les cyber-menaces visant les systèmes de contrôle
Transcription
les cyber-menaces visant les systèmes de contrôle
LES CYBER-MENACES VISANT LES SYSTÈMES DE CONTRÔLE INDUSTRIELS VOUS N'AVEZ PAS À ÊTRE UNE CIBLE POUR DEVENIR UNE VICTIME #EnterpriseSec http://www.kaspersky.com/fr/entreprise-securite-it/ CYBER-MENACES VISANT LES SYSTÈMES DE CONTRÔLE INDUSTRIELS : VOUS N'AVEZ PAS À ÊTRE UNE CIBLE POUR DEVENIR UNE VICTIME RISQUES LIÉS À L'INFORMATISATION Ces dix dernières années, l'automatisation des systèmes industriels n'a cessé de s'intensifier. Les entreprises exigent des améliorations permanentes en matière d'efficacité des processus de production, renforçant ainsi continuellement la pénétration de l'informatique et de la connectivité aux systèmes ; les sites industriels sont connectés aux réseaux d'entreprise et sont fréquemment gérés à distance sur le réseau. Toutefois, outre les avantages qu'elles représentent, ces nouvelles technologies ont entrainé l'apparition de nouvelles menaces dans l'univers de l'automatisation industrielle auxquelles on ne s'attendait pas. Les systèmes de contrôle industriels (SCI) mis en place aujourd'hui ont été conçus pour fonctionner pendant des décennies et nombre d'entre eux ont été développés sans tenir compte de la sécurité informatique de manière sérieuse. Une panne de l'unité de production, l'erreur d'un opérateur ou d'un logiciel, ou une contamination accidentelle des postes de travail par un programme malveillant ou une attaque cyber-criminelle délibérée pourraient perturber la stabilité de fonctionnement des réseaux industriels actuels. Les principales causes d'incidents sur les réseaux industriels sont illustrées dans le graphique ci-dessous (données issues de securityincidents.net) : Malgré les avertissements d'experts, le concept de sécurité des systèmes SCI reposait, récemment encore, sur la conviction que l'isolation d'un réseau pouvait suffire à garantir une protection contre toutes les menaces. Ce concept a définitivement volé en éclat suite à Stuxnet, le ver informatique tristement célèbre de 50 Ko qui a pénétré un réseau isolé par le biais d'une clé USB, infecté des automates programmables industriels (PLC) et a neutralisé des centrifugeuses dans une centrale nucléaire en Iran. Attaques de programmes malveillants 35 % Erreur logicielle 23 % Erreur d'opérateurs 11 % Autres 12 % Pannes de composants SCADA 19 % UN RÉSEAU INDUSTRIEL ISOLÉ NE GARANTIT PLUS LA SÉCURITÉ D'UN SITE INDUSTRIEL, QU'IL S'AGISSE DE SÉCURITÉ INFORMATIQUE OU MATÉRIELLE. STUXNET N'EST PAS LE SEUL Stuxnet représente l'exemple le plus célèbre de la manière dont un programme malveillant peut s'avérer préjudiciable aux processus industriels mais il n'est pas le seul. Les études de Kaspersky Lab révèlent que de nombreux ordinateurs industriels sont infectés par des programmes malveillants ordinaires qui accèdent aux réseaux d'entreprise en empruntant des chemins différents. Le graphique ci-contre illustre les sources à partir desquelles le code malveillant pénètre les réseaux industriels (données fournies par securityincidents.net) : Appareils mobiles 4 % Interface HMI 8 % Wi-Fi 5 % Via des ports USB 3 % Via un accès distant 26 % Connexions Internet 9 % Sous-traitants externes 10 % Via des réseaux d'entreprise 35 % CYBER-MENACES VISANT LES SYSTÈMES DE CONTRÔLE INDUSTRIELS : VOUS N'AVEZ PAS À ÊTRE UNE CIBLE POUR DEVENIR UNE VICTIME Dans les réseaux industriels, des programmes malveillants courants peuvent provoquer des dommages plus importants que sur des ordinateurs professionnels ou domestiques. Par exemple, ils peuvent bloquer le fonctionnement d'applications stratégiques, générant ainsi une panne matérielle. Les conséquences éventuelles