Dans son bilan de l’année écoulée, le centre d’alerte et de réaction aux attaques informatiques (CERT-IST) décrit les principales attaques, les vulnérabilités, montre l’impact de la guerre Russie-Etats-Unis, pointe la menace Scada contre les SI industriels ou encore les attaques des chaînes d’approvisionnement. Seul constat positif, la baisse du nombre d’attaques de ransomwares en début d’année mais cette éclaircie a été vite occultée par la reprise des incidents en septembre 2022.
Point saillant, le développement du télétravail et du cloud a favorisé les Info-Stealer, à savoir les outils malveillants qui volent les données d’authentification sur le poste de la victime (mot de passe sauvegardés, cookies de session, etc.). Après avoir acheté ces identifiants sur le darkweb, sur des sites tels que Bot-Shop ou Log-Shop, le pirate peut accéder à un VPN ou à un service cloud.
Autre menace découverte en 2022, le toolkit d’attaque PIPEDREAM qui a frappé les d’installations industrielles. Ce type d’attaque peut contourner le cloisonnement des réseaux informatiques industriels. Le malware récent dénommé OT:ICEFALL est conçu pour s’en prendre aux pipelines de transport gazier, aux turbines éoliennes et aux chaines de fabrication.
Les intrusions malveillantes visant la chaine des fournisseurs reste très présente. CERT-IST les décline en 3 catégories.
D’abord les attaques via les MSP (Services managés) pour obtenir un accès au réseau de l’entreprise. Ensuite, celles qui visent d’autres prestataires de service que les MSP. Enfin, les piratages via des applications ou des matériels compromis.
Ne pas désarmer face aux risques cyber
Golden SAML qui permet l’accès à des ressources protégées par des agents SAML comme Azure, AWS, vSphere, Okta, Salesforce, etc.) avec des privilèges élevés, OAuth le protocole libre d’accès aux données personnels d’utilisateurs de services, l’infrastructure de clé publiques PKI, autant de points d’entrée susceptibles d’êtres détournés et compromis. Face aux multiples risques, les solutions sont bien connues des grands groupes mais moins des PME et TPE.Basiquement, il faut prévenir les attaques par ransomware avec les outils adéquats, mettre en place les actions de remédiation et activer un plan de continuité de toutes les opérations de l’entreprise.
En deuxième lieu, il faut prendre en compte les attaques via les chaînes d’approvisionnement, en particulier en échangeant avec les fournisseurs de l’entreprise et en veillant à la sécurité du développement logiciel, notamment les logiciels libres.
Au final, il s’agit de continuer à sécuriser les systèmes industriels Scada (contrôle et d’acquisition de données en temps réel à grande échelle) et l’OT (Operational technology) qui concerne le contrôle des équipements.
Dans tous les cas, la pléthore d’attaques et de vulnérabilités exige une veille permanente sur les menaces.