Cybersécurité et son impact sur les technologies opérationnelles

anixter-branding-600
cyber-sécurité-600x150

La cybersécurité est le terme générique attribué aux technologies et aux processus conçus pour protéger l'équipement de réseau, les logiciels et les données contre les accès non autorisés, les attaques et les dommages.

Tandis que le monde devient de plus en plus connecté, l'équipement de réseau, les logiciels et les données sont de plus en plus susceptibles aux brèches de sécurité. Auparavant, la protection de tels équipements, logiciels et données était la responsabilité unique des équipes des technologies de l'information. Toutefois, tandis que des appareils sont ajoutés et que de plus en plus de technologies opérationnelles prennent d'assaut les réseaux informatiques, la surface d'attaque devient de plus en plus difficile à contrôler et à surveiller. La surface d'attaque est un point de vulnérabilité, comme un port, un appareil ou une interface de logiciel, à partir duquel un utilisateur non autorisé peut tenter d'accéder ou d'extraire des données d'un réseau. Les équipes des technologies de l'information et des technologies opérationnelles doivent s'unir pour évaluer les zones de risques jusqu'alors ignorées.

 

Qu'est-ce que la technologie opérationnelle?

La technologie opérationnelle peut être le matériel ou le logiciel qui contrôle des appareils physiques ou des processus dans des environnements précis, comme des bâtiments, des usines et des services publics. Autrefois, les systèmes de technologie opérationnelle fonctionnaient dans des réseaux fermés afin de créer un « entrefer », où ils sont séparés du réseau informatique de l'entreprise et de l'Internet externe. Les systèmes de technologie opérationnelle d'aujourd'hui sont de plus en plus connectés et intégrés à d'autres systèmes informatiques.

Le sous-système de vidéosurveillance d'un bâtiment est un exemple de technologie opérationnelle. Autrefois une télévision en circuit fermé qui n’interagissait pas avec d’autres dispositifs ou réseaux, le système utilise maintenant l’infrastructure informatique pour le transport de données, le stockage et la surveillance.

La surface d'attaque au sein des systèmes de vidéosurveillance a changé du jour au lendemain. Ce changement rapide du réseau informatique a permis à des percés technologiques aux points limites, comme les caméras de réseau, de prendre une avance considérable sur les politiques et les procédures de sécurité nécessaires pour les protéger et pour empêcher une entreprise d'être victime de cyberattaques. Selon IHS Markit, plus de 66 millions de caméras de réseau ont été expédiées internationalement en 2016.1 Plusieurs de ces unités sont installées avec un mélange de réseaux avec et sans fil, sans mesures de sécurité de réseau mises en place pour les protéger. Tandis que la fréquence des cyberattaques des réseaux informatiques augmente et que de plus en plus d'intégrations de systèmes de technologie opérationnelle se produisent, les vulnérabilités se multiplient et augmentent drastiquement la surface d'attaque des réseaux de technologie opérationnelle.

Bien qu'il existe des stratégies semblables pour garantir la sécurité des systèmes des technologies de l'information et des technologies opérationnelles d'un réseau, il y a également des différences majeures entre les deux systèmes et une confusion par rapport à la responsabilité de leur sécurité. Il est essentiel de collaborer afin d'élaborer une stratégie de sécurité constante pour les technologies de l'information et les technologies opérationnelles avec la croissance continue des points limités connectés.

Un exemple important est les critères d'accessibilité des systèmes de technologies opérationnelles. Les temps d'arrêt pour les mises à niveau de logiciel, les correctifs et les mises à jour de micrologiciel sont habituellement acceptés dans l'environnement des technologies de l'information, mais ils peuvent être très dérangeants et coûteux pour certains systèmes de technologies opérationnelles. Par exemple, dans les sous-systèmes de sécurité physique, une simple mise à niveau de micrologiciel peut interrompre les intégrations de système, ce qui peut rendre le système hors service. Toutefois, un scénario du pire consiste à exploiter une version caduque du logiciel ou du micrologiciel ayant des vulnérabilités connues en matière de sécurité, ce qui peut augmenter les risques d'attaches par un adversaire potentiel. Des facteurs sont à considérer pour bien entretenir les systèmes de technologie opérationnelle pour minimiser les temps d'arrêt afin d'éviter que le manque d'entretien de routine augmente les risques de cyberattaque.

Tandis qu'un nombre croissant de fonctions opérationnelles tire profit des capacités de réseaux informatiques, la quantité de surface d'attaque, ou le nombre d'appareils qui ne se trouvent plus dans l'environnement informatique contrôlé, augmente. Les fabricants de ces appareils doivent permettre aux utilisateurs de se protéger non seulement de l'altération de l'appareil, mais aussi du logiciel utilisé et des données recueillies par l'appareil.

L'Internet des objets (IdO) nous propose plusieurs exemples d'appareils complexes à protéger. Par exemple, les services publics peuvent utiliser les réseaux de technologies de l'information pour transmettre des données liées à la commande de processus depuis des sous-stations et des points de surveillance. Il n'est pas facile de garantir la sécurité physique de ces zones et la manipulation de composants et de données recueillies devient sujette aux inexactitudes. Cette surface d'attaque produit des résultats imprévisibles à moins de mettre en place des mesures protectrices.

