Protéger les entreprises chargées d'assurer la protection des infrastructures essentielles
Utilisation de la cybersécurité informatique pour prévenir les perturbations de l'activité
Les opérateurs des infrastructures fondamentales forment le pilier de la société moderne et sont ainsi des cibles de choix pour les attaques de cybersécurité. Contrairement à ce qui se passe dans d'autres secteurs, les cybercriminels et les États-nations qui lancent des attaques contre ces organisations cherchent rarement à voler des données. Au lieu de cela, ils veulent perturber les activités et provoquer un préjudice économique et entraîner de graves répercussions pour des millions de personnes.
Les attaques contre les opérateurs d'infrastructures essentielles augmentent. En 2023, le DSI de la Transportation Security Administration (TSA) a déclaré que le nombre croissant de cyberattaques contre l'infrastructure américaine et l'augmentation des capacités cybernétiques des adversaires étrangers étaient le signe d'une cyberguerre dans laquelle nous étions tous entrés. En fait, les attaques contre les opérateurs américains des secteurs du transport, de l'eau et de l'énergie ont été attribuées à des cybercriminels commandités par des États.
En 2024, l'Agence américaine de protection de l'environnement (EPA) a fait écho au sentiment de la TSA, notant que « les récents incidents très médiatisés dans les systèmes d'eau ont démontré qu'il était urgent de remédier aux faiblesses de la cybersécurité et aux vulnérabilités face aux attaques physiques. » La même année, la North American Electric Reliability Corporation (NERC), une autorité de réglementation internationale à but non lucratif, a averti que les réseaux électriques américains devenaient de plus en plus vulnérables aux attaques, le nombre de points sensibles dans les réseaux électriques augmentant d'environ 60 par jour.
Les attaques des dernières années démontrent comment des brèches initiales relativement petites — même dans des systèmes informatiques apparemment discrets — peuvent avoir d'énormes conséquences sur le fonctionnement :
Colonial Pipeline : l'attaque de 2021 sur Colonial Pipeline a été relativement simple ; les attaquants ont utilisé des identifiants VPN compromis pour voler des données et déployer un rançongiciel dans les systèmes informatiques, jusque dans les systèmes de facturation et de comptabilité. À la fois pour empêcher la propagation de l'attaque, et pour éviter des problèmes de facturation liés à la distribution de carburant, Colonial Pipeline a mis ses activités à l'arrêt. Il s'ensuivit un épisode de panique, car les gens alarmés par les gros titres se sont précipités pour acheter de l'essence.
Traitement de l'eau d'Oldsmar, Floride : plus tôt la même année, quelqu'un a accédé à distance aux systèmes critiques d'une installation de traitement de l'eau dans la petite ville d'Oldsmar, en Floride, et a brièvement modifié les niveaux de soude caustique dans l'eau potable. Un opérateur de centrale a rapidement corrigé la modification et que personne n'a été blessé, cependant l'incident met en évidence la façon dont une attaque de cybersécurité peut affecter la santé et le bien-être des membres de la communauté.
Ces types d'attaques exigent un changement dans la manière dont les équipes de cybersécurité informatique accompagnent les opérations. Par le passé, la sécurité informatique et la technologie opérationnelle (OT) étaient la plupart du temps assumées par des équipes distinctes. La sécurité informatique se concentrait sur la défense contre les cybermenaces, tandis que les technologies opérationnelles se chargeaient du maintien des systèmes en fonctionnement.
Les menaces modernes de cybersécurité exigent que les équipes de sécurité informatique élargissent leur rôle. Ils doivent appliquer une gamme complète de capacités de cybersécurité aux technologies opérationnelles pour éviter des perturbations dévastatrices.
Pourquoi appliquer la technologie opérationnelle à la sécurité informatique ?
Les systèmes informatiques (IT) et de technologie opérationnelle (OT) ont commencé à converger il y a plus de dix ans. La mise en œuvre de capteurs IoT industriels, de systèmes de surveillance à distance et d'outils d'analyse basés sur le cloud a connecté les environnements IT et OT.
Cette connexion permet l'efficacité opérationnelle, mais elle crée également de nouvelles voies pour les adversaires. Comme l'a montré l'attaque du Colonial Pipeline, les attaquants n'ont plus besoin de compromettre un système de contrôle industriel pour causer une grave perturbation opérationnelle. Un ordinateur portable compromis offre désormais un accès à ce système de contrôle industriel. Un service cloud mal configuré peut exposer les réseaux de contrôle-commande et d'acquisition de données (SCADA).
