La convergence de l’informatique et de la technologie opérationnelle
Briefing numérique : La convergence de l’informatique et de la technologie opérationnelle
Les adversaires compromettent les appareils connectés à Internet pour accéder aux réseaux d'infrastructures critiques sensibles.
Au cours de l'année écoulée, Microsoft a observé des menaces exploitant des appareils dans presque toutes les parties surveillées et visibles d'une organisation. Nous avons observé ces menaces sur les équipements informatiques traditionnels, les contrôleurs OT et les appareils de l’IoT comme les routeurs et les caméras. Le pic de présence des attaquants dans ces environnements et réseaux est alimenté par la convergence et l’interconnectivité que de nombreuses organisations ont adoptées au cours des dernières années.
L'International Data Corporation (IDC) estime qu'il y aura 41,6 milliards d'appareils IoT connectés d'ici 2025, soit un taux de croissance supérieur à celui des équipements informatiques traditionnels. Bien que la sécurité des équipements informatiques se soit renforcée ces dernières années, la sécurité des appareils IoT et OT n'a pas suivi, et les acteurs de la menace exploitent ces appareils.
Il est important de se rappeler que les attaquants peuvent avoir des motifs variés pour compromettre des appareils autres que les ordinateurs portables et les smartphones habituels. Les cyberattaques de la Russie contre l'Ukraine, ainsi que d'autres activités cybercriminelles parrainées par des États-nations, montrent que certains États-nations considèrent que les cyberattaques contre les infrastructures critiques sont souhaitables pour atteindre des objectifs militaires et économiques.
72 % des exploits logiciels utilisés par « Incontroller », que la Cybersecurity and Infrastructure Security Agency (CISA) (Agence de Cybersécurité et de sécurité des Infrastructures) décrit comme un nouvel ensemble d'outils de cyberattaque parrainés par l'État et axés sur les systèmes de contrôle industriel (ICS), sont désormais disponibles en ligne. Cette prolifération favorise l'expansion des attaques menées par d'autres acteurs, car l'expertise et les autres barrières à l'entrée diminuent.
À mesure que l'économie cybercriminelle se développe et que les logiciels malveillants ciblant les systèmes OT deviennent plus répandus et plus faciles à utiliser, les acteurs de la menace disposent de moyens plus variés pour organiser des attaques à grande échelle. Les attaques par rançongiciel, auparavant perçues comme un vecteur d'attaque centré sur les technologies de l'information, touchent aujourd'hui les environnements OT, comme l'a montré l'attaque de Colonial Pipeline, où les systèmes OT et les opérations de pipeline ont été temporairement arrêtés pendant que les intervenants s'efforçaient d'identifier et d'endiguer la propagation du rançongiciel sur le réseau informatique de l'entreprise. Les adversaires se rendent compte que l'impact financier et l'effet d'extorsion liés à l'arrêt de l'énergie et d'autres infrastructures critiques sont bien plus importants que dans d'autres secteurs d'activité.
Les systèmes OT comprennent presque tout ce qui soutient les opérations physiques et couvrent des dizaines de secteurs d’activité verticaux. Les systèmes OT ne se limitent pas aux processus industriels, ils peuvent être des équipements spéciaux ou informatisés, tels que les régulateurs de chauffage, de ventilation et de climatisation, les ascenseurs et les feux de circulation. Différents systèmes de sécurité entrent dans la catégorie des systèmes OT.
Microsoft a observé que des acteurs de la menace liés à la Chine ciblent les routeurs vulnérables des particuliers et des petites entreprises afin de compromettre ces dispositifs en tant que points d'ancrage, ce qui leur donne un nouvel espace d'adressage moins associé à leurs campagnes précédentes, à partir duquel ils peuvent lancer de nouvelles attaques.
Alors que la prévalence des vulnérabilités de l’IoT et de l’OT représente un défi pour toutes les organisations, les infrastructures critiques sont exposées à un risque accru. Désactiver les services critiques, sans nécessairement les détruire, est un levier puissant.
