.png)
Pourquoi l'industrie manufacturière doit-elle sécuriser les ressources IIoT contre les ransomwares ?
Les rançongiciels ne constituent pas une nouvelle menace pour la sécurité. Il est apparu pour la première fois en 1989 et était distribué sur disquettes.
Mais il a connu une seconde vie spectaculaire en devenant le modèle idéal d'entreprise criminelle moderne : le détournement de ressources critiques dans des environnements industriels en échange d'une rançon.
Les claviers sont plus efficaces que les armes à feu pour prendre en otage les infrastructures industrielles. Le problème ne fera que s'aggraver avant que la sécurisation des actifs numériques ne soit considérée comme une priorité en matière de cybersécurité dans les secteurs de l'industrie manufacturière et des infrastructures critiques.
Un grand nombre d'attaques récentes par ransomware ont visé les secteurs de la fabrication et des infrastructures critiques, ces secteurs étant traditionnellement axés sur la création d'actifs physiques.
Cependant, la majeure partie de l'industrie manufacturière est en train de migrer rapidement un grand nombre de ses plateformes informatiques et de ses solutions d'accès à distance vers l'informatique en nuage, exposant ainsi ses systèmes de contrôle industriel et ses capteurs d'usine à des vecteurs d'attaque provenant de l'informatique en nuage.
Les attaques de ransomware coûtent des millions à l'industrie manufacturière chaque année
Le secteur manufacturier peut traditionnellement se considérer comme largement à l'abri de la criminalité numérique. Mais ils ont tort.
21 % des attaques de ransomware sont dirigées contre l'industrie manufacturière, et le secteur paie le montant le plus élevé de rançon de toutes les industries, avec une moyenne de 2,036 millions de dollars en 2021.
Il suffit qu'un pirate motivé enfreigne les outils de sécurité du cloud d'un fabricant et accède à distance à des contrôleurs ou des capteurs critiques - des dispositifs IIoT - déployés au plus profond d'un environnement industriel ou d'une usine, pour les mettre hors service. Cela entraîne des risques physiques très réels d'intrusion numérique, obligeant la victime à choisir entre le paiement d'une rançon et les retombées de l'interruption des opérations.
La plupart des victimes décident que le paiement d'une rançon est l'option la moins chère, ce qui coûte des millions aux entreprises manufacturières.
Les rançongiciels sont une cible bien trop tentante pour les cybercriminels modernes, car ils garantissent presque à coup sûr un gain financier. Le ransomware en tant que service existe même sur le dark web, avec des contrats d'assistance et des services d'aide pour aider les cybercriminels en herbe à choisir leur prochaine victime.
Le déploiement d'un ransomware est souvent la dernière étape de l'intrusion d'un cybercriminel dans un environnement industriel. Ils recherchent d'abord des actifs critiques à désactiver, exposent la propriété intellectuelle et se renseignent sur la couverture d'assurance en matière de cybersécurité dont bénéficie la victime visée afin de fixer le prix de la rançon. Une fois ces informations extraites, la dernière étape consiste à prendre l'infrastructure en otage en échange de paiements, ce que la majorité des victimes choisissent de faire. C'est le rêve d'un cybercriminel qui devient réalité.
Les attaques de ransomware contre l'industrie manufacturière présentent des risques réels
Le secteur manufacturier s'est longtemps perçu comme n'étant pas concerné par la cybercriminalité. Si une chaîne industrielle d'usines produit de l'énergie, de l'acier, des denrées alimentaires ou mène des opérations minières, par exemple, quel est le risque de cybercriminalité ?
En réalité, le risque de cybercriminalité est élevé.
En 2015, une aciérie allemande a connu ce qui a été présenté comme le premier exemple de dommages physiques résultant d'une cyberattaque. Les cybercriminels ont réussi à accéder à distance à certains systèmes de contrôle critiques de l'usine qui étaient connectés à leur réseau informatique, et ceux-ci ont été désactivés. Des capteurs essentiels n'ont donc pas pu surveiller les niveaux de chaleur dans l'usine, ce qui a gravement endommagé un haut fourneau qui ne s'est pas éteint automatiquement grâce à ces capteurs.
