Les faux pas de l’usine d’eau illustrent la nécessité de contrôles de sécurité rigoureux

  • FrançaisFrançais


  • Un nouvel avis offrant des détails sur la tentative de sabotage par un pirate informatique à distance d’une usine de traitement de l’eau de la ville d’Oldsmar, en Floride, a révélé un mépris de certaines pratiques exemplaires de base en matière de cyberhygiène parmi les employés.

    Les experts disent que c’est un indicateur que les opérateurs d’infrastructures critiques pourraient utiliser une infusion sérieuse de contrôles de sécurité. Cependant, en raison de restrictions budgétaires, ces contrôles peuvent exiger d’abord une évaluation approfondie des risques et un exercice de hiérarchisation.

    Lorsque l’incident du 5 février a été divulgué pour la première fois lundi dernier, il a été signalé qu’un acteur malveillant avait exploité un logiciel d’accès à distance – identifié plus tard comme TeamViewer – pour détourner les contrôles de l’usine, puis avait tenté d’augmenter la quantité de lessive dans l’eau à des niveaux dangereux.

    Mais ce n’était pas toute l’histoire. Un avis de sécurité publié plus tôt cette semaine par le département de la protection de l’environnement de l’État du Massachusetts faisait référence à d’autres pratiques ou comportements dangereux à l’usine de traitement de l’eau de Bruce T. Haddock qui augmentaient de manière exponentielle le risque.

    Pour commencer, tous les ordinateurs utilisés par les employés de l’usine étaient connectés au système SCADA de l’installation et utilisaient le système d’exploitation Windows 7, qui a atteint sa fin de vie début 2020 et n’est plus pris en charge par Microsoft. «De plus, tous les ordinateurs partageaient le même mot de passe pour l’accès à distance et semblaient être connectés directement à Internet sans aucun type de pare-feu installé», poursuit le rapport.

    «Cet incident est important car il reflète le statut d’un trop grand nombre d’installations de systèmes de contrôle industriel (SCI), en particulier celles avec des budgets plus petits et une taille plus petite, où la sécurité est souvent négligée», a déclaré Andrea Carcano, co-fondateur de Nozomi Networks.

    L’avis du Massachusetts suggérait qu’en réponse à cet incident, les fournisseurs d’eau publics «restreignent toutes les connexions à distance aux systèmes SCADA, en particulier celles qui permettent le contrôle physique et la manipulation des dispositifs au sein du réseau SCADA», ajoutant que les dispositifs de surveillance unidirectionnels unidirectionnels sont recommandés pour surveiller les systèmes SCADA à distance.

    Des conseils supplémentaires comprenaient l’utilisation active d’un pare-feu avec des capacités de journalisation, la mise à jour régulière des logiciels (et en particulier après la divulgation d’un bogue critique), l’utilisation d’une authentification à deux facteurs et de mots de passe forts, et l’installation d’un réseau privé virtuel.

    Bien sûr, les exploitants d’usine devraient déjà connaître bon nombre de ces leçons, mais les failles de sécurité dans les environnements d’infrastructure critiques sont trop fréquentes, disent les experts. C’est pourquoi des contrôles améliorés conçus pour les environnements à forte intensité ICS et OT peuvent être nécessaires. Mais cela vient avec ses propres défis budgétaires.

    «Traditionnellement, les plus petites organisations d’infrastructure critique du monde entier ont toujours eu des difficultés à obtenir des financements pour la cybersécurité», a déclaré Tim Conway, directeur technique des programmes ICS et SCADA au SANS Institute. «Les budgets ne sont pas illimités et les entités ont toujours eu du mal à augmenter les dépenses d’exploitation et de maintenance pour couvrir les coûts permanents associés à la main-d’œuvre, à la formation, aux outils et à la technologie en matière de cybersécurité.»

    Lors de l’allocation du budget, la sécurité doit être équilibrée avec des demandes contradictoires d’investir dans l’infrastructure et les capacités d’exploitation, a ajouté Conway. «Pour atteindre cet équilibre, il faut la participation d’acteurs informés qui peuvent représenter les divers risques pour l’entreprise et les obligations envers leurs clients et les communautés qu’ils servent.»

    C’est là que la gestion des actifs et l’évaluation des risques entrent en jeu.

    «C’est un rappel poignant que la meilleure base pour une cybersécurité OT efficace est un inventaire détaillé et large des actifs qui comprend les relations et les dépendances entre les systèmes OT et une base de paramètres de configuration», a déclaré Eddie Habibi, fondateur de PAS Global LLC, filiale de tech société Hexagon AB. «Avec cela en place, l’évaluation des risques est beaucoup plus informée, ce qui permet aux organisations d’attribuer et de limiter plus efficacement l’accès à distance au niveau du système et du compte.

    Grâce à ces évaluations des risques, les entreprises peuvent prioriser les contrôles dont elles ont le plus besoin.

    Malcolm Harkins, responsable de la sécurité et de la confiance chez Cymatic et chercheur à l’Institute for Critical Infrastructure Technology (ICIT), décrit certains des contrôles clés que l’environnement ICS doit prendre en compte afin de renforcer sa cyber-hygiène.

    «Vous devez conduire à un niveau de responsabilité technique et de contrôle réel», a déclaré Harkins. «Avez-vous mis en place une capacité pour vous assurer que les informations d’identification ne sont pas réutilisées? Forcer la réinitialisation du mot de passe? Recherchez-vous sur le Web sombre… les mots de passe exposés? Cherchez-vous sur Shodan… où une erreur aurait pu se produire et un composant de votre infrastructure critique est maintenant répertorié, et tout le monde sait comment lui envoyer un ping? Ce sont de vrais contrôles et de véritables étapes techniques et de processus. »

    Ensuite, il y a la question de trouver les bons outils pour administrer ces contrôles. Conway a déclaré qu’en raison de la pénurie de personnel de sécurité, les infrastructures critiques «devront s’appuyer fortement sur les fournisseurs et les intégrateurs de systèmes pour vraiment aider à guider les projets et garantir que les niveaux appropriés de protection et de contrôle de la cybersécurité sont pris en compte dans la conception du système … Il est essentiel de garantir des décisions éclairées sont prises concernant les risques opérationnels et de sécurité qui existent. »

    Avec des contrôles en place pour aider à réduire les facteurs de risque correctement évalués, les infrastructures critiques peuvent ensuite améliorer leur cyber-hygiène grâce à la mise en œuvre de programmes de sensibilisation à la sécurité. Idéalement, ces cours prendront en considération le mélange unique d’infrastructure critique d’informatique, d’OT et d’IoT.

    «Il est absolument nécessaire de s’assurer que la formation est conforme à l’environnement, à la culture et aux objectifs d’apprentissage spécifiques aux tâches essentielles du poste», a déclaré Conway. «Trouvez un partenaire de formation qui comprend les besoins uniques de sensibilisation à la sécurité informatique et OT au sein d’une organisation et peut assurer la bonne formation pour les bonnes personnes d’une manière qui aidera à façonner les comportements.»

    Si les exploitants d’infrastructures essentielles ne commencent pas à appliquer eux-mêmes certaines de ces mesures, il est possible que le gouvernement commence à imposer certaines attentes.

    De nombreuses entreprises industrielles n’ont pas intensifié leurs efforts pour s’autoréguler et appliquer les normes et cadres industriels tels que ISA / CEI 62443 et NIST 800 », a déclaré Habibi. «Lorsque la santé et la sécurité des gens sont en danger, le gouvernement se sentira obligé d’intervenir. Nous devrions nous attendre à ce qu’Oldsmar suscite davantage le désir du gouvernement de le faire.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *