Les technologies opérationnelles (OT) et les systèmes de contrôle industriel (ICS) hérités du passé continuent de poser des problèmes de sécurité majeurs aux organisations industrielles. De nombreux systèmes vieillissants n'ont jamais été conçus pour les environnements connectés d'aujourd'hui, mais ils soutiennent toujours des opérations critiques dans les secteurs de la fabrication, des services publics, des transports et de l'énergie.
Vous trouverez ci-dessous 11 voies d'attaque OT cachées généralement créées par des environnements vieillissants et les contrôles pratiques que les organisations peuvent mettre en œuvre pour réduire rapidement les risques.
De nombreux environnements industriels reposent encore sur des systèmes d'exploitation non pris en charge qui ne reçoivent plus de mises à jour de sécurité. Ces systèmes restent souvent profondément ancrés dans les processus de production, car leur remplacement nécessiterait des arrêts d'exploitation coûteux ou la revalidation de systèmes critiques.
Les acteurs de la menace ciblent activement ces actifs parce que les vulnérabilités sont bien documentées et que les outils d'exploitation sont largement disponibles. Une fois compromis, ces systèmes peuvent fournir aux attaquants un point d'ancrage stable dans les environnements opérationnels.
Les organisations industrielles devraient donner la priorité à l'isolation du réseau pour les systèmes non pris en charge, mettre en œuvre des politiques de segmentation strictes et utiliser des correctifs virtuels lorsque des mises à jour directes ne sont pas possibles d'un point de vue opérationnel. La surveillance continue du trafic en provenance et à destination des équipements existants peut également permettre d'identifier rapidement toute activité suspecte.
L'accès à distance par des tiers est devenu l'un des points d'intrusion les plus courants dans les environnements OT. Les fournisseurs ont souvent besoin d'un accès pour le diagnostic, la maintenance et l'assistance, mais les environnements plus anciens reposent souvent sur des connexions VPN persistantes, des identifiants partagés ou des services de bureau à distance mal surveillés.
Les attaquants ciblent de plus en plus les fournisseurs et les sous-traitants parce qu'ils fournissent souvent un accès de confiance à des environnements critiques tout en contournant les contrôles de sécurité standard.
Les organisations industrielles devraient mettre en place une gestion des accès privilégiés, appliquer le MFA pour toutes les connexions à distance et utiliser des sessions d'accès limitées dans le temps avec une journalisation complète des activités. Dans la mesure du possible, les voies d'accès à distance devraient également être séparées des systèmes opérationnels critiques.
De nombreux systèmes de contrôle industriel ont été construits à l'origine sur la base de communications série avant que l'Ethernet ne devienne courant dans les environnements opérationnels. Au fur et à mesure que les organisations se modernisaient, des convertisseurs série-Ethernet ont été introduits pour faire le lien entre l'ancienne et la nouvelle infrastructure.
Au fil du temps, nombre de ces dispositifs ont été oubliés ou exclus des inventaires de sécurité officiels. Parce qu'ils sont souvent discrets dans l'environnement, ils peuvent créer des voies d'attaque cachées directement dans les contrôleurs industriels et les appareils de terrain.
L'identification complète des actifs et la cartographie du réseau OT sont essentielles pour identifier les ponts de communication existants. Une fois identifiés, ces dispositifs doivent être isolés dans des zones de réseau étroitement contrôlées et surveillés pour détecter tout comportement anormal du trafic.
De nombreux environnements OT vieillissants fonctionnent encore avec une segmentation interne minimale. Historiquement, ces réseaux ont été conçus en fonction de la fiabilité et de la simplicité opérationnelle plutôt que de la résilience en matière de cybersécurité.
Il en résulte qu'une fois que les attaquants ont accédé à un seul appareil, le déplacement latéral dans l'environnement opérationnel peut devenir relativement simple. Cela augmente considérablement la surface d'attaque et l'exposition aux menaces dans les environnements OT.
Une forte segmentation reste l'un des moyens les plus efficaces de réduire les risques opérationnels. La séparation des environnements OT et IT, l'isolation des systèmes critiques et la restriction du trafic est-ouest peuvent réduire considérablement la capacité des attaquants à se déplacer dans les réseaux industriels.
Les postes de travail d'ingénierie représentent souvent certains des systèmes les plus précieux dans les environnements industriels. Ils contiennent généralement des privilèges élevés, un accès direct aux automates et des configurations opérationnelles sensibles.
Malheureusement, ces systèmes sont souvent exclus des cycles de maintenance réguliers parce que les problèmes de temps d'arrêt limitent les possibilités d'application de correctifs. Certains continuent de fonctionner avec un logiciel antivirus obsolète, un accès USB illimité et une surveillance minimale.
Les systèmes d'ingénierie devraient faire l'objet en priorité d'une mise en liste des applications autorisées, d'une surveillance des postes de travail et d'une politique de restriction des supports amovibles. Les organisations devraient également réduire au minimum la connectivité à l'internet à partir de ces postes de travail chaque fois que cela est possible sur le plan opérationnel.