Le monde physique a soudainement été exposé à des risques purement numériques, et depuis lors, ce fait n'est pas passé inaperçu aux yeux des cybercriminels.
Payer une rançon : Quels sont les risques ?
Le choix de payer une rançon lors d'une attaque comporte ses propres risques pour la victime.
Augmentation des primes de cyberassurance
Les compagnies de cyber-assurance sont maintenant confrontées à de sérieuses pertes de revenus en raison des paiements effectués à la suite d'attaques de ransomware, ce dont elles étaient largement à l'abri avant la redécouverte des ransomwares.
Les opérateurs obligent désormais leurs clients à mettre en œuvre une certaine forme de segmentation dans leur réseau afin de rendre plus difficile la circulation des logiciels malveillants dans le réseau. Si les clients l'acceptent, leurs primes mensuelles peuvent diminuer - mais les primes d'assurance cybernétique ont tout de même augmenté de manière significative ces dernières années.
Il est désormais dans l'intérêt financier des victimes potentielles de prendre au sérieux la cybersécurité proactive plutôt que de se contenter de compter sur l'assurance pour les couvrir.
Conséquences juridiques négatives
Le deuxième risque est que de nombreux gangs de ransomwares sont basés dans des pays qui figurent sur la liste noire du gouvernement américain, la liste des sanctions de l'OFAC (Office of Foreign Assets Control).
Il s'agit d'une liste de régimes dictatoriaux étrangers, de narcotrafiquants, d'organisations terroristes et de marchands d'armes contre lesquels les États-Unis ont imposé des sanctions économiques et commerciales dans l'intérêt de la sécurité nationale. Toute personne aux États-Unis qui fait des affaires avec les personnes figurant sur la liste commet un délit.
Si un gang de ransomware d'un pays sanctionné prend en otage un actif manufacturier basé aux États-Unis et que l'organisation décide de payer la rançon, l'organisation risque d'être pénalement responsable pour avoir fait des affaires avec le gang.
Le choix de l'option financièrement la plus avantageuse, à savoir le paiement d'une rançon, peut facilement exposer la victime à des conséquences criminelles et juridiques involontaires.
Protéger les actifs industriels de la cybercriminalité : Arrêtez les mouvements latéraux est-ouest
Les rançongiciels proviennent de quelque part, et c'est généralement du côté informatique de l'architecture cybernétique globale. Toutes les variétés de ransomware ont un point commun : elles aiment se déplacer.
Une fois qu'une charge de travail est détournée, le ransomware recherche des ports ouverts sur cette charge de travail afin de l'utiliser comme vecteur pour migrer latéralement vers la charge de travail suivante et, de là, vers le côté industriel de la structure, vers les cibles visées.
Alors que la plupart des outils de sécurité sont déployés à la frontière nord-sud - empêchant l'entrée de logiciels malveillants dans un centre de données ou un nuage - les ransomwares utilisent le fait que le contrôle de la propagation latérale est-ouest à grande échelle est un problème qui n'est toujours pas résolu.
La majorité des meilleurs outils de sécurité déployés à la frontière nord-sud n'offrent qu'une faible protection contre les brèches inévitables et la propagation latérale est-ouest qui s'ensuit au sein du réseau de confiance.
La segmentation zéro confiance arrête la propagation des ransomwares
La confiance zéro nécessite la microsegmentation, également appelée segmentation de confiance zéro, de chaque charge de travail dans un environnement informatique, à n'importe quelle échelle, et la mise en œuvre d'un modèle d'accès à moindre privilège entre toutes ces charges.
Cette solution de microsegmentation doit définir chaque charge de travail comme une limite de confiance unique, et ce sans dépendre d'aucun appareil du réseau sous-jacent ou de la structure de l'informatique en nuage. La segmentation de la charge de travail doit être aussi indépendante que possible de toutes les autres formes de segmentation.
Le modèle d'accès au moindre privilège entre toutes les charges de travail signifie que tous les ports entre toutes les charges de travail sont refusés par défaut. Il est rarement nécessaire que les charges de travail soient reliées entre elles par SSH ou RDP. Tous les systèmes d'exploitation modernes ont ces ports activés car ils sont utilisés par les administrateurs pour gérer à distance ces charges de travail, mais l'accès est presque toujours limité à des hôtes administrateurs centralisés spécifiques. Ces ports doivent être désactivés partout par défaut, puis des exceptions peuvent être définies pour permettre l'accès aux seuls hôtes administratifs autorisés.