L'application des capacités de sécurité informatique aux technologies opérationnelles est essentielle pour bloquer ces voies d'accès aux attaquants. Pourtant, trop peu d'infrastructures critiques ont adopté une approche unifiée utilisant des capacités de cybersécurité pour protéger à la fois les systèmes informatiques (IT) et les systèmes opérationnels (OT).
Le potentiel de perdre des dizaines de millions de dollars en quelques jours de perturbation constitue un argument économique solide pour la mise en œuvre immédiate de cette approche unifiée. Une plateforme de sécurité qui empêche ne serait-ce qu'un jour d'interruption imprévue est souvent rentable dès le premier incident.
« Les opérateurs d'infrastructures critiques devraient considérer la sécurité informatique comme une assurance opérationnelle, et non seulement comme une protection des données. »
Stratégie en trois étapes pour appliquer la sécurité informatique à la technologie opérationnelle
Pour protéger les opérations avec la sécurité informatique, la plupart des organisations d'infrastructure critique ont besoin d'une stratégie en trois étapes. Commencer par les besoins urgents, puis suivre avec les meilleures pratiques et un cadre basé sur les risques, peut vous aider à gérer les menaces actuelles et à l'avenir.
Répondre aux risques prioritaires
L'arrêt des tentatives de phishing doit figurer parmi vos premières priorités. De nombreuses cyberattaques (contre des opérateurs d'infrastructures critiques et d'autres organisations) commencent par du phishing. Les attaquants tentent de tromper les utilisateurs pour qu'ils fournissent des identifiants de connexion aux systèmes de l'entreprise ou pour qu'ils cliquent sur des liens qui téléchargent et diffusent des logiciels malveillants à travers le réseau de l'entreprise.
La lutte contre le phishing exige souvent des solutions multiples et intégrées. Par exemple, le déploiement d'une solution de sécurité des e-mails peut empêcher les e-mails de phishing d'arriver dans la boîte de réception des utilisateurs. Et l'utilisation d'une passerelle web sécurisée (SWG) peut empêcher les utilisateurs d'accéder à des sites malveillants, même s'ils sont incités par des ruses à cliquer sur un lien malveillant dans un e-mail ou un message.Mettre en œuvre les meilleures pratiques fondamentales en cybersécurité
Une fois que vous avez satisfait les besoins les plus immédiats, il est temps de mettre en œuvre une approche plus globale qui vous permet d'identifier et d'atténuer les vulnérabilités, de protéger les systèmes et les données, de détecter les menaces et de réagir rapidement aux attaques.
Identifier : votre équipe de sécurité informatique doit trouver et corriger toutes les vulnérabilités susceptibles de permettre aux attaquants de perturber les opérations.
Par exemple, les postes de travail d'ingénierie sont souvent ciblés par des attaquants car ils accèdent à la fois aux applications d'entreprise et aux stations de contrôle industriel. Ces postes de travail exécutent généralement des logiciels d'ingénierie spécialisés avec des privilèges élevés et des contrôles de sécurité assouplis. La sécurité informatique peut briser la chaîne d'attaque en protégeant les postes de travail d'ingénierie grâce à la microsegmentation. Au lieu de considérer les postes de travail comme des relais de confiance entre les réseaux, vous devriez utiliser une plateforme de sécurité qui peut surveiller chaque connexion, valider chaque communication et isoler instantanément toute activité suspecte.
Les équipes de sécurité doivent également traiter les vulnérabilités potentielles des applications accessibles au public, qui sont souvent les premiers points d'entrée pour les attaques. La mise en œuvre d’un pare-feu d’application Web (WAF) peut contribuer à bloquer les menaces en temps réel tout en maintenant la continuité opérationnelle.
Protéger : le renforcement des contrôles d'accès et l'amélioration de la protection des données sont essentiels pour éviter de graves perturbations opérationnelles.
La transition vers un modèle de sécurité « zero trust » vous permet d'empêcher les accès non autorisés aux systèmes informatiques susceptibles de provoquer des perturbations opérationnelles. Avec une solution d'accès réseau Zero Trust, vous pouvez faire en sorte que seuls les utilisateurs désignés, disposant des autorisations correctes peuvent accéder à des applications spécifiques. Cette stratégie peut empêcher les mouvements latéraux des acteurs malveillants au sein de votre environnement visant à analyser le réseau.
