Selon un rapport de Claroty, le nombre de vulnérabilités ICS signalées a bondi de 110 % au cours des quatre dernières années.
Des incidents cyber très médiatisés au second semestre 2021, comme le malware Tardigrade ou la vulnérabilité Log4j, montrent la fragilité de ces réseaux et soulignent la nécessité d’une collaboration au sein de la communauté de chercheurs en sécurité pour identifier les nouvelles vulnérabilités et les rendre publiques.
Car les systèmes de contrôle industriel (ICS) sont fragiles d’un point de vue cyber. C’est ce qui ressort de ce rapport qui s’appuie sur une analyse complète des vulnérabilités ICS mises au jour par Team82.
Cette quatrième édition s’appuie également sur des sources ouvertes fiables telles que la base de données nationale américaine des vulnérabilités (NVD, National Vulnerability Database), l’Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), la plate-forme CERT@VDE, le MITRE, et les fournisseurs de solutions d’automatisation industrielle Schneider Electric et Siemens.
Un bond de 110 %
Ce rapport semestriel de l’équipe Team82 de Claroty (spécialiste de la sécurité des systèmes cyberphysiques dans les environnements d’entreprise, industriels et de santé) révèle une explosion du nombre de vulnérabilités ICS divulguées.
Leur découverte a bondi de 110 % au cours des quatre dernières années, avec une augmentation de 25 % au second semestre 2021 par rapport aux six mois précédents.797 vulnérabilités ont été publiées au second semestre 2021, ce qui représente une augmentation de 25 % par rapport aux 637 dévoilées au premier semestre 2021.
Plus inquiétant, 70 % peuvent être exploitées avec succès sans privilèges spécifiques, et 64 % n’exigent aucune interaction de la part de l’utilisateur, d'où des risques d’infiltration.
Petite touche visant à tempérer légèrement cette menace, 87 % des vulnérabilités présentent un faible niveau de complexité. Elles ne requièrent pas de conditions particulières et un cybercriminel peut à coup sûr s’en servir pour parvenir à ses fins.
Quels sont les principaux risques ? Il s’agit de l’exécution de code à distance (53 % des vulnérabilités), suivie par le déni de service (42 %), le contournement des mécanismes de protection (37 %) et la possibilité pour les cybercriminels de lire les données des applications (33 %).
Nécessité d’avoir une visibilité complète
Mais toujours est-ce que ce sont autant de signes d’une sensibilité accrue au problème et d’une plus grande mobilisation des chercheurs en sécurité autour des environnements OT.
Un tiers des vulnérabilités divulguées concernent les actifs IoT, IoMT et informatiques. Cela signifie que les entreprises mettront en place une gestion convergée de la sécurité englobant OT, IT et IoT.
Les propriétaires et les exploitants d’actifs ont par conséquent besoin d’une visibilité complète sur leurs environnements pour pouvoir gérer les vulnérabilités et réduire leur exposition aux menaces.
La moitié des failles ont été divulguées par des entreprises tierces, et une majorité d’entre elles ont été identifiées par les chercheurs d’entreprises de cybersécurité, qui étendent désormais leurs recherches sur la sécurité informatique et IoT aux systèmes ICS. De plus, 55 nouveaux chercheurs ont signalé des vulnérabilités au second semestre 2021.
Le nombre de vulnérabilités divulguées par les services de recherche internes des entreprises a progressé de 76 % au cours des quatre dernières années. Cela traduit une évolution de l’industrie et une plus grande discipline dans la recherche sur les vulnérabilités, les entreprises allouant davantage de ressources à la sécurité de leurs produits.