.png)
Pourquoi l'industrie doit sécuriser ses ressources IIoT contre les rançongiciels
Les rançongiciels ne constituent pas une nouvelle menace de sécurité. Il est apparu pour la première fois en 1989 et a été distribué via des disquettes.
Mais il a connu une seconde vie spectaculaire en tant que modèle commercial criminel moderne idéal : le détournement de ressources critiques dans des environnements industriels en échange d'une rançon.
Les claviers sont plus efficaces que les armes pour prendre en otage les infrastructures industrielles. Le problème ne fera qu'empirer avant que la sécurisation des actifs numériques ne soit spécifiquement considérée comme une priorité de cybersécurité dans les secteurs de la fabrication et des infrastructures critiques.
Un grand nombre d'attaques récentes de rançongiciels ont été dirigées contre les secteurs de la fabrication et des infrastructures critiques, ces secteurs étant traditionnellement axés sur la création d'actifs physiques.
Cependant, la plupart des industries manufacturières migrent rapidement un grand nombre de leurs plateformes informatiques et de leurs solutions d'accès à distance vers le cloud, exposant ainsi leurs systèmes de contrôle industriels et leurs capteurs d'usine à des vecteurs d'attaque provenant du cloud.
Les attaques de ransomware coûtent des millions de dollars au secteur manufacturier chaque année
Le secteur manufacturier peut traditionnellement se considérer comme largement à l'abri de la criminalité numérique. Mais ils se trompent.
21 pour cent des attaques par rançongiciel visent le secteur manufacturier, et le secteur paie le montant de rançon le plus élevé de tous les secteurs, avec une moyenne de 2 036 millions de dollars en 2021.
Il suffit à un hacker motivé de violer le code d'un fabricant sécurité du cloud outils et accédez à distance à des contrôleurs ou capteurs critiques (dispositifs IIoT) déployés en profondeur dans un environnement industriel ou industriel et désactivez-les. Cela entraîne des risques physiques très réels liés à l'intrusion numérique, obligeant la victime à choisir entre payer une rançon ou faire face aux conséquences de la désactivation des opérations.
La plupart des victimes décident que le paiement d'une rançon est l'option la moins onéreuse, ce qui coûte des millions aux entreprises de fabrication.
Les rançongiciels constituent une cible bien trop tentante pour les cybercriminels modernes, car ils constituent une garantie quasi certaine de gain financier. Ransomware en tant que service existe même sur le dark web, avec des contrats d'assistance et des services d'assistance pour aider les cybercriminels en herbe à choisir leur prochaine victime.
Et le déploiement d'un rançongiciel constitue souvent la dernière étape de l'intrusion du cybercriminel dans un environnement industriel. Ils recherchent d'abord des actifs critiques à désactiver, exposent la propriété intellectuelle et découvrent la couverture d'assurance cybersécurité de la victime visée pour fixer le prix de la rançon. Une fois ces informations extraites, la dernière étape consiste à prendre l'infrastructure en otage en échange de paiements, que la majorité des victimes choisissent de payer. C'est le rêve d'un cybercriminel qui se réalise.
Les attaques de rançongiciels contre le secteur manufacturier comportent des risques réels
Le secteur manufacturier s'est longtemps considéré comme étant largement hors du champ de la cybercriminalité. Si une chaîne industrielle d'usines produit de l'énergie, de l'acier, de la nourriture ou mène des opérations minières, par exemple, quel est son risque en termes de cybercriminalité ?
En réalité, le risque de cybercriminalité est élevé.
En 2015, il a été signalé qu'une aciérie en Allemagne avait connu ce qui était réclamé être le premier exemple de dommages physiques résultant d'une cyberattaque. Les cybercriminels ont réussi à accéder à distance à certains systèmes de contrôle critiques de l'usine qui étaient connectés à leur réseau informatique, et ceux-ci ont été désactivés. Les capteurs critiques n'ont donc pas pu surveiller les niveaux de chaleur dans l'usine, ce qui a gravement endommagé un haut fourneau car ces capteurs ne l'arrêtaient pas automatiquement.
