Plus de la moitié des réseaux de systèmes de contrôle industriel (ICS) serait vulnérable à des attaques ciblées
selon un rapport

Dans une ère ou chercheurs en sécurité et hackers se disputent le contrôle de la plus précieuse ressource (l’information), il est normal qu’une attention spéciale soit portée aux secteurs vitaux de l’économie mondiale, dont notamment l’industrie. Comme pour incarner cette attention, la firme de sécurité CyberX vient de publier, pour le compte de cette année, son Global ICS & IIoT Risk Report, un rapport évaluant les standards de sécurité au sein des systèmes critiques de l’industrie. Ce rapport repose sur une analyse approfondie des données recueillies sur le trafic réel de plus de 850 réseaux de systèmes de contrôle industriels (en anglais, Industrial Control Systems ou ICS) et de contrôle de surveillance et d’acquisition de données.

Ladite analyse a été menée sur une période d’un an plein et dans l’ensemble des secteurs industriels sur tous les continents. C’est donc un rapport reposant sur des données provenant de partout dans le monde. La diversité des échantillons ne crédibilise que plus encore le rapport. Le moins que l’on puisse dire, c’est que les résultats obtenus par CyberX sont inquiétants. En effet, le rapport indique que plus de la moitié des systèmes d’infrastructure critiques sont encore vulnérables face aux attaques ciblées. « Si vous êtes dans une infrastructure critique, vous devriez vous attendre à être pris pour cible. Et si vous êtes pris pour cible, vous serez compromis. C'est aussi simple que cela », a déclaré Andy Bochman, stratège principal du réseau pour la sécurité nationale et territoriale au laboratoire national de l'Idaho.

Nom : cropped-ICS-CABLING-LOGO.jpg
Affichages : 1538
Taille : 13,2 Ko

En effet, le rapport démontre qu’au cours de l’année 2018, la majorité des réseaux ICS sont demeurés des cibles faciles offrant aux éventuels assaillants un florilège de vecteurs d’attaque. Les vecteurs d’attaque susmentionnés peuvent aller des mots de passe en texte brut à une trop faible protection contre les malwares, en passant bien sûr par les périphériques connectés dont les points d’accès sans fil ont été mal configurés. Le rapport indique que, du fait d’une communication basée sur SNMP et FTP et d’autres protocoles obsolètes, près de 69 % des réseaux ICS en sont encore à transmettre les mots de passe en texte brut via le réseau.

40 % des sites industriels étudiés disposent d’au moins une connexion directe à Internet, ce qui en fait des cibles bien plus attirantes et plus faciles pour les assaillants. Pis encore, plus de la moitie, 57 % pour être précis, des réseaux ICS disposent d’une protection anti-malware ne comprenant aucun système intégré de mise à jour automatique de signatures. Ces réseaux sont donc extrêmement vulnérables aux nouvelles souches de malware. 84 % des réseaux ICS utilisaient au moins un dispositif accessible à distance. Il serait donc aisé de prendre le contrôle de ces systèmes par RDP, VNC ou encore SSH.

La plus inquiétante découverte, pas tant dans le pourcentage de réseaux touchés, mais plutôt dans l’incongruité de la vulnérabilité, réside dans le fait qu’environ 53 % des sites d’infrastructure critiques analysées utilisaient encore des réseaux ICS tournant sous des versions obsolètes de Windows pour lesquelles Microsoft ne fournit même plus de mises à jour de sécurité. De plus, 16 % des sites étudiés disposent d’au moins un point d’accès sans fil mal configuré. Ces dispositifs peuvent s’avérer très faillibles face à des vulnérabilités du WPA2 ou encore face à des malwares sophistiqués tels que VPNFilter. Le score global moyen de sécurité au sein des infrastructures industrielles critiques se retrouve donc à culminer à 70 %, un chiffre pas spécialement rassurant quand il s’agit de sécurité.

Les seuls éléments qui pourraient s’apparenter à une bonne nouvelle, c’est que le taux de systèmes tournant sous ces versions de Windows a drastiquement chuté entre 2017 et 2018, passant de 75 % à 53 %, d’une part, et que le taux de sécurité moyen ait connu une croissance entre 2017 et 2018, passant de 61 % à 70 %. Ces progrès, quoique légers, peuvent être perçus comme de grands pas dans la bonne direction, mais ils ne peuvent pas occulter le fait que beaucoup reste à faire.

« Nous ne sommes pas là pour déstabiliser, mais nous pensons qu'il est important que les chefs d'entreprise aient une vision du risque ICS basée sur les données afin de pouvoir se poser les bonnes questions. Nous faisons certes des progrès dans la réduction des risques liés aux réseaux ICS, mais nous avons encore beaucoup de chemin à parcourir. Réduire le risque ICS est un voyage : la plupart de ces réseaux ont été conçus il y a plusieurs décennies, bien avant que la cybersécurité ne soit une priorité essentielle », a déclaré Dan Shugrue, directeur principal de la cybersécurité industrielle chez CyberX.

Rappelons qu'en juillet dernier, le fournisseur multinational de cybersécurité et d’antivirus Kaspersky Lab a mené une étude dans 25 pays, sur 320 professionnels avec un pouvoir de décision sur la technologie opérationnelle et sur la cybersécurité du système de contrôle industriel de leur entreprise. Sur le nombre total de professionnels interrogés, 77 % considèrent la cybersécurité comme une priorité majeure. Mais sur ces 77 %, 48 % n’ont aucun programme approprié de réponse à un incident. 66 % de la population d’étude reconnaît aussi que les attaques ciblées et les APT (Advanced Persistent Threat) sont un réel problème.

selon le rapport de l'étude, le rapprochement progressif entre la technologie de l’information (TI) et la technologie opérationnelle (TO) permet d’accroître significativement l’efficacité des processus industriels. Cependant, cela présente de nouveaux risques. Au fur et à mesure que l'industrie s'ouvre au monde extérieur, la sécurité devient l'un des sujets les plus importants de la technologie industrielle et opérationnelle, c'est-à-dire du matériel et des logiciels utilisés dans la zone de production. Presque les deux tiers de la population étudiée, environ 64 %, ont subi au moins une attaque conventionnelle de virus ou de programme malveillant sur leur système de contrôle industriel au cours de l’année écoulée. Le pourcentage ayant subi une attaque de rançongiciel s’élève à 30 %. 27 % des entreprises étudiées ont subi une rupture de leur système de contrôle industriel à cause des erreurs de leurs propres employés.

Source : CyberX

Et vous ?

Que pensez-vous de ces chiffres ?

Voir aussi

WPA2 : des chercheurs en sécurité sont parvenus à casser le protocole de sécurité de Wi-Fi les utilisateurs du monde entier sont désormais menacés

Cybersécurité : 87 % des attaques ciblées sont évitées, mais leur nombre a doublé en 2018, d'après une étude d'Accenture sur les grandes entreprises

Kaspersky : 77 % des organisations industrielles s'inquiètent des incidents de cybersécurité mais la moitié n'a aucun programme de réponse approprié

USA, cybersécurité aéronautique : les avions commerciaux exposés aux potentielles attaques, de nombreuses vulnérabilités ont été découvertes

Cybersécurité : la plupart des développeurs ne connaissent pas ce qu'est la sécurité selon Akasha Security