« Peu mieux faire », tel pourrait être la conclusion du bulletin cyber adressé aux industriels par Nozomi Networks. Ce spécialiste de la cybersécurité industrielle et de la visibilité opérationnelle se réfère au rapport SANS « The State of OT/ICS Cybersecurity in 2022 and Beyond ».
Côté positif, la posture sécuritaire des entreprises a considérablement gagné en maturité par rapport à l’année dernière. Côté négatif, plus d’un tiers (35 %, par rapport à 48 % l’an passé) des entreprises interrogées ne savent pas si leur organisation a été compromise.
Seul un quart se dit confiants à l’idée qu’elle n’avait pas connu d’incident (une proportion deux fois plus importante que l’année précédente). Mais 62 % des répondants ont qualifié le degré d’exposition au risque de leur environnement OT d’élevé ou de très élevé (en légère baisse par rapport aux 69,8 % en 2021).
Technologies opérationnelles dans le viseur
« Au cours de l’année écoulée, les chercheurs de Nozomi Networks et la communauté des experts en matière de cybersécurité industrielle (ICS) ont assisté à des attaques qui, à l’image d’Incontroller, ne se contentent plus de viser des cibles traditionnelles au sein des réseaux d’entreprise, mais se concentrent directement sur les technologies opérationnelles (OT), » déclare Andrea Carcano, co-fondateur et CPO de Nozomi Networks.Si le nombre de personnes interrogées qui déclarent avoir connu une incursion au sein de leurs systèmes au cours des 12 derniers mois a chuté jusqu’à atteindre 10,5 % (contre 15 % en 2021), 35 % d’entre elles considèrent que le poste de travail d’ingénierie a joué le rôle de vecteur d’infection initial (une proportion qui a presque doublé par rapport aux 18,4 % de l’année dernière).
En général, les compromissions des systèmes IT demeurent le vecteur d’accès majeur (41 %), suivies par la réplication via des médias amovibles (37 %).Les ransomwares et la cybercriminalité à visée financière arrivent tout en haut de la liste des vecteurs de menace (39,7 %), suivis par les attaques sponsorisées par des nations-Etats (38,8 %).
De plus en plus d’audits des réseaux d’OT
Les attaques criminelles qui n’emploient pas de ransomwares arrivent en troisième position (citées par 32,1 % des sondés), suivies de près par les risques liés à la chaîne d’approvisionnement matérielle ou logicielle (30,4 %).Face à cette situation inquiétante, les postures de cybersécurité industrielle gagnent en maturité puisque 66 % des répondants affirment que leur budget relatif aux systèmes de commande (ICS) a augmenté au cours des deux dernières années (une hausse de 47 % par rapport à l’année dernière).
Un peu plus de la moitié détectent désormais des compromissions au cours des 24 premières heures suivant le début d’un incident (contre 51 % en 2021). La majorité d’entre eux (69 %) déclarent que le passage de la détection à la gestion des menaces s’opère en 6 à 24 heures.
Mais surtout, 87,5 % des entreprises interrogées ont mené un audit de sécurité sur leurs systèmes ou leurs réseaux d’OT ou de commande au cours de l’année écoulée (en hausse par rapport aux 75,9 % de l’année dernière) – près d’un tiers (29 %) disposent désormais d’un programme d’évaluation continue.
La majorité (83 %) monitore la sécurité de leurs systèmes OT. Parmi ceux-ci, 41 % exploitent un SOC OT dédié et près de 80 % des entreprises interrogées se sont dotées de membres du personnel dont les tâches se concentrent sur les opérations de cybersécurité industrielle, par rapport à 50 % en 2021.
Cette enquête montre que de plus en plus d’entreprises exploitent des solutions de manière proactive. Mais, il reste encore du chemin à parcourir.