Le monde physique a soudainement été exposé à des risques purement numériques, et depuis lors, ce fait n'est pas passé inaperçu auprès des cybercriminels.
Payer une rançon : quels sont les risques ?
Choisir de payer une rançon lors d'une attaque comporte ses propres risques pour la victime.
Hausse des primes de cyberassurance
Les compagnies de cyberassurance sont aujourd'hui confrontées à de graves pertes de revenus en raison de la prise en charge des attaques de rançongiciels, une situation à laquelle elles étaient largement immunisées avant la redécouverte des rançongiciels.
Les opérateurs obligent désormais leurs clients à mettre en œuvre une forme de segmentation de leur réseau afin de rendre plus difficile la circulation des malwares sur le réseau. Si les clients sont d'accord, leurs primes mensuelles peuvent diminuer, mais les primes de cyberassurance ont tout de même diminué augmenté de manière significative ces dernières années.
Il est désormais dans l'intérêt financier de la victime potentielle de prendre au sérieux la cybersécurité proactive au lieu de simplement compter sur une assurance pour les couvrir.
Conséquences juridiques négatives
Le deuxième risque est le fait que de nombreux gangs de rançongiciels sont basés dans des pays figurant sur la liste noire du gouvernement américain, appelée Liste des sanctions de l'OFAC (Bureau du contrôle des avoirs étrangers).
Voici une liste de régimes dictateurs étrangers, de trafiquants de stupéfiants, d'organisations terroristes et de marchands d'armes contre lesquels les États-Unis ont imposé des sanctions économiques et commerciales dans l'intérêt de la sécurité nationale. C'est un crime pour quiconque aux États-Unis de faire affaire avec les personnes figurant sur la liste.
Si un gang de rançongiciels d'un pays sanctionné prend en otage un actif manufacturier basé aux États-Unis et que l'organisation décide de payer la rançon, elle risque d'être pénalement responsable pour avoir fait affaire avec le gang.
Choisir ce qui semble être l'option financièrement la moins onéreuse qu'est le paiement d'une rançon peut facilement exposer la victime à des conséquences pénales et juridiques négatives involontaires.
Protéger les actifs industriels contre la cybercriminalité : stopper les mouvements latéraux est-ouest
Les rançongiciels proviennent de quelque part, et cela provient généralement du côté informatique de l'architecture cybernétique globale. Tous les types de rançongiciels ont un point commun : ils aiment tous se déplacer.
Une fois qu'une charge de travail est piratée, le ransomware recherche les ports ouverts de cette charge de travail pour les utiliser comme vecteur pour migrer latéralement vers la charge de travail suivante, puis vers la partie industrielle de la structure vers les cibles visées.
Alors que la plupart des outils de sécurité sont déployés à la limite nord-sud, empêchant ainsi l'entrée de logiciels malveillants dans un centre de données ou un cloud, les rançongiciels tirent parti du fait que le contrôle de la propagation latérale est-ouest à grande échelle est un problème qui n'est toujours pas résolu.
La plupart des meilleurs outils de sécurité déployés à la frontière nord-sud offrent peu de protection contre les violations inévitables et la propagation latérale est-ouest qui en résulte au sein du réseau de confiance.
La segmentation Zero Trust arrête la propagation des rançongiciels
Zero Trust nécessite l'activation de la microsegmentation, également appelée Segmentation Zero Trust, de chaque charge de travail dans un environnement informatique, à n'importe quelle échelle, et en mettant en œuvre un modèle d'accès avec le moindre privilège entre chacun d'entre eux.
Cette solution de microsegmentation doit définir chaque charge de travail comme une limite de confiance unique et ce, sans recourir à aucune appliance du réseau sous-jacent ou de la structure cloud pour ce faire. Segmentation de la charge devrait être aussi indépendant que possible de toutes les autres formes de segmentation.
Le modèle d'accès avec le moindre privilège entre toutes les charges de travail signifie que tous les ports entre toutes les charges de travail sont refusés par défaut. Il est rarement légitime que les charges de travail soient connectées latéralement entre elles par SSH ou RDP. Tous les systèmes d'exploitation modernes ont ces ports activés car ils sont utilisés par les administrateurs pour gérer ces charges de travail à distance, mais l'accès est presque toujours limité à des hôtes d'administration centralisés spécifiques. Ces ports doivent être fermés partout par défaut, puis des exceptions peuvent être définies pour autoriser l'accès uniquement aux hôtes administratifs autorisés.
