Selon le cabinet Gartner, d'ici 2025, les cyberattaquants disposeront d'environnements technologiques opérationnels (OT) armés qui pourraient entrainer des blessures, voire des morts.
Les attaques contre les technologies opérationnelles sont devenues plus courantes. L’OT regroupe l'utilisation de matériel et de logiciels pour surveiller et contrôler les processus physiques, les dispositifs et les infrastructures.
Les systèmes de technologie opérationnelle sont présents dans un grand nombre de secteurs à forte intensité d'actifs et accomplissent une grande variété de tâches allant de la surveillance des infrastructures critiques (IC) au contrôle des robots dans les ateliers de fabrication.
L’OT est utilisée dans de nombreux secteurs, notamment la fabrication, le pétrole et le gaz, la production et la distribution d'électricité, l'aviation, le transport maritime, le transport ferroviaire et les services publics. Autant de secteurs très sensibles…
Comme d’autres menaces, les cyberattaques visant les OT ont évolué. Elles sont également passées de la perturbation immédiate des processus, comme l'arrêt d'une usine, à la compromission de l'intégrité des environnements industriels avec l'intention de causer des dommages physiques.
D'autres événements récents, comme l'attaque par ransomware de Colonial Pipeline, ont mis en évidence la nécessité de disposer de réseaux correctement segmentés pour l'informatique et l'OT.
"Dans les environnements opérationnels, les responsables de la sécurité et de la gestion des risques devraient se préoccuper davantage des dangers réels pour les humains et l'environnement, plutôt que du vol d'informations", a déclaré Wam Voster, directeur de recherche senior chez Gartner.
"Les enquêtes menées auprès des clients de Gartner révèlent que les organisations des secteurs à forte intensité d'actifs tels que la fabrication, les ressources et les services publics peinent à définir des cadres de contrôle appropriés."
Selon Gartner, les incidents de sécurité dans les OT et autres systèmes cyber-physiques (CPS-Cyber-physical systems) ont trois motivations principales :
- le préjudice réel
- le vandalisme commercial (réduction de la production)
- le vandalisme de réputation (rendre un fabricant peu fiable ou peu digne de confiance).
Gartner prévoit que l'impact financier des attaques de CPS entrainant des pertes humaines dépassera 50 milliards de dollars d'ici 2023. Même sans tenir compte de la valeur de la vie humaine, les couts pour les organisations en termes d'indemnisation, de litiges, d'assurance, d'amendes réglementaires et de perte de réputation seront importants.
Gartner prévoit également que la plupart des PDG seront personnellement responsables de ces incidents. Le cabinet recommande aux organisations d'adopter un cadre de 10 contrôles de sécurité pour améliorer la politique de sécurité : définition des rôles et responsabilités, formation et sensibilisation appropriées, la mise en œuvre et des tests de réponse aux incidents la sauvegarde, la restauration et la reprise après sinistre…
Les dépenses visant à renforcer la sécurité des systèmes critiques devraient donc augmenter.