Les cyberattaques peuvent venir de n’importe où et passer inaperçues pendant des années, explique Peter Dempsey, d’Axis Communications. Il est donc impératif que les centres de données s’arment d’un matériel de sécurité résilient, de manière à éviter la violation de réglementations de plus en plus strictes.
Pour les cybercriminels, les centres de données représentent un trophée lucratif et attrayant, que l’objectif de l’attaque soit de voler des données, de perturber des systèmes critiques ou de déployer des rançongiciels. Un centre de données représente un nombre considérable de systèmes, de processus et de périphériques matériels, et il suffit d’une petite faille dans l’armure de l’un d’entre eux. Si elle peut être exploitée, elle le sera, et les voies d’entrée potentielles sont nombreuses.
Plus de 20 000 systèmes de gestion d’infrastructure de centre de données (DCIM) se sont révélés être exposés publiquement, et ils pourraient permettre à un assaillant de perturber un centre de données en modifiant les seuils de température et d’humidité. Certains systèmes d’alimentation continue (ASC) se sont également avérés vulnérables, donnant aux pirates accès à l’alimentation du centre de données. Et les centres de données regorgent d’appareils Internet des objets (IoT) qui pourraient agir comme vecteurs d’attaque. Les centres de données doivent être conscients de leur vulnérabilité et s’efforcer de protéger chaque composante de leur infrastructure.
APT31 – Préparez-vous aux attaques clandestines
De nombreux centres de données pourraient déjà être compromis à leur insu. Les assaillants déploient de plus en plus souvent des attaques sophistiquées de type « Living off the Land » (LOTL – exploitation des ressources locales) qui exploitent les outils centraux des systèmes informatiques au lieu d’installer leurs propres fichiers malveillants. Ce type d’infiltration est difficile à détecter et peut en effet passer inaperçu pendant des années jusqu’à ce que le malfaiteur soit prêt à frapper.
Ces acteurs peuvent être des entités majeures. Dans de nombreux cas, des charges LOTL en provenance d’agents financés par des États ont été trouvées à l’affût dans des réseaux critiques. Le Centre national de cybersécurité du Royaume-Uni (UK National Cyber Security Centre) a impliqué le groupe de pirates APT31, de financement étatique, dans une tentative de viser un groupe de députés. Parmi d’autres cibles, la cybermenace APT31 s’étend à l’économie britannique, aux infrastructures nationales critiques et aux chaînes d’approvisionnement.
Cela souligne la nécessité pour les responsables de centres de données d’adopter une approche proactive de la sécurité, qui ne s’appuie pas seulement sur des principes de cybersécurité connus, mais fait appel à une surveillance active et à une diligence raisonnable stricte. Et c’est particulièrement important dans l’environnement réglementaire actuel.
SRI 2 – Détection d’anomalies de données dans les infrastructures critiques
La directive SIR 2 et la loi sur la cyber-résilience reclassifient les centres de données en tant qu’infrastructures critiques. Ils relèvent désormais de la même catégorie que les soins de santé, l’énergie et les transports, et seront soumis au même niveau de contrôle sur leur gouvernance. Les exploitants de centres de données, qu’ils relèvent de cette législation ou non, n’ont d’autre choix que de renforcer leurs défenses.
Le comportement de chaque composant matériel, logiciel et firmware au sein d’un réseau doit être régulièrement analysé afin de détecter même les activités inhabituelles semblant les plus inoffensives. Ce travail de détection doit également s’étendre au-delà des limites du centre de données, car la SIR 2 s’applique aux activités des collaborateurs autant qu’aux entités critiques. Cela inclut les fournisseurs d’équipements et, de manière cruciale, chaque étape de leur chaîne d’approvisionnement.
Détecter les vulnérabilités de la chaîne d’approvisionnement
Si un assaillant ne parvient pas à infiltrer un centre de données par des moyens directs, il peut tenter d’injecter une charge malveillante sur un équipement non encore déployé. Les périphériques IoT sont un terrain fertile pour les criminels : ils sont attachés au réseau par défaut et ne sont souvent pas inspectés avec le même niveau de détail que les vecteurs d’attaque plus évidents. Comme pour les charges LOTL, les périphériques IoT malveillants peuvent simplement se dissimuler en pleine vue, car ils octroient aux assaillants un accès à califourchon fondé sur une confiance implicite.
Les attaques de la chaîne d’approvisionnement sont incroyablement dangereuses et progressent, dépassant les attaques directes de logiciels malveillants de 40% en 2022. Justifier une quelconque confiance implicite n’est plus possible : les fournisseurs doivent démontrer en détail la sécurité et la pureté de leur chaîne d’approvisionnement et prendre des mesures pour s’assurer qu’aucune modification non autorisée ne se produit. Les centres de données, à leur tour, doivent réévaluer chaque relation avec les fournisseurs pour s’assurer qu’ils ne sont pas victimes.
Heureusement, la technologie moderne permet aux fournisseurs de démontrer la légitimité de leur matériel de manière assez propre. Un matériel de module de plateforme de confiance protège le firmware signé, offrant ainsi la confiance dans l’intégrité d’un appareil tout au long de la chaîne. Le démarrage sécurisé empêche l’exécution de firmware non autorisé. Et certains périphériques peuvent stocker des clés et des certificats cryptographiques en toute sécurité, ce qui renforce leurs états de service de sécurité tout en simplifiant le processus de gestion de leurs défenses.
Faire face à la pression réglementaire
Les réglementations telles que SIR 2 ne laissent en principe aux centres de données pas d’autre choix que d’agir maintenant ou faire face à des amendes massives. Leurs modalités rendent les directeurs de centres de données responsables non seulement des violations internes, mais aussi de celles causées par certaines failles de sécurité de tiers. La sécurité doit être réévaluée de haut en bas.
Une sécurité physique solide, assurée par des caméras, la détection thermique et par radar et le contrôle d’accès est clairement vitale, car un assaillant sur site pourrait causer des perturbations incalculables. Mais la sécurité logique est tout aussi essentielle pour s’assurer que les assaillants n’atteignent votre site de manière virtuelle. Chaque composant matériel et logiciel, qu’il relève ou non de la réglementation, doit être catalogué, analysé, hiérarchisé et documenté régulièrement.
La conformité doit être étayée par des documents clairs – et les fournisseurs doivent également les fournir. Aucun fournisseur de quelque valeur que ce soit ne voudrait mettre sur le marché un produit qui n’a pas le niveau ; travailler avec des fournisseurs qui se soucient de leurs produits est la voie à suivre pour les centres de données en vue de créer un monde plus intelligent et plus sûr.
