Trouver des exemples du nombre et de la gravité croissants des cyberattaques contre les infrastructures critiques n’a malheureusement jamais été aussi facile.
Un exemple récent est survenu en mai 2021, lorsque le groupe de pirates informatiques DarkSide a infecté les ordinateurs de Colonial Pipeline – l’opérateur du plus grand système de pipelines pour produits pétroliers raffinés aux États-Unis – avec un rançongiciel qui a mis à l’arrêt 45 % de la distribution de carburant sur la côte est des États-Unis.
Les pirates ont pris le contrôle du pipeline, forçant une mise à l’arrêt qui a coûté des millions de dollars de dommages et de pertes de revenus, en plus de perturber les entreprises et les consommateurs dépendants de l’approvisionnement en carburant.
À une échelle certes plus petite, mais susceptible d’affecter directement la santé de milliers de personnes, en février de cette année, un hacker est parvenu à accéder aux systèmes d’un centre de traitement de l’eau dans la ville d’Oldsmar, en Floride. Pendant l’attaque, le pirate a réussi à augmenter brièvement les taux d’hydroxyde de sodium à des niveaux dangereusement élevés, passant de 100 parties par million à 11 100 parties par million.
Ces incidents ont à nouveau suscité une inquiétude évidente auprès de ceux chargés de protéger les infrastructures critiques et le grand public. Les risques associés à la perturbation des infrastructures critiques, directement et indirectement, ont une fois de plus été mis au évidence, faisant du secteur une cible encore plus attrayante des cyberattaques.
Cyberattaques visant des infrastructures critiques : un problème constant et croissant
Bien entendu, ces incidents sont loin d’être les premières cyberattaques visant des infrastructures critiques, et ne seront pas les dernières. Les attaques antérieures contre des centrales électriques en Ukraine et des centrales d’énergie en Arabie saoudite ne sont que quelques exemples ayant été dévoilés publiquement, alors que beaucoup d’autres ne sont pas signalés.
La fréquence des cyberattaques continue de croître. L’examen semestriel de Check Point Software a révélé qu’au cours des six premiers mois de 2021, les cyberattaques contre les organisations de tout type avaient augmenté de 29 % par rapport à la période précédente, et qu’elles devraient continuer à croître au second semestre.
On peut sans aucun doute affirmer que la croissance des attaques menées contre les infrastructures critiques se conformera à ces observations, et pourrait même les dépasser, compte tenu de l’attractivité de ces organisations pour ceux qui cherchent à nuire et/ou à obtenir des rançons.
C’est ce que met en évidence le Center for Strategic & International Studies. Sa liste des cyberincidents significatifs, régulièrement mise à jour, montre l’augmentation du nombre et de la gravité des attaques contre les organisations publiques et privées fournissant des services d’énergie et de carburant, de télécommunications, de transport, de défense et de cloud, entre autres.
Des motivations différentes pour les cyberattaques, mais des méthodes similaires
D’une manière générale, les motivations des cyberattaques se répartissent en trois groupes : gain financier, perturbation généralisée ou, plus simplement, défi personnel.
On penserait à tort que ce dernier groupe est relativement inoffensif. Il s’agit de pirates « amateurs », qui mettent au défi leurs compétences pour voir s’ils peuvent trouver un moyen d’accéder à des réseaux sécurisés et sensibles, en grande partie pour renforcer leur propre ego et leur statut parmi leurs collègues pirates. Mais ces pirates qui décèlent les vulnérabilités et les vecteurs de cyberattaque trouvent ensuite peut-être leur chemin vers ceux ayant des objectifs plus obscurs.
Des cyberattaques visant à obtenir un gain financier par le biais de rançongiciels, où les pirates accaparent le contrôle des systèmes critiques et l’accès à des données sensibles jusqu’à ce que l’organisation concernée paie une rançon substantielle.
Les rançongiciels sont devenus quelque chose d’énorme. Les cybercriminels sont encouragés par le fait que de nombreuses organisations préféreront éviter que les nouvelles d’une attaque ne s’ébruitent dans le domaine public et viseront à rétablir les systèmes le plus rapidement possible.
Enfin, il existe des pirates dont le but est de perturber au maximum et de la manière la plus large possible une ville ou un pays par le biais de cyberattaques ; il s’agit souvent de groupes sponsorisés par un État qui n’ont pas besoin de rechercher un gain financier. Les perturbations qu’ils causent peuvent aller de légers désagréments à une menace réelle et significative pour la santé publique.
Parfois, les attaques elles-mêmes peuvent être relativement mineures ; une intrusion dans un système moins sensible au sein d’une infrastructure critique peut déclencher une réaction excessive, avec la mise à l’arrêt de systèmes plus importants au cœur du fonctionnement, jusqu’à ce que l’étendue du problème puisse être établie. Par effet boule de neige, il peut en résulter inquiétudes et panique au sein de communautés plus larges, craignant de ne pas avoir accès aux ressources essentielles telles que le carburant, l’énergie ou l’eau.
Quelle que soit la motivation, l’approche est largement la même. Les pirates cherchent en permanence des vulnérabilités leur permettant d’accéder à un réseau, puis cherchent à se mouvoir à l’intérieur du réseau pour s’infiltrer et contrôler des systèmes plus sensibles.