Détecter : les équipes de sécurité informatique doivent anticiper les menaces émergentes afin que puissent être mises en place les mesures de prévention appropriées.
L'adoption d'une plateforme de cybersécurité avancée vous permet d'analyser les schémas d'attaque au travers de réseaux mondiaux et de détecter les campagnes ciblant des secteurs industriels spécifiques ou des fournisseurs de systèmes de contrôle. Ces informations sur les menaces peuvent parvenir à votre équipe de sécurité des heures ou des jours avant toute attaque réelle. Votre plateforme de sécurité informatique peut alors bloquer de manière proactive l'infrastructure attaquante, appliquer des correctifs aux systèmes vulnérables ou mettre en œuvre des contrôles compensatoires, le tout avant que les systèmes opérationnels ne soient menacés.
Cette approche constitue un changement fondamental, permettant de passer de la sécurité réactive à la protection opérationnelle prédictive. La sécurité informatique devient un système d'alerte précoce pour les menaces à la fiabilité opérationnelle.
Réagir : répondre aux menaces en temps réel ne peut se faire sans automatisation.
Un service de pare-feu applicatif web (WAF) utilisant l'apprentissage automatique peut identifier et bloquer de manière autonome les menaces en temps réel. Pour certaines organisations d'infrastructure critique, l'adoption d'une solution de centre d'opérations de sécurité (SOC) en tant que service sera un complément important aux pare-feu d'applications web (WAF), aux solutions de protection contre les attaques DDoS et à d'autres solutions de sécurité. Le service SOC peut réagir rapidement aux attaques tout en procédant à des analyses de causes profondes, en publiant des rapports d'incidents détaillés et en aidant à élaborer des plans pour les contre-mesures futures.Adoptez un cadre tenant compte des risques
De nombreux opérateurs d'infrastructures essentielles gagneront à suivre le cadre de cybersécurité (CSF) du National Institute of Standards and Technology (NIST) pour la gestion du cyber-risque. Le CSF est conçu pour aider les organisations de toutes tailles à mieux comprendre, évaluer, hiérarchiser et discuter des risques de cybersécurité. Il est particulièrement utile pour gérer des environnements complexes, y compris ceux dans lesquels l'informatique et la technologie opérationnelle convergent.
Bien que le cadre ne recommande pas de solutions spécifiques, il peut vous aider à identifier les capacités de sécurité nécessaires et à améliorer les processus. Vous pouvez utiliser le cadre pour élaborer une stratégie efficace de sécurité informatique afin de garantir la continuité des opérations.
Permettre la convergence de l'informatique et des technologies opérationnelles
En réalité, la question n'est pas de savoir si la sécurité informatique doit protéger les systèmes liés à la technologie opérationnelle. Il s'agit de savoir si votre architecture de sécurité actuelle est prête pour un rôle élargi.
Cloudflare propose une gamme complète de fonctionnalités de cybersécurité cloud-native pour répondre aux principales menaces pouvant entraîner des perturbations de l'activité des opérateurs d'infrastructures critiques. Grâce aux services Cloudflare, les organisations peuvent obtenir des informations sur les menaces exploitables, bloquer automatiquement les menaces, arrêter les tentatives de phishing et établir un modèle zero trust pour empêcher les accès non autorisés au réseau. Une offre SOC-as-a-Service (SOC en tant que service) permet aux entreprises de déléguer à une équipe spécialisée la surveillance, la détection des menaces et la réponse aux incidents.
Ces services, ainsi que d'autres peuvent vous aider à respecter et à aller plus loin que les protections cybernétiques recommandées par le CSF du NIST. Avec Cloudflare, vous pouvez utiliser la sécurité informatique de manière efficace pour lutter contre les risques susceptibles de conduire à des perturbations de l'activité.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Découvrez les meilleures pratiques pour les projets de modernisation informatique qui peuvent vous aider à renforcer la sécurité et à prévenir les perturbations de l'activité dans l’e-book La manière simple d'obtenir une informatique efficace (en anglais) à l'attention des agences fédérales.
Auteur
Dan Kent — @danielkent1
Directeur technique sur site pour le secteur public, Cloudflare
Conclusions essentielles
Cet article vous permettra de mieux comprendre les aspects suivants :
Les répercussions des perturbations de l'activité sur les infrastructures essentielles
Stratégie en trois étapes pour appliquer la sécurité informatique à la technologie opérationnelle
Fonctionnalités de sécurité essentielles pour protéger la technologie opérationnelle