La proportion d’ordinateurs industriels attaqués est passée de plus de 17 % en juillet 2016 à plus de 24 % en décembre de la même année, les trois principales sources d’infection étant Internet, les périphériques de stockage amovibles et les fichiers ou scripts malveillants joints à des e-mails.
Profitant des opportunités offertes par les nouvelles technologies comme l’IoT ou le Cloud, les entreprises industrielles n’ont jamais été aussi connectées… et vulnérables aux cyberattaques. Les criminels l’ont bien compris et entendent bien en profiter. En exploitant les vulnérabilités des réseaux et logiciels utilisés par ces entreprises, les auteurs des attaques peuvent dérober des informations relatives aux processus de production, voire paralyser les chaînes de fabrication, entraînant une catastrophe technologique.
Afin de déterminer l’étendue de la menace, les spécialistes de l’équipe ICS CERT (Industrial Control Systems Cyber Emergency Response Team) de Kaspersky Lab ont consacré leurs recherches au paysage des cybermenaces visant les systèmes de contrôle de processus industriels (ICS).
Ils ont ainsi découvert qu’au second semestre 2016, des téléchargements de malware et des accès à des pages web de phishing ont été bloqués sur plus de 22 % des ordinateurs industriels. Cela signifie que près d’une machine sur cinq a été exposée au moins une fois au risque d’une infection ou d’un piratage d’identifiants via Internet.
Selon l’enquête de Kaspersky Lab, les ordinateurs – vraisemblablement utilisés par les administrateurs du système et du réseau, des développeurs et des intégrateurs d’automates industriels ou encore des sous-traitants qui connectent au réseau sur site ou à distance – peuvent accéder librement à Internet et aux ICS car ils ne sont pas uniquement liés à un réseau industriel avec ses limitations inhérentes.
Internet, les supports amovibles et les emails comme sources de menace pour la sécurité des systèmes ICS
Internet ne constitue cependant pas la seule menace pour la cybersécurité des systèmes ICS. Le risque d’infection par des périphériques de stockage amovibles est un autre danger. Au cours de la période étudiée, 10,9 % des ordinateurs sur lesquels est installé un logiciel ICS (ou reliés à d’autres machines dotées d’un tel logiciel) ont présenté des traces de malware après la connexion d’un support amovible.
Des fichiers ou scripts malveillants joints à des e-mails ont été bloqués sur 8,1 % des ordinateurs industriels, arrivant donc au troisième rang des menaces. Dans la plupart des cas, les auteurs des attaques recourent à des messages de phishing pour attirer l’attention de l’utilisateur et masquer des pièces jointes malveillantes. Le malware est le plus souvent diffusé sous forme de documents MS Office ou PDF. Grâce à diverses techniques, les cybercriminels font en sorte que leur code malveillant soit téléchargé et exécuté sur les ordinateurs d’une entreprise industrielle.
Des malwares aussi dangereux pour les entreprises industrielles que pour les autres entreprises
Selon l’étude de Kaspersky Lab, les malwares, qui représentent une menace de taille pour les entreprises du monde entier, sont tout aussi dangereux pour les industriels, qu’il s’agisse de spyware, de backdoors, de keyloggers, de malwares financiers, de ransomwares ou de wipers. Ceux-ci peuvent faire totalement perdre le contrôle de son ICS à une entreprise ou encore servir à des attaques ciblées. Ces dernières sont possibles en raison de la présence de fonctions intrinsèques offrant aux attaquants quantité de possibilités de prise de contrôle à distance.
« Notre analyse révèle que la confiance aveugle dans l’isolement des réseaux technologiques vis-à-vis d’Internet n’est plus de mise. La montée des cybermenaces pour les infrastructures critiques souligne la nécessité d’une protection adéquate des systèmes ICS contre les malwares aussi bien à l’intérieur qu’en dehors du périmètre. Il faut également noter que, d’après nos observations, les attaques partent quasi systématiquement du maillon faible de toute protection : le facteur humain », commente Tanguy de Coatpont, Directeur Général, Kaspersky Lab France.
Les autres types de menaces été détectés en 2016 pour les systèmes d’automatisation industrielle
- Une attaque ciblée sur quatre détectée par Kaspersky Lab en 2016 visait des cibles industrielles.
- Environ 20 000 échantillons de malwares différents, appartenant à plus de 2000 familles distinctes, ont été découverts dans des systèmes d’automatisation industrielle.
- 75 vulnérabilités ont été mises au jour par Kaspersky Lab en 2016, dont 58 présentant un niveau maximal de criticité.
- Les trois pays où le plus d’ordinateurs industriels ont été attaqués sont le Vietnam (plus de 66 %), l’Algérie (plus de 65 %) et le Maroc (60 %).
Les préconisations des experts de Kaspersky Lab pour protéger les environnements ICS des menaces
- Procédez à une évaluation de sécurité afin d’identifier et d’éliminer toute faille de sécurité.
- Sollicitez des informations de veille auprès d’acteurs réputés qui aident les entreprises à anticiper de futures attaques contre leurs infrastructures industrielles.
- Formez votre personnel.
- Assurez une protection à l’intérieur et à l’extérieur du périmètre. Une stratégie de sécurité appropriée doit consacrer d’importantes ressources à la détection et au traitement des attaques afin de les bloquer avant qu’elles n’atteignent des systèmes critiques.
- Evaluez des méthodes avancées de protection : mode Default Deny (refus d’accès par défaut) pour les systèmes SCADA, contrôles réguliers d’intégrité pour les automates, surveillance spécialisée du réseau pour renforcer la sécurité d’une entreprise dans son ensemble et réduire les risques d’intrusion, même s’il n’est pas possible de corriger ou de retirer certains nœuds intrinsèquement vulnérables.
Une synthèse de l’étude de l’ICS CERT de Kaspersky Lab pour le 2ème semestre 2016 est disponible sur le site Securelist.com. L’étude complète se trouve sur le site Kaspersky Lab ICS CERT.
Auteur : Kaspersky Lab.Sur le même sujet : Une machine industrielle sur cinq a été victime d'une cyber-attaque l'an dernier
