Selon le rapport Vulnerability and Threat Trends de Skybox Security, les attaques contre l’OT poursuivent leur progression, avec une augmentation de 10 % entre 2017 et 2018. La détection des comportements anormaux des équipements OT doit dorénavant être prise en compte.

Les réseaux de technologie opérationnelle (OT) sont devenus incontournables. Ils jouent un rôle crucial dans la fabrication, la défense, les services d’urgence, l’alimentation et l’agriculture, les systèmes financiers, les infrastructures critiques…

Ils exécutent souvent des tâches simples, mais essentielles, telles que la surveillance d’une vanne et son arrêt lorsqu’une certaine valeur est déclenchée. Par conséquent, ils peuvent assurer leurs tâches avec peu d’évolutions pendant des années.

Cette stabilité représente aussi un défaut. Ils fonctionnent parfois sur des systèmes d’exploitation vieillissants et du matériel obsolète à l’aide d’applications maison. Par ailleurs, des OT sont maintenant connectés à des réseaux informatiques d’entreprise. Un contexte favorable aux cyberattaques…

Les Français s’attendent à ces attaques

Ces solutions sont en effet devenues la cible des pirates comme le montre l’étude de Skybox Security. Elle arrive aux mêmes conclusions que Cisco qui avait publié une étude en février 2018. Un tiers des répondants français (pour la plupart des RSSI) s’attendaient à ce type d’attaques au-delà du secteur IT. Et plus de 40 % en avaient déjà constaté…

Le nombre de recommandations publiées par l’ICS-CERT (Industrial Control Systems Cyber Emergency Response Team), organisme de contrôle dédié aux professionnels de la sécurité des OT, a légèrement augmenté, pour passer de 174 en 2017 à 192 en 2018.

Shamoon, le retour

« L’attaque WannaCry touchant Taiwan Semiconductor Manufacturing Company (TSMC) en août 2018 illustre les perturbations que les attaques perpétrées sur les réseaux OT peuvent causer », rappelle Skybox Security. Plus de 10 000 ordinateurs et outils de fabrication non protégés dans plusieurs sites de fonderie de TSMC avaient été touchés…

Autre exemple avec Shamoon (également connu sous le nom de Disttrack et apparu en 2012), un code malveillant efface les disques durs. En décembre dernier, le géant pétrolier Saipem a été la première victime signalée de cette attaque. Shamoon a supprimé l’ensemble des données stockées sur plusieurs centaines d’ordinateurs de Saipem en Arabie Saoudite, au Koweït, en Inde et en Écosse. Il les a remplacés par des données aléatoires.

Cette hausse modérée de 10 % pourrait être plus forte cette année étant donné « la lente amélioration de la sécurité des OT comparée à celle de la sécurité informatique », prévient Skybox Security.

Source : Skybox.com