unis et d'autres cibles, des attaques par déni de service contre des banques américaines aux logiciels malveillants personnalisés ciblant les systèmes Saudi Aramco, aux acteurs iraniens. Également liés à la sécurité de l'ICS, des rapports de 2015 affirmaient que des pirates iraniens avaient infiltré le réseau électrique américain.

"Les responsables américains devraient être très préoccupés par les cyber-capacités et la portée de l'Iran", a déclaré Elyashiv.

Alors que certains témoignages indiquent que les tensions entre les nations se sont apaisées, une alerte du Département de la sécurité intérieure (DHS) du 4 janvier a averti que l'Iran pourrait, au minimum, lancer « des attaques avec des effets perturbateurs temporaires contre des infrastructures critiques aux États-Unis ».

De même, l'Agence américaine de cybersécurité et de sécurité des infrastructures a mis en garde contre le risque potentiellement accru d'attaques et de cyber-espionnage contre des cibles stratégiques dans les « organisations de la finance, de l'énergie et des télécommunications, et contre un intérêt accru pour les systèmes de contrôle industriel et la technologie opérationnelle ».

Les acteurs iraniens ont l'habitude de cibler des sites américains. En 2016, le ministère américain de la Justice a dévoilé un acte d'accusation accusant sept entrepreneurs iraniens du Corps des gardiens de la révolution islamique d'avoir mené des cyberattaques sur plusieurs banques et un barrage de New York. Les États-Unis ont également accusé des acteurs liés à l'Iran de « repérage et planification contre des cibles d'infrastructure et des attaques cybernétiques contre une série de cibles basées aux États-Unis », selon un avertissement du DHS.

Un tel ciblage s'étend au domaine industriel. Un collectif de hackers connu sous le nom de Advanced Persistent Threat 33 lié à l'Iran a l'habitude de cibler les secteurs de la défense, des transports et de l'énergie, selon Cyberscoop.

Limbago pense qu'il est trop tôt pour supposer que l'Iran donnera la priorité à l'exploitation des vulnérabilités de sécurité du SCI à court terme. "Si les tensions s'intensifient davantage, cela pourrait changer, mais étant donné le niveau actuel, la cyber-activité continue de l'Iran se poursuivra dans ce qui est considéré comme la zone grise [sans escalader vers la guerre)]", a-t-elle déclaré. « Bien que l'ICS soit certainement une préoccupation, l'Iran comprend que des attaques destructrices contre des infrastructures critiques entraîneront probablement une escalade et des représailles. »

De même, Carol Rollie Flynn, ancienne directrice exécutive du Centre de lutte contre le terrorisme de la CIA, s'attend à ce que l'Iran mène des cyberattaques de moindre envergure. « Ils ne veulent pas que nous exercions des représailles contre eux. Ils ont déjà ressenti cela", a-t-elle déclaré

Une autre possibilité, a déclaré Limbago, est que les acteurs iraniens pourraient cibler des organisations du secteur privé dépourvues d'une connexion ICS claire. Il existe un précédent pour de telles tactiques. En 2015, James Clapper, alors directeur du renseignement national, a déclaré que l'Iran était probablement à l'origine d'une attaque contre le casino Sands, en représailles aux commentaires anti-iraniens de son PDG, Sheldon Adelson. "Ce qui est probablement plus conforme à leurs modèles précédents serait de cibler les organisations du secteur privé associées à l'exécutif qui pourraient infliger des difficultés financières, mais ne réussiraient pas à rallier le public américain et le gouvernement divisé pour réagir", a déclaré Limbago.

Un autre élément central de la cyberstratégie de l'Iran sont les opérations de désinformation, que Limbago a qualifiées d'« extrêmement prolifiques et mondiales ». "Il y aura certainement une poursuite de ces activités - à la fois au niveau national pour renforcer le soutien pro-gouvernemental et au niveau mondial pour renforcer le sentiment anti-américain", a ajouté Limbago.