Cybersécurité : technologie de l'information vs technologie opérationnelle
Quels sont les types d'attaque?
diagramme-cyberattaque-600

Virus

Ce code de programmation se reproduisant lui-même peut être transmis par courriel, téléchargement ou autre mode de transfert. Il peut être bénin ou malveillant, selon l'intention du programmeur.

Programme malveillant

Un programme malveillant désigne un logiciel malveillant. Ce terme englobe plusieurs menaces de cybersécurité, mais il désigne plus précisément un code visant à endommage un autre code ou des données. Le 21 octobre 2016, Mirai, un programme malveillant à source ouverte qui balaie Internet pour trouver des appareils IdO protégés uniquement par les mots de passe configurés par défaut à l'usine, a piraté 150 000 appareils pour alimenter une énorme attaque par saturation (attaque par DDOS) de 1 Tbit/s qui a mis en panne des sites prisés, y compris Twitter, Netflix et Amazon.

Réseau de zombies

Il désigne ce qui se produit quand un pirate informatique permet de contrôler plusieurs appareils non protégés sur Internet. Les pirates informatiques utilisent cette armée d'appareils du réseau de zombies pour attaquer des victimes dans le but d'endommager leurs systèmes.

Déni de service (DdS)

Comme les composants du réseau sont surchargés de requêtes de traitement, ils ne peuvent pas accomplir leurs tâches désignées ni s'éteindre. Une attaque par déni de service se produit quand les requêtes de traitement proviennent d'innombrables appareils à distance causant l'interruption. Elles sont souvent causées par des réseaux de zombies.

Vol

Les composants ou capteurs individuels ainsi que leurs données et logiciels respectifs sont enlevés physiquement de leur environnement visé.

Piratage psychologique

Extorsion par dol poussant des individus ayant accès à des données sensibles à divulguer les données ciblées.

Portes dérobées

Le logiciel possède un point d'entrée non reconnu par les utilisateurs légitimes que l'attaquant utilise pour accéder aux données.

Attaque par accès direct

En ayant un accès physique à une portion du système, les pirates informatiques peuvent utiliser des appareils de stockage mobiles, comme des clés USB, pour introduire un logiciel malveillant ou copier des fichiers de données.

Écoute électronique

La surveillance de conversations non chiffrées entre des appareils dans le but d'obtenir des données sensibles.

Le profit financier demeure le principal motif des cyberattaques. Le coût annuel estimé à l'échelle mondial des cyberactivités malveillantes va de 300 milliars de dollars américains à 1 trillions de dollars américains2 et devrait augmenter à 2,1 trillions de dollars d'ici 2019.3

Comment pouvez-vous protéger ces systèmes?

Suivez les recommandations du fabricant

  • Le premier geste que vous pouvez poser, qui est aussi le plus important, c'est d'observer tous les composants connectés à un réseau et de déterminer comment mettre en œuvre les recommandations de cybersécurité du fabricant. Suivez le guide de renforcement de la sécurité proposé par le fabricant.

Que contiennent les guides de renforcement de la sécurité pour les appareils?

  • Mot de passe. Supprimez les noms d'utilisateur et les mots de passe par défaut et configurez des mots de passe difficiles à deviner. Dans 63 pour cent des violations de données, un mot de passe faible, configuré par défaut ou volé est le responsable.4
  • Micrologiciel. Un micrologiciel à jour compense toutes les déficiences connues.
  • Droits d'accès de l'utilisateur. Vérifiez quels utilisateurs ont le droit d'accomplir certaines tâches. 55 % de toutes les violations à l'interne sont causées par une mauvaise utilisation des comptes protégés.5
  • Vérifier/reconfigurer les paramètres de réseau de base. En sachant où se trouvent vos vulnérabilités, vous pouvez les surveiller de près.
  • Désactivez des fonctions, le cas échéant. Désactivez toutes les fonctions inutiles de l'appareil pour savoir s'il est manipulé à l'avenir.
  • Activez les certificats de chiffrement/protocole SSL. Chiffrez les sorties des données. 
  • Surveillez vos comptes. Vérifiez quels individus ont un accès et pour quelles raisons. 
  • Désactivez les fonctions des technologies de l'information. Ne donnez pas des droits de direction aux utilisateurs qui n'en ont pas besoin. 
  • Configurez des filtres d'adresses. Configurez des filtres de contrôle pour les adresses IP ou MAC. 
  • Configurez le protocole SNMP. Configurez toute messagerie requise par votre système.

Protection de réseau. Les entreprises de technologies de l'information ont plusieurs options et outils à leur disposition, y compris, sans s'y limiter :

  • Détection d’intrusion 
  • Surveillance du journal de bord
  • Surveillance du comportement sur le réseau
  • Inspections de réseau
  • Création de liste blanche
  • Pare-feu

Test d'intrusion

  • Embauchez une entreprise pour vérifier votre cybersécurité et vous proposer des conseils sur les vulnérabilités connues et méconnues. 
  • Implantez des changements en fonction des tests d'intrusion.
Sources
  1. https://technology.ihs.com/api/binary/572252 
  2. http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime.pdf 
  3. https://www.juniperresearch.com/press/press-releases/cybercrime-cost-businesses-over-2trillion 
  4. http://www.verizonenterprise.com/resources/reports/rp_DBIR_2016_Report_en_xg.pdf 
  5. https://msisac.cisecurity.org/whitepaper/documents/1.pdf
Ouvrir ce Fascicule Technique au format PDF
Tech-Brief-Logo-294x34