71 % des vulnérabilités découvertes au cours du premier semestre 2021 sont classées comme élevées ou critiques. Un attaquant pourrait donc s'attendre à des succès répétés dans diverses conditions, découvre-t-on dans un rapport de Claroty.
Des attaques de grande ampleur, comme celles contre JBS, Colonial Pipeline et la station d'épuration d'Oldsmar, en Floride, ont montré que non seulement il y avait des impacts évidents sur la disponibilité des systèmes et la prestation de services, mais que l'état de résilience des entreprises industrielles était exposé.
Spécialisée dans la cybersécurité industrielle, Claroty a publié un rapport sur l'état des vulnérabilités des systèmes de contrôle industriel (ou Industrial control systems) au premier semestre 2021. Sa lecture révèle plusieurs problèmes graves qui devraient mettre en alerte toute entreprise possédant un tel système :
- 74 % des vulnérabilités ne nécessitent aucun compte privilège pour être exécutées 66 % ne nécessitent aucune interaction avec l'utilisateur
- 61 % sont exploitables à distance
- 65 % peuvent entraîner un déni total d'accès aux services
- 26 % n'ont pas été corrigées ou seulement partiellement.
Si la majorité (60 %) des vulnérabilités signalées du côté des logiciels ont été corrigées ou remédiées, « près de 62 % des failles dans les microprogrammes n'ont fait l'objet d'aucun correctif ou d'un correctif partiel, et la plupart de ces bugs concernaient des produits déployés au niveau 1 du modèle Purdue, le niveau de contrôle de base », lit-on dans ce rapport.
Segmentation
Avec des niveaux de remédiation inférieurs à ce qui pourrait être confortable à la fois du côté des logiciels et des micrologiciels, les organisations ayant des réseaux OT et ICS doivent prendre des mesures appropriées pour protéger ces systèmes contre les cyberattaquants, d'autant plus que le matériel OT et ICS existant est connecté à l'Internet, ce qui n'a pas été pris en compte lorsque le matériel plus ancien a été développé.
Claroty recommande de prendre des mesures dans deux domaines : la segmentation du réseau et la protection des connexions d'accès à distance.
Les réseaux devraient être segmentés et configurés pour permettre une gestion à distance facile. Chaque zone segmentée devrait avoir des politiques spécifiques adaptées aux machines qui s'y trouvent et l'IT devrait se réserver le droit d'inspecter tout le trafic, en particulier sur les protocoles spécifiques aux OT.
Permissions granulaires
En ce qui concerne la protection des connexions à distance, Claroty recommande aux entreprises de maintenir les VPN à jour, de surveiller les connexions à distance (en particulier celles vers les réseaux ICS et OT), d'appliquer des permissions granulaires et des contrôles d'administration, et d'exiger l'utilisation d'une authentification multifactorielle.
« Alors que de plus en plus d'entreprises modernisent leurs processus industriels en les connectant au cloud, elles donnent également aux acteurs de la menace plus de moyens de compromettre les opérations industrielles par des attaques de ransomware et d'extorsion », a déclaré Amir Preminger, vice-président de la recherche chez Claroty.