Recommandations :
- Travailler avec les parties prenantes : Cartographier les ressources vitales de l'entreprise, dans les environnements informatiques et technologiques.
- Visibilité de l’appareil : Identifier les appareils de l’IoT et de l’OT qui constituent des ressources vitales en soi, et ceux qui sont associés à d'autres ressources vitales.
- Effectuer une analyse des risques sur les ressources vitales : Se concentrer sur l'impact commercial des différents scénarios d'attaque, comme le suggèreMITRE.
- Définir une stratégie : Traiter les risques identifiés, en donnant la priorité à l'impact sur les activités.
L'IoT offre de nouvelles opportunités commerciales, mais comporte aussi de grands risques
Alors que les technologies de l'information (IT) et la technologie opérationnelle (OT) convergent pour répondre aux besoins croissants des entreprises, l'évaluation des risques et l'établissement d'une relation plus sûre entre l’IT et l’OT nécessitent la prise en compte de plusieurs mesures de contrôle. Les appareils de protection en air gap et la sécurité du périmètre ne sont plus suffisants pour faire face et se défendre contre les menaces modernes telles que les logiciels malveillants sophistiqués, les attaques ciblées et les personnes malveillantes à l'intérieur de l'entreprise. La croissance des menaces liées aux logiciels malveillants de l'IoT, par exemple, reflète l'expansion de ce paysage et son potentiel à envahir les systèmes vulnérables. En analysant les données sur les menaces dans différents pays de 2022, les chercheurs de Microsoft ont constaté que la plus grande part des logiciels malveillants de l’IoT, soit 38 % du total, provenait de l'importante empreinte réseau de la Chine. Les serveurs infectés aux États-Unis placent ce pays en deuxième position, avec 18 % de la distribution de logiciels malveillants observée.
Les attaquants avancés utilisent de multiples tactiques et approches dans les environnements de l’OT. Nombre de ces approches sont courantes dans les environnements informatiques mais sont plus efficaces dans les environnements de l’OT, comme la découverte de systèmes exposés, orientés vers l'Internet, l'utilisation abusive des identifiants de connexion des employés ou l'exploitation de l'accès aux réseaux accordé à des fournisseurs tiers et à des sous-traitants.
La convergence entre les ordinateurs portables, les applications web et les espaces de travail hybrides du monde de l'informatique et les systèmes de contrôle des usines et des installations du monde de l’OT entraîne de graves conséquences en termes de risques, car elle donne aux attaquants la possibilité de "sauter" les espaces entre des systèmes autrefois physiquement isolés. Les dispositifs de l’IoT, tels que les caméras et les salles de conférence intelligentes, deviennent ainsi des catalyseurs de risques en créant de nouvelles entrées dans les espaces de travail et autres systèmes informatiques.
En 2022, Microsoft a aidé une grande entreprise mondiale du secteur de l'alimentation et des boissons, qui utilisait des systèmes d'exploitation très anciens pour gérer les opérations de l'usine, à faire face à un incident lié à un logiciel malveillant. Alors qu'il effectuait des opérations de maintenance de routine sur des équipements destinés à être connectés ultérieurement à Internet, un logiciel malveillant s'est propagé aux systèmes de l'usine par l'intermédiaire d'un ordinateur portable compromis de l'entrepreneur.
Malheureusement, ce scénario est de plus en plus fréquent. Bien qu'un environnement ICS puisse être protégé et isolé d’Internet, dès qu'un ordinateur portable compromis est connecté à un dispositif ou à un réseau OT précédemment sécurisé, il devient vulnérable. Sur l'ensemble des réseaux de clients surveillés par Microsoft, 29 % des systèmes d'exploitation Windows ont des versions qui ne sont plus prises en charge. Nous avons vu des versions telles que Windows XP et Windows 2000 fonctionner dans des environnements vulnérables.