Les périphériques USB restent largement utilisés dans les environnements industriels pour les diagnostics, les mises à jour et le transfert de fichiers opérationnels. Cependant, les supports amovibles continuent de représenter l'un des mécanismes les plus faciles de diffusion de logiciels malveillants dans les environnements OT.
Dans de nombreux environnements plus anciens, il n'y a toujours pas de gestion cohérente des supports amovibles, de contrôles d'analyse ou de procédures de transfert entre les systèmes informatiques et les systèmes informatiques.
Des stations d'assainissement USB dédiées, des politiques de périphériques autorisés et des procédures de transfert strictes peuvent réduire de manière significative le risque d'introduction de logiciels malveillants dans les environnements de production par le biais de supports amovibles.
Les systèmes d'interface homme-machine sont parfois exposés à l'internet lors de dépannages à distance, d'accords d'accès temporaires avec des fournisseurs ou de changements opérationnels mal gérés.
Les acteurs de la menace recherchent activement les systèmes IHM exposés car ils peuvent offrir une visibilité directe sur les opérations industrielles et, dans certains cas, la possibilité de manipuler les processus.
La surveillance de la surface d'attaque externe et les évaluations régulières de l'exposition sont essentielles pour identifier les actifs OT orientés vers l'internet avant que les attaquants ne les découvrent.
De nombreux appareils industriels continuent de fonctionner pendant des années en utilisant les identifiants par défaut du fabricant, car leur modification pourrait avoir une incidence sur les accords d'assistance du fournisseur ou perturber les intégrations existantes.
Ces identifiants sont souvent accessibles au public en ligne et sont fréquemment utilisés lors d'attaques ciblant les vulnérabilités des systèmes de contrôle industriels.
Les organisations industrielles devraient mettre en œuvre des processus structurés de gestion des informations d'identification, procéder à une rotation régulière des comptes privilégiés et surveiller en permanence l'activité d'authentification dans les environnements OT.
La gestion du cycle de vie des actifs et l'application de correctifs restent l'un des plus grands défis en matière de cybersécurité des technologies opérationnelles. De nombreux automates et contrôleurs fonctionnent en continu avec des fenêtres de maintenance limitées, ce qui rend les mises à jour des microprogrammes difficiles à programmer en toute sécurité.
En conséquence, les organisations industrielles continuent souvent à exploiter pendant de longues périodes des systèmes dont les vulnérabilités exploitables sont connues.
Plutôt que de tenter de mettre en place de vastes programmes de correctifs pour tous les actifs, les organisations devraient hiérarchiser les efforts de remédiation en fonction de l'exploitabilité, de la criticité opérationnelle et des voies d'exposition.
Les protocoles tels que Modbus, DNP3 et les anciennes implémentations OPC n'ont jamais été conçus en tenant compte des exigences modernes en matière de cybersécurité. La plupart d'entre eux ne disposent pas de contrôles de cryptage, d'authentification et d'intégrité.
Les attaquants capables d'accéder à ces canaux de communication peuvent intercepter des commandes, manipuler le trafic industriel ou perturber les processus opérationnels sans être détectés.
Les systèmes de détection des intrusions industrielles, l'inspection approfondie des paquets et la surveillance des réseaux OT peuvent améliorer la visibilité des activités de protocole suspectes et des communications anormales.
De nombreux environnements industriels contiennent des systèmes non documentés, des déploiements temporaires et des actifs non gérés qui échappent aux processus de gouvernance officiels. Ces actifs fantômes échappent souvent à la gestion des vulnérabilités, à la surveillance et aux examens de sécurité.
Sans une visibilité complète, les organisations ne peuvent pas évaluer avec précision les vulnérabilités des systèmes de contrôle industriels ou comprendre l'étendue réelle des défis liés à la gestion des risques des systèmes existants.
La découverte continue des actifs et la visibilité centralisée des systèmes de contrôle industriel sont essentielles pour identifier les systèmes non gérés avant que les attaquants ne les exploitent.
La sécurisation des environnements technologiques opérationnels nécessite une expertise spécialisée qui comprend à la fois les opérations industrielles et les menaces modernes de cybersécurité. Les services de sécurité OT d'Integrity360 aident les organisations à identifier les expositions cachées, à renforcer la segmentation, à améliorer la visibilité et à réduire les risques opérationnels dans les environnements OT et ICS complexes.
Depuis les audits Industrial 360 et les tests de pénétration OT jusqu'à la réponse aux incidents OT, l'assistance technique et les évaluations de la résilience aux ransomwares, Integrity360 fournit des services sur mesure conçus spécifiquement pour les opérations industrielles.
Avec plus de 40 consultants en sécurité OT, plus de 250 tests de pénétration OT menés chaque année et une expérience de soutien aux organisations sur cinq continents, Integrity360 aide les organisations industrielles à découvrir les voies d'attaque cachées avant que les attaquants ne le fassent.
Si votre organisation s'inquiète de la vétusté de ses systèmes de contrôle industriel et des risques liés à la sécurité des systèmes informatiques, il est temps d'agir.
Contactez Integrity360 pour évaluer votre environnement OT, identifier les expositions critiques et renforcer la résilience de vos opérations.