Quelles menaces fait peser le malware Industroyer sur la sécurité des OIV ?
Le 6 juin dernier, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) annonçait sa volonté de faire de la protection des sites industriels et des opérateurs d’importance vitale (OIV) « la priorité des priorités ». Une mesure qui prend tout son sens encore aujourd’hui avec la découverte ce lundi 12 juin de l’existence d’un malware capable d’interférer sur le réseau électrique européen sans intervention humaine ou presque. Ce logiciel, nommé « Industroyer », pourrait notamment être la raison de la panne observée en décembre dernier au cœur du réseau de distribution d’énergie ukrainien. Cette découverte est une nouvelle mise en garde à prendre très au sérieux en matière de cybersécurité.
Comment ce malware fonctionne-t-il ?
Il permet aux pirates de prendre le contrôle de tout un réseau électrique. Cela signifie que la technique employée peut cibler d’autres infrastructures et opérateurs critiques. Il peut entraîner de lourdes conséquences directement sur les équipements en place mais aussi sur le plan humain. Jusqu’ici, les cyberattaques ciblant les systèmes de contrôles industriels, dont les systèmes SCADA (Supervisory Control And Data Acquisition) capables de piloter les automates industriels, ont été relativement rares comparées à l’important nombre de failles détectées dans les entreprises en général au cours de ces dernières années. Mais Industroyer n’est peut-être que le premier d’une série de piratages dans la même veine ou bien d’une attaque de grande envergure à venir. Sans tomber dans la paranoïa, il est capital aujourd’hui que toutes les organisations, quel que soit leur secteur d’activité, renforcent la sécurisation de leurs systèmes pour empêcher les délinquants de pénétrer au sein de leur réseau pour en prendre le contrôle. Même si la question n’est plus de savoir “si“ mais “quand“, il est encore possible de se préparer et d’empêcher les attaquants de parvenir à leurs fins en modernisant sa stratégie de sécurité avec un modèle 2.0.
Quelles approche les industriels doivent-ils adopter pour se prémunir de cette attaque ?
Cette approche de sécurisation comporte quatre piliers majeurs. Le premier implique la prévention, utilisant l’ensemble des moyens de la sécurité dite 1.0 déjà présents dans la plupart des entreprises, à savoir les pare-feux, les logiciels antivirus ou encore les systèmes de détection d’intrusion. Le second est la détection, qui permet de définir un contexte grâce à la collecte de données et l’analyse basée sur le Machine Learning – ou apprentissage automatique. Le troisième élément fondamental repose sur la prédiction pour déterminer l’intention d’une action en exploitant l’intelligence artificielle et les solutions cognitives capables d’anticiper de nouveaux incidents et les résoudre. Enfin, le quatrième pilier implique le confinement dans le cadre duquel des mesures correctives et de sécurité sont appliquées pour réduire les risques et remédier à une éventuelle attaque.
Que préconisez-vous pour mettre en oeuvre cette approche le plus efficacement possible ?
Pour tirer le meilleur parti de ces quatre piliers, il est important que les organisations puissent en outre avoir une visibilité complète de l’activité sur leur réseau en temps réel. Cela pourrait sembler évident mais la vitesse à laquelle vont les innovations technologiques complique parfois la tâche. La capacité à voir tout ce qui se passe au niveau des équipements et des applications présents sur le réseau est désormais la pierre angulaire de la protection du système d’information d’une entreprise. Impossible en effet de sécuriser ce qu’on ne voit pas ! De cette manière, dès qu’une activité inhabituelle est détectée, les équipes en charge de la sécurité peuvent immédiatement intervenir et procéder aux analyses nécessaires pour savoir s’il s’agit d’une menace réelle, telle que la présence insidieuse d’un pirate, et prendre les mesures nécessaires.
Quels enseignements peut-on retirer de la découverte d’Industroyer ?
Servir de rappel à toutes les organisations qui ne doivent, en aucun cas, se sentir à l’abri. Que ce soit dans le secteur de l’énergie, de l’industrie, de la santé, des transports au même titre que n’importe quel opérateur d’importance vitale. Les cyberattaques ne sont pas une fatalité ! Les organisations ont à leur disposition les moyens d’agir. Elles peuvent limiter les conséquences relatives à des actes malveillants. Elles doivent pour cela adopter une sécurité 2.0, à la hauteur de la sophistication grandissante des techniques employées par les pirates, combinée à une visibilité complète de l’activité sur leur réseau. Il est important que les entreprises reprennent confiance et mettent tout en œuvre pour contribuer à la défense et à la sécurité nationale, un enjeu majeur tant au niveau économique qu’humain.
Propos recueillis par Ségolène Kahn
Commentez