Étant donné que les anciens systèmes d'exploitation ne reçoivent souvent pas les mises à jour nécessaires pour assurer la sécurité des réseaux, et que les correctifs sont difficiles à mettre en place dans les grandes entreprises ou les usines de fabrication, donner la priorité à la visibilité des appareils IT, OT et IoT est une première étape importante pour gérer les vulnérabilités et sécuriser ces environnements.
Une défense basée sur la Confiance Zéro, une application efficace des politiques et une surveillance continue peuvent contribuer à limiter le rayon d'action potentiel et à prévenir ou contenir des incidents de ce type dans les environnements connectés au cloud.
Les enquêtes sur les équipements de l’OT nécessitent des connaissances spécifiques et uniques, et il est essentiel de comprendre l'état de la sécurité des contrôleurs industriels. Microsoft a mis à la disposition de la communauté des défenseurs un outil d'analyse forensique opensource, afin d'aider les intervenants en cas d'incident et les spécialistes de la sécurité à mieux comprendre leur environnement et à enquêter sur les incidents potentiels.
Alors que la plupart des gens pensent que les infrastructures critiques sont les routes et les ponts, les transports publics, les aéroports et les réseaux d'eau et d'électricité, la CISA a récemment recommandé que l’espace et la bioéconomie deviennent de nouveaux secteurs d'infrastructures critiques. Citant le risque de perturbations dans divers secteurs de l'économie américaine qui pourraient avoir des effets débilitants sur la société. Étant donné la dépendance du monde à l'égard des capacités liées aux satellites, les cybermenaces dans ces secteurs pourraient avoir des répercussions mondiales allant bien au-delà de ce que nous avons vu jusqu'à présent.
Recommandations
- Implémenter des politiques nouvelles et améliorées : Les politiques issues de la méthodologie Confiance Zero et des meilleures pratiques fournissent une approche holistique pour assurer une sécurité et une gouvernance transparentes sur tous vos appareils.
- Adopter une solution de sécurité complète et spécialisée : Permet la visibilité, la surveillance continue, l'évaluation de la surface d'attaque, la détection des menaces et la réponse.
- Éduquer et former : Les équipes de sécurité ont besoin d'une formation spécifique aux menaces provenant des systèmes IoT/OT ou les ciblant.
- Examiner les moyens de renforcer les opérations de sécurité existantes : Répondre aux préoccupations en matière de sécurité de l'IoT et de l'OT pour obtenir un IT et un SOC OT/IoT unifié dans tous les environnements.
Découvrez comment protéger votre organisation avec une présentation de David Atch, Veille des menaces Microsoft, responsable de la recherche sur la sécurité IoT/OT.
Microsoft a identifié des vulnérabilités non corrigées et de haute gravité dans 75 % des contrôleurs industriels les plus courants dans les réseaux OT des clients.1
- [1]
Méthodologie : Pour les données instantanées, les plateformes Microsoft, notamment Microsoft Defender pour IoT, Microsoft Threat Intelligence Center et Microsoft Defender Threat Intelligence, ont fourni des données anonymes sur les vulnérabilités des appareils, telles que les états de configuration et les versions, ainsi que des données sur l’activité des menaces sur les composants et les appareils. En outre, les chercheurs ont utilisé des données provenant de sources publiques, telles que la National Vulnerability Database (NVD) et la Cybersecurity & Infrastructure Security Agency (CISA). La statistique sur les « vulnérabilités non corrigées et de haute gravité dans 75 % des contrôleurs industriels les plus courants dans les réseaux OT des clients » est basée sur les engagements de Microsoft en 2022. Les systèmes de contrôle dans les environnements critiques comprennent des appareils électroniques ou mécaniques qui utilisent des boucles de contrôle pour améliorer la production, l’efficacité et la sécurité.
Suivez la Sécurité Microsoft