Gestion du cyber-risque

Quoi qu'il advienne des tensions récentes, la situation offre l'opportunité aux organisations disposant d'infrastructures industrielles de faire le point sur leurs objets connectés. "Nous recommandons à nouveau aux propriétaires et opérateurs de systèmes de contrôle industriels de revoir leur inventaire technologique, d'évaluer leurs vulnérabilités, d'appliquer les contrôles qu'ils peuvent pour réduire leur profil d'attaque", a déclaré Malik.

Compte tenu de l'accent mis par les organisations industrielles sur la disponibilité, il est courant que les environnements industriels, y compris ceux situés dans des environnements d'infrastructure critiques, utilisent du matériel et des logiciels obsolètes et non corrigés. "Les organisations doivent regarder au-delà des systèmes obsolètes actuellement utilisés pour protéger les infrastructures critiques, car l'histoire récente montre clairement qu'ils peuvent être facilement compromis", a déclaré Elyashiv.

Alors que la cyber-hygiène est d'une importance cruciale, David Goldstein, président et PDG d'AssetLink Global LLC, a souligné que les organisations devraient également se concentrer sur la sécurité physique. "La réponse à la sécurité [IIoT] ne réside pas uniquement dans le matériel et les logiciels", a déclaré Goldstein.

Ironiquement, le thème de l'accès physique était un élément central de l'attaque de Stuxnet contre les centrifugeuses nucléaires iraniennes il y a dix ans. Dans la campagne Stuxnet, des agents doubles travaillant prétendument pour le compte des gouvernements américain et israélien ont installé des logiciels malveillants sur un réseau central à vide dans l'installation d'enrichissement nucléaire de Natanz. En conséquence, environ 1 000 de ses centrifugeuses nucléaires dans l'installation ont finalement été détruites.

La saga Stuxnet illustre l'importance non seulement du contrôle d'accès, mais aussi de la confiance en général, a déclaré Goldstein. « Avec qui travaillez-vous, à qui faites-vous confiance, qui a les informations d'identification pour accéder à votre système, qui a un accès physique ? » il a demandé "La confiance entre les acteurs et les partenaires deviendra de plus en plus importante au fil du temps, car les systèmes IoT imprègnent tout", a-t-il expliqué.

Alors que les technologies IoT gagnent du terrain dans les contextes industriels, il y a une pénurie de cyber-experts qui connaissent le monde des systèmes de contrôle industriel. "La plupart des analystes et consultants en sécurité appliquent les mêmes techniques aux systèmes IoT [industriels] qu'aux réseaux informatiques de bureau classiques", a déclaré Goldstein. Compte tenu du volume de protocoles propriétaires, la difficulté d'effectuer des mises à jour logicielles dans de tels environnements pose une « très grande vulnérabilité », selon Goldstein.

Des organisations telles que le département américain de la Défense et MITRE Corp. aident à combler le fossé avec les frameworks ICS comme le framework MITRE ATT&CK pour ICS. "Ce document fournit aux fabricants, propriétaires et opérateurs d'ICS un moyen de discuter des scénarios d'attaque possibles et de signaler les vulnérabilités de manière cohérente dans tous les secteurs industriels", a déclaré Malik. « Toute organisation devrait sérieusement envisager d'utiliser ce cadre pour clarifier [sa] posture de sécurité ICS. »

Malik a également souligné qu'il fallait comprendre le simple fait que la cybersécurité est plus un voyage qu'une destination. « En supposant que le laps de temps pour de telles tensions accrues soit à court terme, les fabricants d'ICS ne peuvent pas faire grand-chose pour renforcer rapidement leur production actuelle [posture de sécurité] », a-t-il déclaré.

Malik a noté une vulnérabilité à laquelle les fournisseurs de SCI doivent remédier :ils accèdent occasionnellement à leur technologie sur le terrain pour les opérations de maintenance et le diagnostic des pannes. "Ces liens de maintenance peuvent servir de vecteur d'attaque", a-t-il déclaré.

Malik a recommandé aux fournisseurs de prendre diverses mesures pour sécuriser les données des clients. D'autres considérations vitales incluent le chiffrement du trafic lorsque cela est possible et la garantie que les mises à jour logicielles sont sécurisées. "Ce serait tragique si un petit problème chez un client poussait un fabricant à proposer un correctif à toute sa technologie qui s'est avérée contenir des logiciels malveillants", a déclaré Malik.