Le nouveau rapport de F-Secure souligne que, face à des cyber menaces toujours plus évoluées, les entreprises continuent d'utiliser des systèmes et technologies obsolètes afin de réaliser des économies.
« À la guerre, tout est affaire de rapidité. On profite de ce que l’autre n’est pas prêt, on surgit à l’improviste. » Tous les responsables des secteurs de l’énergie en France et dans le monde devraient retenir ce conseil de Sun Tzu (extrait de « L’art de la guerre »).
Car, manifestement, ce secteur n’est pas bien armé contre les cyberattaques et sous-estime le risque. « Dans ce secteur, les systèmes de contrôle industriel (Industrial Control Systems - ICS) sont interconnectés. Les vulnérabilités sont, de ce fait, plus nombreuses, et les cyber attaques passent souvent inaperçues pendant un certain temps », constate Fsecure dans son dernier rapport.
Il n’est donc pas étonnant que les pirates informatiques ciblent désormais les infrastructures stratégiques et les réseaux de distribution d'énergie. « Compte tenu de leur nature même, les infrastructures critiques constituent une cible intéressante pour des États-nations étrangers, même en temps de paix », explique Sami Ruohonen, Labs Threat Researcher chez F-Secure, entreprise finlandaise spécialisée en cyber sécurité.
Il y a quelques années, le général Keith Alexander de la NSA indiquait que « 41 % des cyberattaques ciblent les entreprises de l’énergie, particulièrement le pétrole et le gaz ».
APT et spear phishing
La cible présente des faiblesses connues depuis des années. En 2016, une étude publiée par le think tank britannique Chatham House avait révélé que de nombreuses centrales étaient vulnérables. Cette étude avait aussi mis en évidence l’absence de culture de la cyber sécurité dans l’industrie et le manque criant de budgets dédiés à cette problématique au niveau mondial.
Fsecure arrive au même constat : encore trop de composants opérationnels ne reposent pas sur des protocoles de sécurité (tels que l'authentification).
Ce rapport présente neuf types d'attaques (et les groupes malveillants qui les utilisent) ciblant le secteur de l'énergie. Le spear phishing constitue la technique d'attaque initiale la plus courante visant la chaîne de distribution. Cette primo-infection permet ensuite d’entamer une attaque ciblée. En l’occurrence, une APT (Advanced Persistent Threat), c’est-à-dire des attaques prolongées et souvent inaperçues au niveau du Système d’Information.
Détecter au plus tôt
Rappelons que le spear phishing (email ciblant une personne spécifique) repose généralement sur une usurpation de l’identité de l’expéditeur, et procède par ingénierie sociale forte afin de lier l’objet du courriel et le corps du message à l’activité de la personne ou de l’organisation ciblée. D’où son efficacité puisque cette technique contourne les solutions de sécurité installées sur le poste de travail...
Les intrusions informatiques deviennent inévitables. Comme dans d’autres secteurs, l’énergie doit déployer de nouvelles solutions dont un EDR (Endpoint Detection Response) afin de détecter au plus tôt les tentatives d’intrusion et les comportements suspects sur le SI.
L’EDR répond en effet à trois besoins majeurs des équipes de sécurité des entreprises : la détection, l’investigation et la remédiation.
Source : Fsecure