OT et CNI : des cibles de choix pour les pirates informatiques

Les actifs connectés sont une révolution, mais rendent plus vulnérables aux cyberattaques. Technologie opérationnelle et Infrastructure nationale critique sont la nouvelle porte d'entrée des attaques.

Quelle typologie de menace

La menace de cyberattaques qui pourraient toucher l’industrie manufacturière et les infrastructures critiques est une source d’inquiétude croissante pour les organisations et les gouvernements. A mesure que la surface d’attaque s’étend, les cybercriminels adoptent de nouvelles méthodes pour atteindre ces infrastructures critiques. Pour preuve, le 10 mars dernier, une attaque a visé plusieurs ministères français (économie, transition écologique, santé, culture, Conseil d’État...). Si les impacts sont d’abord visibles en ligne, ils finissent par toucher le monde physique et par avoir des conséquences politiques inquiétantes. Ici, à quelques mois du lancement des J.O de Paris, plusieurs observateurs s’interrogent désormais sur la capacité de la France à répondre à une cyberattaque de grande ampleur.

Ce type d’attaque résulte généralement de la convergence des environnements IT et OT (technologie opérationnelle ou Operational Technology). Si cette convergence permet d'éliminer les silos organisationnels et de mettre en place des processus de fabrication efficaces et rentables, elle a aussi son revers. Elle rend les entreprises plus vulnérables !

La menace est d’autant plus réelle, quand nous savons que les infrastructures et les systèmes de production de plus de 20 ans sont souvent alimentés par des logiciels anciens ; qui n’ont pas été conçus pour répondre aux menaces d’aujourd’hui. Les technologies IT, OT, les systèmes de communication, les contrôleurs, et tous les systèmes auparavant cloisonnés, deviennent, du fait de leur convergence, une cible pour les attaquants.

A en croire un rapport IDC, d’ici 2025, 60% des entreprises du secteur industriel intégreront à leur reporting et leurs analyses cloud des données de points d'extrémité issues de systèmes OT. Ces intégrations faciliteront certes des opérations à distance, mais créeront là encore de nouvelles failles.

Les attaques visant les environnements OT ne sont pas à prendre à la légère. Pis, certains prévoient que dans un avenir proche les cyberattaquants auront appris à exploiter les systèmes OT pour nuire directement aux individus, voire porter atteinte à leur vie !

Quelles conséquences pour nos économies digitalisées

Les conséquences d'une attaque sont multiples : arrêt des lignes de production, perturbation des opérations métiers, pertes financières, risques environnementaux, dommages physiques ou encore interruption de services essentiels pour la société dans son ensemble. Nous avons tous en mémoire les nombreuses attaques ayant visées les hôpitaux français en 2023.

La France n’est cependant pas le seul pays à faire les frais d’une protection insuffisante. Nous pourrions évoquer la récente attaque ayant affectée les applications d’Optum, du groupe Change Healthcare, aux Etats-Unis. Elle a eu des conséquences non seulement sur le fonctionnement des établissements de santé, mais aussi auprès de la majorité de leurs partenaires. Outre-Manche, la société britannique South Staffordshire Water  a aussi été prise pour cible, en 2023. Les cyberattaquants ont pu pénétrer le réseau et accéder à une station d’épuration desservant des centaines de milliers de personnes.

Ces attaques soulignent l’urgence d’une cybersécurité adéquate pour les infrastructures nationales critiques, indispensables à la bonne marche de nos sociétés. Ce qu’il faut comprendre ? Un grand nombre d'organisations ne sont absolument pas préparées. C’est le cas notamment des petites structures qui ne disposent pas toujours du personnel ou des contrôles de cybersécurité adaptés. 

Quels défis pour la DSI

Qu’on se le dise, les dispositifs OT et IoT traditionnels n'ont pas été conçus dans une optique de sécurité. Ils ne disposent pas de solides protections, ne génèrent pas de journaux et ne prennent pas en charge les agents de sécurité. Ils peuvent, en effet, communiquer avec d'autres appareils, systèmes ou réseaux, mais n’hébergent aucun des outils de sécurité qui permettraient de les surveiller et de les protéger des menaces. Ce manque de visibilité est un véritable défi pour la DSI, car elle laisse des points d'entrées, exploitables par les cybercriminels.

Tout n’est cependant pas perdu. Les organisations peuvent mettre en place des programmes de cybersécurité plus résilients, les protégeant du risque créé par la convergence des technologies IT et OT.  La solution ? Elles doivent adopter une vision de la sécurité centrée sur les actifs afin de mieux cerner les risques. Une visibilité adéquate sur les appareils présents sur leur réseau permettra de repérer toutes les failles dues à des appareils ou des actifs non gérés et d’y remédier. La surveillance passive, la gestion des actifs et des vulnérabilités et la détection des menaces créent, en effet, plusieurs couches de sécurité et de défense.  A ce stade, nous pensons qu’il est vital que l'infrastructure OT soit efficacement protégée car, tout dommage subi dans le monde virtuel peut avoir des répercussions dans le monde réel.