Un monde connecté, c’est un monde piratable
Le monde est plus connecté que jamais. Dans les grandes lignes, l’Internet des objets (IoT) est constitué des milliards d’appareils et de capteurs actuellement connectés entre eux, des centres de données aux réseaux d’entreprise, fournissant des services précieux et créant d’énormes gains d’efficacité pour les consommateurs et les entreprises.
Les périmètres entourant les réseaux d’entreprise sont devenus plus perméables par leur conception, facilitant les connexions externes des employés, des fournisseurs et des clients, et de millions d’appareils. Les réseaux au sein d’infrastructures critiques ne sont pas différents. Bien que la nécessité de sécuriser tout réseau soit importante, les risques associés aux violations des réseaux d’infrastructures critiques sont si importants qu’une approche robuste de la cybersécurité dans le secteur est d’autant plus impérative.
Malheureusement, tous les appareils et systèmes en réseau peuvent être vulnérables. Tout appareil, s’il n’est pas protégé, peut être le maillon faible qui permet à un pirate informatique d’accéder au système et entraîner une cyberattaque potentiellement catastrophique. Alors que les caméras de surveillance réseau jouent un rôle central dans la sécurité physique des infrastructures critiques, l’ironie ultime serait que ces mêmes appareils constituent le point d’entrée d’une violation du réseau d’une infrastructure critique.
La meilleure pratique consiste à ne faire confiance à personne avant vérification
Aucun réseau ne peut être 100 % cybersécurisé. Libres de toute réglementation et aussi bien financés que n’importe quelle start-up, les cybercriminels cherchent constamment à innover dans leurs méthodes d’attaque. Il est donc essentiel que les opérateurs d’infrastructures critiques travaillent tout aussi dur pour comprendre le paysage des menaces en évolution constante et garder une longueur d’avance.
À mesure que de plus en plus d’appareils se connectent aux réseaux utilisés par les infrastructures critiques, la notion d’utilisation d’un pare-feu pour protéger ce périmètre est devenue redondante. Une nouvelle approche est nécessaire et émerge sous la forme de réseaux zéro confiance (à vérification systématique).
Pour faire simple, comme le nom l’indique, les réseaux zéro confiance sont basés sur l’hypothèse qu’aucune entité se connectant au réseau et à l’intérieur de celui-ci, qu’elle soit en apparence humaine ou machine, n’est digne de confiance. Quels qu’ils soient, d’où qu’ils se connectent et quel que soit leur mode de connexion, ils ne sont pas dignes de confiance tant qu’ils n’ont pas été vérifiés.
Cette vérification peut se faire de plusieurs façons et à de multiples reprises, et implique également souvent d’accorder un accès uniquement à la partie spécifique du réseau nécessaire à l’exécution d’une tâche. La vérification s’applique aussi bien aux appareils, y compris aux caméras de surveillance, qu’aux individus. La capacité de tout appareil connecté à vérifier irréfutablement son identité est essentielle dans une architecture réseau zéro confiance.
Des mesures supplémentaires doivent être prises pour s’assurer que chaque aspect de la solution de surveillance est aussi sécurisé intrinsèquement que possible – notre guide de renforcement fournit des informations détaillées sur les meilleures pratiques.
Surveillance et gestion de l’état du système
Tout comme la surveillance de notre propre santé est essentielle pour repérer les problèmes mineurs et les faiblesses susceptibles de s’aggraver dans le futur, une surveillance efficace de la santé des solutions de surveillance joue le même rôle dans la réduction des vulnérabilités.
Sans visibilité sur tous les dispositifs de surveillance connectés au réseau et leur état, il est impossible de s’assurer que tous les risques sont atténués et, surtout, si une vulnérabilité apparaît dans une zone, qu’elle est efficacement contenue. Sans cela, une petite effraction peut rapidement devenir un problème bien plus important du fait d’une réaction excessive (souvent compréhensible) pour contenir l’effraction.
En plus de la surveillance de l’état, les outils logiciels peuvent faciliter l’administration centralisée, à distance et de plus en plus automatisée des applications pour mettre à jour le firmware. C’est essentiel pour se défendre contre les nouveaux virus et pour maintenir les solutions de surveillance sécurisées, en particulier à mesure que les entreprises ajoutent plus d’appareils IoT à leurs réseaux.
Cybersécurité tout au long de la chaîne de valeur
Les solutions de surveillance modernes efficaces sont la somme de nombreux éléments. Alors que les caméras de surveillance elles-mêmes sont devenues des appareils informatiques plus puissants, et qu’elles ont la capacité d’héberger des logiciels d’analyse avancés à la périphérie du réseau, un aspect clé de la cybersécurité est une vision holistique de l’ensemble de la chaîne de valeur. Le matériel et les logiciels doivent fonctionner ensemble de manière transparente, non seulement pour offrir tous les avantages des nouvelles technologies de surveillance, mais aussi pour placer la cybersécurité au premier plan.
Il va de soi que les infrastructures critiques ont toujours mis l’accent sur la sécurisation physique des sites, usines et bâtiments sur lesquels des millions de personnes à travers le monde comptent pour les services fondamentaux de la vie quotidienne. Attendu que les menaces actuelles sont tout autant numériques que physiques, et probablement plus encore, il est essentiel de porter la même attention à la cybersécurité. C’est un objectif qui demeure une priorité pour Axis et nos partenaires.