La cybersécuirté dans l'industrie

Quels sont les nouveaux challenges cybersécurité auxquels sont confrontés les industriels et comment mitiger les risques.

Jusqu’à aujourd’hui, les industriels avaient deux plans de travail différents au niveau informatique. Le réseau informatique « classique », avec des serveurs et des postes de travail connectés à Internet ; et le réseau informatique de production, plus isolé avec des équipements spécifiques aux systèmes industriels, des machines rarement connectées avec l’extérieur et cantonnées à une liste de tâches spécifiques.

L’évolution des technologies ainsi que les méthodes de travail ont amené à connecter ces deux réseaux. La mise en place d’outils de gestion toujours plus connectés et les nouveaux usages amènent parfois à connecter les équipements industriels à Internet et au fameux cloud.

Ces nouvelles architectures de fonctionnement amènent automatiquement de nouveaux risques cyber pour les industries. En effet, ces réseaux traditionnellement isolés viennent élargir la surface d’attaque pour les pirates et font émerger de nouveaux types d’attaques, avec des conséquences potentiellement plus graves.


Exemple Ransomware

Les différents types d’attaques

Ces dernières années, nous faisons face à des attaques significatives ayant des objectifs différents.
L’attaque par ransomware est la plus populaire, elle consiste à chiffrer vos données afin de les rendre inaccessibles et vous demande de payer une rançon élevée pour les récupérer. 


Plus radical que le ransomware, le sabotage. De nombreuses cyber-attaques ciblant la plupart du temps des industriels vont simplement consister à mettre à plat le réseau de production ou des systèmes de sécurité

C’était le cas notamment de Wannacry en mai 2017 : l’attaque a touché plus de 300 000 machines dans plus de 150 pays par l’intermédiaire d’une vulnérabilité du système Windows. Plus récemment, en mai 2019, la société Picoty SA (spécialiste dans l’énergie pétrolière) s’est vu réclamer une rançon de 500 000 € après s’être fait compromettre 80% de ses données par un ransomware.

Plus radical que le ransomware, le sabotage. De nombreuses cyber-attaques ciblant la plupart du temps des industriels vont simplement consister à mettre à plat le réseau de production ou des systèmes de sécurité. En 2010, la célèbre attaque Stuxnet utilise un système de propagation par clé USB pour atteindre une cible précise : les systèmes industriels d’une centrale nucléaire en Iran. Cette attaque a beaucoup fait parler d’elle du fait de sa complexité, mais aussi par la prise conscience certaine de l’impact que peut avoir la cybercriminalité sur nos entreprises. Comme évoqué plus haut, plus besoin de clé USB pour atteindre un réseau industriel, on le constate notamment avec l’attaque NotPetya en juin 2017 utilisant la même méthode d’infection que Wannacry mais avec un but différent : détruire les données et le système. Un grand nombre d’entreprises ont été touchées par cette attaque causant des pertes d’argent considérables, notamment pour des entreprises françaises (Saint-Gobain, Auchan, SNCF).

L’attaque Trisis (ou Triton) a également fait parler d’elle fin 2017, celle-ci visait les automates de sécurité (SIS) assurant la sécurité des personnes pour des installations industrielles, un programme meurtrier. Cette attaque s’est propagée au travers d’une vulnérabilité d’un logiciel spécifique au système industriel utilisé.

Triton malware

Vecteurs d’attaques

Les attaques informatiques utilisent toujours au moins une faille pour pénétrer et infecter une machine. On distingue deux grandes catégories de vecteurs d’attaques. 

La plus connue est bien sûr la faille humaine. On parle souvent de phishing, le système est le même avec pour but d’abuser de la confiance de l’utilisateur en le faisant cliquer sur un lien malveillant au travers d’un mail, ou en lui faisant ouvrir une pièce jointe piégée. Souvent il s’agit d’un document Office ou d’un PDF (une fausse facture, un communiqué confidentiel…). Une charge malveillante sera ensuite téléchargée par le document piégé pour s’introduire sur la machine et commencer à faire son travail. L’utilisateur n’aura bien sûr pas conscience de cela, à moins qu’un message lui informe après plusieurs minutes qu’il doive payer une rançon pour récupérer ses données qui ont été prises en otage par le programme malveillant.

Le deuxième vecteur d’attaque, moins connus et plus sournois, ne nécessite pas l’intervention d’un utilisateur. Il s’agit de l’exploitation de vulnérabilité. Une vulnérabilité est un bug logiciel permettant de détourner le fonctionnement normal d’un programme. Ce vecteur peut parfois être utilisé directement depuis Internet par l’attaquant, c’est là qu’il est le plus dévastateur. Sans que vous le sachiez et sans la moindre interaction avec l’utilisateur, la machine peut être compromise et se voir injecter une charge malveillante. De plus, comme nous l’avons vu précédemment, la connexion à Internet des réseaux industriels décuple la surface d’attaque. Le manque de mises à jour des logiciels favorise de plus en plus ce type d’intrusion, c’est pourquoi il est important de maîtriser à la fois son parc matériel mais aussi logiciel, afin d’assurer la mise à jour de ces derniers pour corriger les vulnérabilités connues.

Conclusion

Comme expliqué précédemment, il est important de sensibiliser les employés et disposer des bons outils pour identifier les vulnérabilités connues et nouvelles afin d’apporter les mises à jour nécessaires.

Ces recommandations permettent de limiter la surface d’attaque, mais ne rendent pas invulnérable. Un employé malintentionné, une vulnérabilité inconnue ou encore une exfiltration de données par un logiciel de confiance restent des menaces importantes nécessitant des outils de sécurité plus avancés. Comme nous le prouvent les attaques évoquées, les antivirus cantonnés à la détection de fichiers malveillants sont aujourd’hui obsolètes pour faire face à ces menaces complexes. Il est nécessaire de se tourner vers de nouvelles technologies de rupture, plus préventives et capables d’anticiper les comportements anormaux.

Nucleon Smart Endpoint est une solution de sécurité française innovante permettant de gérer la sécurité de manière transverse à base de durcissement et machine learning pour protéger les données importantes.


Sebastien Guisnet

"Riche de plusieurs années d'expérience professionnelle mais avant tout passionné, mon parcours a toujours été orienté vers l'informatique et plus précisément la cybersécurité et l'analyse de logiciels malveillants. Mon appétence pour le sujet ne cesse de croitre à l'image de mes connaissances et des nouvelles technologies. D'abord spécialisé en contournement des systèmes de sécurité et suite à plusieurs années de tests d'intrusion, mes projets de recherche se sont logiquement orientés vers le machine learning et solutions de protection de type endpoint."

Sébastien
Chercheur en cybersécurité
Address

6 Rue Auguste Comte
92170 Vanves

Contacts

team@nucleon-security.com
+33 1 73 07 18 41
+33 1 73 07 18 42