peuvent aller bien au-delà même des plans de nombreux auteurs de programmes malveillants. On a, par exemple, constaté de nouveaux cas lorsque le virus Sality a infecté les réseaux industriels. Sa dernière version reproduisait la faille d'exploitation liée à la vulnérabilité d'une clé USB exploitée également par Stuxnet. Bien que Sality ne contenait aucun code destructeur destiné aux automates programmables industriels, son activité a entrainé une charge processeur de 100 % sur les systèmes de contrôle industriels (systèmes SCADA) fonctionnant sous Windows. Citons également le vers Conficker qui a infecté un réseau industriel sur lequel Windows n'avait pas été mis à jour. Le ver envoie des millions de requêtes sur le réseau, perturbant ainsi le fonctionnement de l'ensemble du réseau industriel. Même des outils de conception assistée par ordinateur (CAO) peuvent être utilisés pour propager le programme malveillant. Par exemple, selon le cas connu, un programme malveillant écrit dans AutoLisp (AutoCAD) intégrait un code malveillant dans une image CAO. Lorsqu'on accédait à l'image, une destruction massive des données se produisait. Statistiques relatives aux temps d'inactivité résultant d'attaques de programmes malveillants dans des sites industriels (données issues de securityincidents.net) : > 24 heures 18 % < 4 heures 60 % 4 à 24 heures 22 % MÊME UNE INFECTION ACCIDENTELLE DE PROGRAMMES MALVEILLANTS PEUT ENTRAÎNER DES CONSÉQUENCES TRÈS GRAVES POUR UN RÉSEAU INDUSTRIEL. La fiabilité et la sécurité des processus industriels nécessitent une protection fiable de leurs systèmes SCI contre tous les dangers, y compris les cyber-menaces. DEUX EXTRÊMES Les systèmes de contrôle industriels ont pour principale mission de gérer la stabilité, la continuité et le fonctionnement adéquat d'un processus industriel. Toute entreprise industrielle se doit d'assurer le fonctionnement approprié et ininterrompu d'un processus industriel ,qu'il s'agisse, entre autres, de production d'énergie ou de traitement des eaux. Toute perturbation de ce processus peut se traduire par des pertes de profits, voire même la perte d'activités, la mort ou, dans certains cas, une catastrophe technologique. En matière de systèmes SCI, le principe couramment appliqué consiste à dire « S'il n'y a rien de cassé, il n'y a rien à réparer ». Cette théorie a bien fonctionné dans des environnements stables. Cependant, on ne peut pas qualifier de stables des environnements SCI qui font l'objet d'évolutions considérables. Les soustraitants se réservent la possibilité d'accéder à distance aux systèmes de contrôle industriels pour déployer des changements en temps réel, des mises à jour logicielles et de configurations ; l'utilisation non contrôlée d'appareils personnels et de supports amovibles complique davantage la situation. Pour répondre pleinement à cette problématique, les systèmes SCI doivent intégrer des procédures de sécurité caractéristiques des systèmes informatiques d'entreprises standards : audits, tests de détection des intrusions, analyses des vulnérabilités et formations destinées au personnel. Mais ces procédures ne sont, malheureusement, pas souvent mises en place. Un autre extrême consiste à conserver formellement de nombreux systèmes SCI commandés dans le même état durant de nombreuses années alors qu'ils sont utilisés. Les réglementations et normes strictes relatives aux entreprises interdisent de modifier un système après qu'il ait été certifié, même lorsqu'il s'agit de mises à jour du système d'exploitation ou du logiciel de sécurité. COMPTE TENU DES CARACTÉRISTIQUES SPÉCIFIQUES DES SYSTÈMES SCI, AUCUNE SOLUTION SIMPLE NE PEUT GARANTIR UNE PROTECTION COMPLÈTE CONTRE LES