Attaques sur les infrastructures OT – Le risque est bien réel

Exclusivité Datacenter Magazine

Par Joe Robertson, Director of Information Security and EMEA CISO chez Fortinet

Les technologies OT (Operational Technology) constituent un segment réseau critique utilisé par les entreprises fabriquant des biens ou gérant des processus industriels physiques. Les secteurs comme ceux de la production industrielle, de la chimie, du pétrole et du gaz, de l’extraction minière, des transports et de la logistique utilisent tous des technologies spécialisées pour piloter leurs chaînes d’assemblage, leurs sites de production ou encore leur grid de distribution d’énergie. Le contrôle, le monitoring et la gestion de ces systèmes se sont progressivement automatisés, sur des décennies, tandis que les systèmes de contrôle industriels, les systèmes SCADA et les réseaux OT comptent parmi les plateformes spécialisées réalisant ces tâches.

Les réseaux constitués par ces systèmes OT ont pendant longtemps été dissociés des environnements IT corporate et Internet, et même cloisonnés vis-à-vis d’eux. Ils sont généralement gérés par des équipes opérationnelles plutôt que par le département informatique. Et pour une bonne raison : les installations de production peuvent générer des millions d’euros de biens par heure tandis que le grand public, tout comme les entreprises, comptent sur leurs infrastructures critiques pour leur apporter de l’eau potable ou encore de l’énergie. La facture d’une défaillance de ces systèmes, même pendant quelques minutes, peut s’élever à des centaines de milliers d’euros, tandis que les collaborateurs et les communautés avoisinantes du site de production peuvent subir un risque majeur.

Si l’IT est associé à la gestion des données, l’OT, en revanche, opère dans un contexte de production de biens. Les systèmes OT ayant été totalement cloisonnés dans le passé, l’univers de l’OT se sentait immunisé contre les attaques et exactions cybercriminelles, le lot quotidien des environnements IT.

Mais force est de constater que les récentes attaques OT ont quelque peu remis en cause ce sentiment de protection.

Les cyberattaques sur ces systèmes, et sur les infrastructures OT en général, sont à la hausse et causent des dommages majeurs. La première des attaques OT réelle est sans doute Stuxnet et remonte à plus de 10 ans. La cible était un système totalement cloisonné, sans connectivité vers les réseaux externes, et pourtant le piratage a été effectif. En 2017, le ransomware NotPetya a perturbé des processus de production, jusqu’à, parfois, les mettre à l’arrêt. Cette même année, le malware Trisis/Triton s’en est pris à des systèmes et instruments de sécurité présents au sein d’équipement de production dans le secteur du pétrole et du gaz. Enfin, en 2020, les systèmes ICS ont subi les assauts de ransomware (Ekans ou Snake).

La fin du cloisonnement ?

La progression des menaces ciblant les environnements OT s’observe concrètement.

En premier lieu, le cloisonnement n’a jamais été une garantie de sécurité totale, même s’il a rendu les systèmes OT plus complexes à pirater. Un accès physique était toujours possible via des techniques d’ingénierie sociale, comme laisser traîner une clé USB à l’entrée d’un site de production. Ou tout simplement pénétrer sur un tel site via la porte entrée équipé de son porte bloc, d’un casque de protection et avec un air confiant.

D’autre part, si vous pensez qu’un environnement OT est cloisonné, vous avez sans doute tort. Les accès aux machines industrielles pour des raisons de maintenance, les mises à jour à distance des outils ICS, ou encore l’actualisation distante des firmware sont autant de passerelles potentielles vers l’environnement OT. Il s’agit d’en être conscient.

Mais le point essentiel est que les réseaux IT et OT convergent, exposant ainsi l’OT aux attaques ciblant l’univers IT. Associer les données et les outils de production permet aux entreprises de réagir plus rapidement aux changements du marché et de gérer à distance les systèmes. Mais ces avantages métiers ne sont pas exempts de risques. De nouveaux malware, conçus sur mesure pour les équipements OT utilisent des techniques de reconnaissance et de fourniture de malware qui exploitent les environnements IT et leurs connexions réseau pour accéder aux systèmes de contrôle industriels.

À titre d’exemple, le malware Trisis/Triton présente des composants qui ciblent directement un système de sécurité et de monitoring utilisé par des usines pétrochimiques. Cette attaque est spécifique à l’univers OT, mais les processus et techniques utilisées pour pénétrer au cœur du système de sécurité reprennent des techniques de reconnaissance et d’infection spécifiques aux cyberattaques IT.

La convergence IT/OT est une réalité

En dépit du renforcement des risques sur les réseaux OT, la convergence IT/OT devient une réalité, car pertinente d’un point de vue opérationnel. Les équipes opérationnelles déploient des systèmes de contrôle sophistiqués qui utilisent des logiciels et bases de données s’exécutant sur des systèmes IT. Les objets connectés à l’instar des thermostats et valves Wi-Fi peuvent être surveillés et contrôlés à distance via l’infrastructure IT, mais les directions financières n’apprécient guère les coûts associés aux réseaux et aux équipes distincts nécessaires pour les gérer.

La convergence des univers IT et OT constitue un levier d’efficacité pour les processus et les métiers. Cette convergence qui se concrétise est également un facteur de cyber-risques.

En premier lieu, cette convergence étend ce qu’on appelle la surface d’attaque digitale : les hackers peuvent cibler davantage de dispositifs. Le nombre de serveurs web, de sites distants, de télétravailleurs et d’objets connectés progresse fortement et chacune de ces composantes est une passerelle potentielle vers le réseau IT et, au final, vers l’environnement OT. Parallèlement, nombre de systèmes OT actuels connectés aux réseaux industriels sont susceptibles d’être des systèmes historiques et sensibles, plus simples à être piratés.

Enfin, notons que les menaces sont de plus en plus sophistiquées. À l’instar des entreprises qui opèrent leur transformation digitale et développent des logiciels particulièrement versatiles, les assaillants reprennent ces techniques à leur compte pour créer des malware complexes et polymorphes. Leurs attaques s’adossent à un large panel de mécanismes pour infiltrer les environnements IT et OT, en contournant les outils de sécurité en place.
Précisément, sur le volet des outils de sécurité, il en existe tellement que gérer les menaces est devenu quelque part plus complexe que jamais. Différentes enquêtes indiquent que la plupart des entreprises de taille moyenne à grande disposent de 30 à 90 outils différents, en provenance de divers constructeurs. Elles disposent également de consoles de gestion devant être pilotées par des professionnels formés. Dans de trop nombreux cas, les équipes de sécurité n’ont pas le temps nécessaire pour gérer ces multiples consoles, ce qui est source de confusion. Et c’est précisément cette confusion qui permet aux cybermenaces de passer inaperçues.

Enfin, les réglementations qui s’appliquent aux piratages et à la protection des données personnelles sont des leviers supplémentaires de complexité pour les responsables IT et OT. Des normes et réglementations comme PCI-DSS (Payment Card Industry Data Security Specification), le RGPD (General Data Protection Regulation) ou le framework NIST (National Institute of Standards and Technology) doivent être prises en compte et appliquées par les entreprises. Il existe également des normes et réglementations spécifiques à des secteurs d’activité (ISO et ANSI notamment) qui encadrent la façon dont la sécurité doit être déployée, ainsi que le périmètre de déploiement.