En segmentant chaque charge de travail de toutes les autres charges de travail et en fermant tous les ports latéralement entre eux, cela signifie que ransomware n'a aucun moyen de se propager latéralement à travers le réseau informatique et de là vers le côté des opérations industrielles du réseau.
Les rançongiciels peuvent violer les solutions de sécurité périmétrique, aussi puissantes soient-elles, et une fois piratés, le ransomware détournera la première charge de travail qu'il pourra trouver. La segmentation Zero Trust permet d'isoler cette première charge de travail piratée, en désactivant tous les ports entre les charges de travail et en ne permettant au ransomware de pénétrer plus profondément dans le réseau.
La segmentation Zero Trust empêche les violations de se propager dans l'infrastructure informatique. Et protège à son tour les systèmes industriels situés plus profondément dans l'architecture de base.
La segmentation Zero Trust fournit une visibilité sur les systèmes d'infrastructure industrielle
Un deuxième aspect de la segmentation Zero Trust est la visibilité du trafic entre tous les systèmes déployés à la fois du côté industriel et du côté informatique du réseau. Les dépendances et les comportements du trafic entre les capteurs et les systèmes de contrôle, par exemple, doivent être aussi clairement visibles que le trafic entre les systèmes du réseau informatique sur site et dans le cloud.
Illumio offre une visibilité totale à la fois pour :
Charges de travail gérées : celles sur lesquelles un nœud d'application virtuel (VEN) peut être déployé pour collecter directement la télémétrie des applications
Charges de travail non gérées : appareils sur lesquels aucun VEN ne peut être déployé, tels que les appareils IoT tels que les contrôleurs, les capteurs et les caméras IoT déployés au sein du réseau central industriel
Illumio assure la visibilité depuis les appareils IoT en collectant la télémétrie des commutateurs réseau et des équilibreurs de charge via des protocoles tels que Netflow, sFlow, IPFIX et Flowlink, l'ensemble du trafic entre tous ces systèmes étant affiché aux côtés de toutes les charges de travail gérées dans le PCE (Policy Control Engine) d'Illumio.
La politique est définie sur le PCE de la même manière pour les charges de travail gérées et non gérées, en utilisant des étiquettes pour identifier les charges de travail plutôt que par leur adresse réseau. La politique relative aux charges de travail non gérées est transmise aux commutateurs et traduite en listes de contrôle d'accès (ACL) que le commutateur peut utiliser pour appliquer la politique entre les ports du commutateur et dans iRules. Un équilibreur de charge peut ensuite utiliser ces informations pour y appliquer une politique.
Illumio supprime les angles morts entre les appareils numériques de bout en bout. Cela permet de mettre en œuvre une visualisation Zero Trust complète et un modèle de politique basé sur des étiquettes dans l'ensemble du système de contrôle industriel et de la structure informatique.
Protégez les systèmes IIoT contre les rançongiciels grâce à la segmentation Zero Trust
Illumio Zero Trust Segmentation protège tous les environnements industriels, contrôle toute propagation latérale entre les charges de travail et supprime les vecteurs d'attaque nécessaires à la propagation des rançongiciels.
Aucun environnement industriel n'est à l'abri des rançongiciels, qu'ils soient grands ou petits. Les systèmes OT et les systèmes IIoT déployés au sein de l'architecture industrielle n'ont pas besoin d'être exposés au prochain gang opportuniste de rançongiciels à la recherche de leur prochaine cible.
Illumio peut protéger l'ensemble de l'environnement IIoT industriel critique contre l'impact d'une attaque de rançongiciel, évitant ainsi à votre entreprise d'être la dernière victime d'un ransomware dans les journaux de demain.
Vous souhaitez en savoir plus sur la manière de contenir les rançongiciels grâce à la segmentation Zero Trust ? Visitez notre endiguement des ransomware page.
