Les équipements industriels étant de plus en plus connectés à l’informatique traditionnelle dans le but d’analyser une multitude de données, de nouvelles cybermenaces ont fait leur apparition. L’application d’une défense en profondeur avec supervision globale est donc devenue indispensable.
En février dernier, la compagnie des eaux d’Oldsmar, située en Floride aux Etats-Unis, a été victime d'une cyberattaque de sabotage. Le hacker a réussi à prendre la main sur le système de contrôle central et a pu multiplier par plusieurs centaines l’ajout de soude (hydroxyde de sodium), produit chimique utilisé dans le traitement des eaux pour réguler l'acidité de l'eau potable. Comme ce service des eaux dessert environ 15 000 résidents du comté ainsi que des commerces et entreprises locales, les conséquences de ce piratage auraient pu être désastreuses.
Heureusement, l’attaque n’a pas causé de dommages, mais davantage grâce au fruit du hasard qu’à un concept de sécurité élaboré. L’opérateur du système était en effet assis devant son écran et a été surpris que quelqu'un prenne le contrôle du curseur de sa souris. Il a ainsi pu intervenir à temps mais dans d’autres circonstances, même si les couches de sécurité ultérieures auraient probablement signalé tôt ou tard l'augmentation massive du produit chimique, il est peu probable que l'altération aurait été évitée.
Le hacker s’est donc infiltré jusqu’aux commandes du système par le biais d'un accès à distance, technologie régulièrement utilisée par le personnel et les prestataires de services via des comptes autorisés. Il s’est d’abord connecté une première fois, quelques heures avant l’attaque proprement dite, mais l’opérateur, ayant remarqué sa présence, a supposé qu’il s’agissait de son superviseur. Il n’a pas été établi si le hacker s’est servi de l’accès de ce superviseur mais si ce n’est pas le cas, le système de cybersécurité installé n'était manifestement pas en mesure d'identifier de manière fiable une personne nouvellement connectée au réseau de manière non autorisée.
Cette attaque montre à quel point les réseaux industriels sont réellement vulnérables, avec des failles de sécurité qui existent encore dans de nombreuses infrastructures critiques desservant des milliers de personnes et pouvant être rapidement et facilement perturbées.
Un système robuste de détection des intrusions : le chaînon manquant ?
Cet incident souligne la nécessité de disposer d'une supervision intelligente dotée d’un système de détection des intrusions de bout en bout, qui repère et signale en temps réel tout changement dans les réseaux d’infrastructures. La surveillance du réseau avec détection d'anomalies aurait pu ainsi signaler la première connexion de l’intrus avant l'incident comme étant suspecte et potentiellement dangereuse. Pour y parvenir, la détection d'anomalies utilise divers indicateurs, tels que le comportement passé du compte utilisateur (heure d'accès, adresse IP, durée d'accès) et les actions effectuées à l'aide de ce compte. Elle aurait également identifié le hacker comme malveillant s'il était entré dans le système par le biais d'un tout nouveau compte.
Par ailleurs, un système de protection des terminaux industriels aurait ajouté la possibilité d'empêcher automatiquement certaines opérations de se faire sur le système de contrôle à distance. Ces mécanismes de protection à la périphérie d'une infrastructure revêtent une importance particulière car ils sont efficaces là où se produit souvent le premier accès au système, permettant d’arrêter les attaques avant qu'elles ne progressent trop. Ils empêchent également le déplacement latéral des attaques à travers le parc informatique, ainsi que la progression dans la reconnaissance du réseau.
Etablir une protection complète pour l’IT et l’OT
Une stratégie de cybersécurité efficace ne consiste pas à trouver un dispositif unique qui convient pour tout. Les cybermenaces et les environnements informatiques devenant de plus en plus complexes, il s’agit plutôt d’identifier le bon ensemble de mesures et de les mettre en œuvre dans tout le système d’information. Le principe est d’adopter littéralement toutes les approches et normes de cybersécurité en considérant que seule une mise en place systématique de mesures complémentaires (tant organisationnelles que techniques) conduira à un niveau de sécurité approprié.
Ce principe est généralement appelé « défense en profondeur », avec plusieurs couches de défense spécialisées, nécessaires pour protéger des réseaux OT. Selon ce concept, si l’on dispose de plusieurs couches de sécurité, le réseaux central est mieux sécurisé.
On peut comparer cela aux châteaux médiévaux et leur succession de murs, portes, rétrécissements et tranchées qui garantissent que si un dispositif tombe, la structure globale est toujours sécurisée. Pour la cybersécurité des infrastructures critiques, cela se traduit par une combinaison de gestion des risques, de pare-feu, de VPN, d'authentification forte, de segmentation du réseau, de supervision du réseau et des équipements ainsi que de détection des anomalies.
Bien entendu, la stratégie de « défense en profondeur » doit intégrer à la fois les technologies opérationnelles (OT) et informatiques (IT). Comme l’OT est l'épine dorsale du fonctionnement quotidien des infrastructures critiques et présente des exigences et des défis très différents de ceux de l’IT d'entreprises de bureau, il est utile de combiner différents dispositifs qui répondent à certains besoins spécifiques de l’OT. Il s'agit avant tout d'assurer la stabilité par des approches passives qui ne perturbent pas les processus industriels.
Il y a une grande leçon à tirer de ce qui s'est passé à l'usine de traitement des eaux d'Oldsmar et cet incident devrait servir d'avertissement aux grandes entreprises d'infrastructures pour qu'elles bâtissent une barrière solide et sécurisée autour de leurs systèmes IT et OT. Les méthodes utilisées par les hackers pour accéder aux systèmes d’information étant de plus en plus sophistiquées, les entreprises doivent avoir une longueur d’avance en supervisant attentivement l'ensemble du réseau et en identifiant toute faille qui pourrait rendre le système vulnérable aux attaques.