Les systèmes de contrôle industriel font régulièrement l’objet de cyberattaque. En décembre 2015, le réseau électrique ukrainien avait été touché et les récents rapports de FireEye iSIGHT et Symantec montrent que le volume des attaques qui ciblent les environnements ICS (Industrial Control Systems) est croissant.

Les secteurs de l’énergie et des transports ne font pas exception. Le but pour les cybercriminels n’étant pas de causer accidentellement un problème de masse en coupant involontairement des réseaux électriques entiers, mais de disposer d’accès en vue de mener de futures attaques de grande ampleur, comme interrompre un service entier, voire même une usine.

Pour mieux se protéger et se défendre, les organisations doivent donc rassembler tous les renseignements possibles sur les attaques contre des ICS, des plus anciennes aux plus récentes, selon trois niveaux d’information :

Ses propres informations 

Il s’agit de comprendre quelle(s) partie(s) de son infrastructure ICS est ciblée et quelles sont les cibles réelles au sein de son organisation, ou encore comment les cybercriminels agissent selon les personnes, les processus et la technologie en place. La Threat Intelligence permet de prendre les informations sur les techniques de ciblage des cyber-attaquants, plusieurs rapports récents, comme celui de FireEye iSIGHT établit que les cybercriminels ciblent principalement le protocole SMB et utilisent le phishing pour récupérer les identifiants des employés. ensuite il faut superposer ces informations à ce que l’on connaît de son environnement afin d’étudier la manière dont ces éléments se croisent pour mieux comprendre ses propres faiblesses. Les entreprises peuvent ainsi identifier les zones sur lesquelles il est primordial de se concentrer pour la protection et la surveillance.

Comment l’adversaire cible une organisation ?

Cela peut facilement se confondre avec la question précédente, mais cela en dit plus long sur la compréhension du fonctionnement de l’adversaire. Tout comme nous avons des schémas opérationnels à mettre en œuvre et à défendre, l’adversaire a des processus pour atteindre ses objectifs. Il s’agit de connaître ces processus et de comprendre comment ils peuvent affecter les opérations de l’entreprise. Si l’adversaire obtient un accès initial par du spear phishing, une surveillance attentive des emails entrants devra être mise en place rapidement. S’ils rassemblent des informations d’identification par le biais de techniques d’attaques telles que les watering hole ou attaque par point d’eau, le proxy pourra filtrer ces sites ou surveiller les activités anormales. La Threat Intelligence permet de comprendre comment l’adversaire peut se déplacer dans le réseau.

Que sait-on de son adversaire ?

Remonter physiquement jusqu’à l’adversaire demeure très compliqué. L’objectif ici est donc de comprendre l’infrastructure et les capacités de son adversaire. Bon nombre des récentes attaques ont été lancées en s’appuyant sur des outils open source utilisés tels quels ou adaptés à une solution « fait-maison ». Le renseignement sur la menace informe-t-il sur les outils et l’infrastructure de l’adversaire ? Savons-nous ce qu’il faut chercher et, si l’entreprise est victime d’une brèche, comment en déterminer la portée et y remédier ? En plus de savoir si son environnement ICS utilise le protocole SMB, il est important de comprendre comment celui-ci est utilisé et comment l’adversaire l’utilise pour pouvoir comprendre par où il est passé et où il pourrait être.

Les systèmes industriels sont de plus en plus ciblés et sont désormais utilisés dans de nombreuses campagnes de cyber espionnage. Leur sécurité doit être considérée comme une priorité tant les enjeux peuvent être cruciaux, voire vitaux. Le renseignement sur les menaces permet de tirer parti de ce que l’on connait de ce type d’attaques afin de répondre aux trois questions clés ci-dessus et de comprendre réellement la menace pour enfin se défendre de manière adéquate.

__________
Jonathan Couch est Senior Vice-President Stratégie de ThreatQuotient