Selon des chercheurs des entreprises ESET et Dragos Security, dans la nuit du 17 au 18 décembre 2016, une centrale électrique de Kiev a été victime d’une panne électrique d’une heure causée par un virus informatique – Crash Override/Industroyer – lié à la Russie et capable de s’en prendre à de nombreuses infrastructures partout dans le monde. Un constat qui laisse présager le pire quant aux types de dégâts que de telles attaques peuvent causer.

Ces nouvelles découvertes confirment ce que les experts ont identifié depuis un moment, à savoir que la menace potentielle qui cible les infrastructures critiques, tels que les systèmes de contrôles industriels (ICS) et Opérateurs d’Importance Vitale (OIV), est bien réelle, et qu’il est indispensable que ces organisations soient préparées pour pallier au pire.

La principale différence entre l’attaque perpétrée en Ukraine fin 2016 et celle de 2015 repose sur l’évolutivité : en raison des capacités d’adaptabilité et d’automatisation du malware Industroyer, ces brèches de sécurité qui peuvent désormais être exécutées beaucoup plus rapidement, nécessitent moins de préparation et de main-d’œuvre. Cela signifie donc que les mesures préventives et proactives constituent un facteur clé pour permettre aux organisations de gérer les menaces à venir sur leurs infrastructures critiques et limiter leur impact catastrophique potentiel.

Les infrastructures critiques étaient vulnérabilisées par la croissance de la connectivité entre les systèmes de contrôle industriels (ICS) dans les environnements opérationnels et informatiques. Pendant des décennies, ces systèmes industriels ont en effet été isolés de l’informatique et d’internet. Il y a donc actuellement un risque accru d’intrusion des acteurs malveillants et malwares. A présent, les menaces dynamiques comme Crash Override renforcent la nécessité d’utiliser les technologies pour isoler ces systèmes et empêcher l’attaquant de s’introduire dans les réseaux informatiques et technologies opérationnelles (OT), ainsi que d’exploiter les fonctions de contrôle à distance.

De nombreuses bonnes pratiques propres au secteur de l’industrie sont essentielles pour établir une posture de sécurité proactive et qui raisonne. Parmi ces règles de cyber-hygiène de base, on retrouve par exemple : la sécurisation proactive de toutes les informations privilégiées et des ICS, la modification des mots de passe par défaut, la rotation des identifiants administrateurs après chaque utilisation, ainsi que le suivi de l’utilisation et du comportement des comptes à privilèges pour détecter des activités dissonantes, ou au contraire plus bruyantes que les autres. En outre, pour se défendre contre les malwares et les ransomwares, les organisations doivent mettre en œuvre une combinaison du moindre privilège et du contrôle d’applications pour réduire la surface d’attaque et bloquer la progression du logiciel malveillant. Cela comprend la possibilité de gérer automatiquement les privilèges d’administrateur local, ainsi que d’autoriser et de contrôler des applications sur les points d’accès et sur les serveurs critiques.

Les cyber-capacités offensives mises en œuvre pour attaquer le réseau électrique qui ont été découvertes à travers la recherche de Crash Override doivent être prises très au sérieux et devraient induire une action immédiate des industries. En suivant les meilleures pratiques de sécurité des comptes utilisateurs, les organisations peuvent atténuer les cyber-risques sérieux associés aux environnements ICS non sécurisés et aux infrastructures critiques afin de se prémunir d’une catastrophe de grande ampleur.

 

___________
Jean-Christophe Vitu est Pre-Sales Director – West & South Europe chez CyberArk