En séparant chaque charge de travail de toutes les autres charges de travail et en fermant tous les ports latéraux entre elles, le ransomware n'a aucun moyen de se propager latéralement dans le réseau informatique et, de là, dans la partie du réseau consacrée aux opérations industrielles.
Les rançongiciels peuvent violer les solutions de sécurité périmétrique - aussi solides soient-elles - et, une fois la brèche ouverte, ils s'emparent de la première charge de travail qu'ils trouvent. La segmentation zéro confiance peut isoler cette première charge de travail détournée, tous les ports étant désactivés entre les charges de travail et aucun vecteur n'étant disponible pour que le ransomware aille plus loin dans le réseau.
La segmentation zéro confiance empêche les brèches de se propager dans l'infrastructure informatique. Et, à son tour, protège les systèmes industriels situés plus profondément dans l'architecture centrale.
La segmentation zéro confiance offre une visibilité sur les systèmes d'infrastructure industrielle.
Un deuxième aspect de la segmentation sans confiance est la visibilité du trafic entre tous les systèmes déployés à la fois du côté industriel et du côté informatique du réseau. Les dépendances du trafic et les comportements entre les capteurs et les systèmes de contrôle, par exemple, doivent être aussi clairement visibles que le trafic entre les systèmes dans le réseau informatique, à la fois dans les locaux et dans l'informatique en nuage.
Illumio permet une visibilité totale pour les deux :
Charges de travail gérées - celles sur lesquelles un nœud d'exécution virtuel (VEN) peut être déployé pour collecter directement des données télémétriques sur les applications.
Charges de travail non gérées - appareils sur lesquels aucun VEN ne peut être déployé, tels que les appareils IoT comme les contrôleurs, les capteurs et les caméras IoT déployés au sein du réseau central industriel.
Illumio permet une visibilité à partir des appareils IdO en récoltant la télémétrie des commutateurs de réseau et des équilibreurs de charge via des protocoles tels que Netflow, sFlow, IPFIX et Flowlink, tout le trafic entre tous ces systèmes s'affichant aux côtés de toutes les charges de travail gérées dans le PCE (moteur de contrôle des politiques) d'Illumio.
La politique est définie sur le PCE de la même manière pour les charges de travail gérées et non gérées, en utilisant des étiquettes pour identifier les charges de travail plutôt que leur adresse réseau. La politique relative aux charges de travail non gérées est transmise aux commutateurs et traduite en listes de contrôle d'accès (ACL) que le commutateur peut utiliser pour appliquer la politique entre les ports du commutateur et dans les iRules. Un répartiteur de charge peut alors utiliser ces informations pour mettre en œuvre une politique à cet endroit.
Illumio élimine les angles morts entre les appareils numériques de bout en bout. Cela permet de mettre en œuvre un modèle de visualisation et de politique basé sur des étiquettes dans l'ensemble du système de contrôle industriel et de la structure informatique.
Bénéficiez d'une protection contre les ransomwares pour les systèmes IIoT avec la segmentation zéro confiance.
Illumio Zero Trust Segmentation offre une protection de tous les environnements industriels, en contrôlant la propagation latérale entre les charges de travail et en éliminant les vecteurs d'attaque nécessaires à la propagation des ransomwares.
Aucun environnement industriel n'est à l'abri d'un ransomware, qu'il soit petit ou grand. Les systèmes OT et les systèmes IIoT déployés au sein de l'architecture industrielle ne doivent pas rester exposés au prochain gang de ransomware opportuniste à la recherche de sa prochaine cible.
Illumio peut protéger l'ensemble de l'environnement IIoT industriel critique contre l'impact d'une attaque de ransomware, évitant ainsi à votre entreprise de figurer dans les journaux de demain comme la dernière victime d'un ransomware.
Vous voulez en savoir plus sur l'endiguement des ransomwares grâce à la segmentation zéro confiance ? Consultez notre page sur l 'endiguement des ransomwares.