MENACES. CYBER-MENACES VISANT LES SYSTÈMES DE CONTRÔLE INDUSTRIELS : VOUS N'AVEZ PAS À ÊTRE UNE CIBLE POUR DEVENIR UNE VICTIME COMMENT ASSURER LA SÉCURITÉ DES SYSTÈMES DE CONTRÔLE INDUSTRIELS ? Kaspersky Lab adopte une approche globale axée sur les processus afin de garantir la cyber-sécurité des systèmes industriels. Notre concept de sécurité repose sur l'alliance de technologies de protection uniques qui n'affectent pas le processus industriel, et de plusieurs mesures organisationnelles pour assurer la sécurité informatique. L'approche de Kaspersky Lab permet de garantir la protection contre les programmes malveillants courants et les attaques ciblées sophistiquées. MESURES DE PROTECTION MESURES ORGANISATIONNELLES Aujourd'hui, Kaspersky Lab propose les technologies de protection suivantes qui ont été spécifiquement développées pour les environnements de systèmes SCI : Pour améliorer les niveaux de sécurité informatique et la stabilité des systèmes SCI, Kaspersky Lab propose les mesures suivantes : • Politique de blocage par défaut standard. Lorsque le blocage par défaut est activé, le système SCI fonctionne dans un environnement protégé n'autorisant que l'exécution des programmes nécessaires au fonctionnement du processus industriel. Toutes les applications inconnues et indésirables sont bloquées, y compris les programmes malveillants. Ainsi, un environnement sécurisé est créé imposant une charge minimale sur les ressources système. • Audit des ressources informatiques industrielles, des processus industriels s et des méthodes en place. • Protection proactive contre les programmes malveillants inconnus et protection automatique contre les failles d'exploitation. La solution technologique analyse des programmes exécutables, évaluant la sécurité de toutes les applications en contrôlant leurs activités pendant qu'elles fonctionnent. • La technologie de « contrôle des appareils » permet de gérer les appareils amovibles (appareils de stockage USB, modems GPRS, smartphones, cartes réseau USB) et crée des listes limitées d'appareils autorisés et d'utilisateurs pouvant y accéder. • Une console de sécurité informatique tout-en-un facilite la surveillance et le contrôle de toutes les solutions pour garantir la sécurité informatique. Grâce à cette console de gestion, les administrateurs peuvent installer, configurer et gérer la sécurité, et accéder à des rapports. • Modélisation des menaces destinée aux objets industriels spécifiques. • Déploiement d'outils pour assurer la sécurité informatique. • Formations du personnel permettant de réduire considérablement les facteurs humains en cas d'attaque. • Service d'enquête sur les incidents et d'élimination de leurs conséquences. • Recommandations sur le développement et la mise à jour des réglementations en matière de sécurité informatique industrielle. Grâce à cette approche, Kaspersky Lab collabore efficacement avec des grandes entreprises (notamment des organisations étatiques) dans le monde entier, déployant ainsi des projets liés à la sécurité des réseaux industriels. • Intégration à un SIEM (à l'aide de connecteurs spéciaux). Permet aux administrateurs d'exporter des informations relatives aux incidents de sécurité sur les nœuds protégés du réseau vers le système SIEM de l'entreprise. VOUS SOUHAITEZ AMÉLIORER LA SÉCURITÉ INFORMATIQUE DES SYSTÈMES DE CONTRÔLE INDUSTRIELS EN VOUS APPUYANT SUR KASPERSKY LAB ? CONTACTEZ-NOUS PAR E-MAIL À L'ADRESSE SUIVANTE : [email protected]. © 2014 Kaspersky Lab ZAO. Tous droits réservés. Les marques déposées et les marques de service appartiennent à leurs propriétaires respectifs. Windows est une marque déposée de Microsoft Corporation aux États-Unis et dans d'autres pays.