Le vrai point faible des infrastructures critiques n’est plus forcément le système industriel, mais l’identité qui ouvre la porte. Entre accès fournisseurs, comptes surdimensionnés et maintenance à distance, l’OT devient un terrain idéal pour des attaques à faible bruit et à fort impact. Voici pourquoi la sécurité OT est le nouveau champ de bataille…
Les opérateurs d’infrastructures critiques subissent une pression croissante de la part des hacktivistes, des cybercriminels et des acteurs étatiques qui exploitent les identités compromises, les comptes à privilèges excessifs et les failles de sécurité liées à l’accès à distance.
Les dirigeants fédéraux et étatiques accordent une importance primordiale à la prévention des interruptions de services essentiels : électricité, eau, urgences, transports, communications et santé. Les adversaires n’ont pas besoin de piratages spectaculaires, ils réussissent en exploitant des identités compromises, des comptes surprivilégiés et des accès distants vulnérables. L’intersection entre sécurité des identités et sécurité des technologies opérationnelles (OT) est devenue un enjeu crucial pour la résilience des infrastructures critiques. La CISA a fait du contrôle des identités et de la gouvernance des accès à distance des éléments fondamentaux de la protection nationale.
Les secteurs d’infrastructures critiques de la CISA : aperçu des risques
La CISA définit 16 secteurs d’infrastructures critiques vitaux pour la sécurité nationale. Presque tous les flux de travail opérationnels dépendent de l’identité (humaine, de service, de fournisseur et de machine) et des privilèges d’accès (droits d’administrateur, accès aux consoles, comptes d’urgence). Les principaux secteurs à risques sont les suivants :
* Chimique : disponibilité et intégrité aussi importantes que la confidentialité.
* Base industrielle de défense : cible privilégiée pour l’espionnage et la compromission des chaînes d’approvisionnement.
* Services d’urgence : une panne représente un risque immédiat pour la sécurité publique.
* Énergie : cible de perturbation majeure avec un accès distant étendu aux fournisseurs.
* Santé et santé publique : pression persistante des ransomwares sur la sécurité des patients.
* Informatique : l’identité est le plan de contrôle.
* Eau et eaux usées : systèmes OT vieillissants, équipes réduites, accès fournisseurs fréquents.
Pour les responsables étatiques et locaux, la leçon est claire : même sans posséder tous les actifs, ils autorisent les accès, gèrent les systèmes d’identité, les relations avec les fournisseurs et coordonnent la réponse aux incidents. La résilience fait partie intégrante de leur mission.
Pourquoi les adversaires ciblent-ils les infrastructures critiques maintenant ?
1) Les hacktivistes recherchent la perturbation et l’impact psychologique. Des groupes pro-russes ont mené des attaques opportunistes via des connexions VNC non sécurisées, ciblant les secteurs de l’eau et de l’énergie. Moins sophistiqués que les APT, leur ciblage crée néanmoins un risque réel de perturbations au mauvais endroit, au mauvais moment.
2) Les cybercriminels monétisent les temps d’arrêt. Les rançongiciels constituent une menace omniprésente pour la production, la santé, les administrations et la finance. Les groupes criminels ciblent les failles les plus faciles : identifiants volés, services exposés, accès fournisseurs non contrôlés, identités surprivilégiées.
3) Les États-nations se prépositionnent pour tirer profit des crises. Ils recherchent un accès légitime en apparence, durable et activable en cas de besoin, en se fondant dans les activités courantes. Les groupes étatiques iraniens et chinois ciblent directement les infrastructures critiques.
Combler le fossé : intégrer la sécurité des identités à la sécurité OT
Les recommandations sont claires : réduire la surface d’attaque, imposer une authentification forte, supprimer les privilèges permanents et garantir la traçabilité des activités à distance. Les attaquants exploitent de manière répétée les services distants et les comptes valides pour se déplacer latéralement aux points de convergence OT/IT.
Comment permettre les opérations à distance et le support des fournisseurs sans transformer les VPN, les serveurs de rebond et les comptes partagés en une « infrastructure de violation permanente » ?
Dans les environnements OT, le télétravail est indispensable. Les VPN traditionnels créent des failles persistantes ; les solutions ZTNA peinent à gérer automates et logiciels propriétaires. Une solution de gestion des accès distants privilégiés (PRA) répond à ce besoin : accès point à point aux réseaux OT isolés, connectivité sortante uniquement, enregistrement complet pour l’auditabilité, sans VPN.
Une approche axée sur les privilèges : visibilité, intelligence et protection
Les environnements OT reposent sur des opérateurs, fournisseurs et administrateurs qui accèdent aux systèmes critiques. Or les attaquants exploitent ces mêmes voies pour se faire passer pour des utilisateurs légitimes. Pour relever ce défi, une approche axée sur les privilèges s’impose, construite autour de trois résultats :
* Visibilité : pouvoir identifier qui dispose d’un accès privilégié, quelles ressources sont accessibles et quelles activités ont été réalisées lors de chaque session.
* Intelligence : analyser en continu les relations d’identité pour révéler les failles cachées : autorisations excessives, identifiants à risque et expositions que les attaquants exploitent.
* Protection : réduire l’exposition en appliquant le moindre privilège, des accès limités dans le temps et une gouvernance au niveau de la session.
________________________
Par Frédéric Bothin, Enterprise Account Manager chez BeyondTrust
puis