Alors que le gouvernement français communique sur les rasomwares, et que ce soir une émission TV enquête sur ces cyberattaques, il est temps de rappeler que les derniers cas les plus difficiles à gérer concernaient les systèmes industriels. Parmi les événements malveillants actuels, les ransomwares (en français = les rançongiciels ) sont les plus redoutés pour ces systèmes. Rien qu’au premier semestre 2017, les experts ont découvert des cyberattaques de cryptage appartenant à 33 familles différentes. Les 2 événements les plus connus d’attaques destructrices de ransomwares sont WannaCry et ExPetr. Et peut-être avez-vous entendu parler de Locky et de Cerber, qui, selon les experts Google ont permis aux cybercriminels de réaliser de très grands profits en 2 ans : 5,8 millions d’euros (https://threatpost.com/google-study-quantifies-ransomware-revenue/127057/).
Pour illustrer la force de ces cyberattaques, saviez-vous que 63 pays ont été touchés en 2017, et qu’à la mi janvier par exemple, 8 jours avant l'inauguration de Donald Trump, le système de vidéosurveillance utilisé par le département de police et ses 187 dispositifs de stockage de données ont été infectés par un rançongiciel de cryptage ?
Selon le Washington Post, la ville n'aurait payé aucune rançon. Mais pour restaurer les périphériques affectés au fonctionnement normal, ils ont été mis hors ligne et tous les logiciels ont été réinstallés. Sur un site industriel, l’arrêt informatique a des conséquences dramatiques à tous les niveaux de l’entreprise.
Les incidents affectant la sécurité de l'information des systèmes industriels sont récurrents et intenses. Les chercheurs en sécurité découvrent sans cesse de nouvelles vulnérabilités dans tous les vecteurs industriels :
A noter que les systèmes de technologie opérationnelle sont plus vulnérables aux cyberattaques que les systèmes informatiques. Ils sont souvent exposés aux menaces via Internet. De plus, les dommages causés par les logiciels malveillants peuvent dépasser ceux du réseau de l’entreprise industrielle considérée. Par exemple, la lutte contre les incendies dans le cas d’attaques des systèmes de technologie opérationnelle est beaucoup plus complexe.
Les entreprises industrielles ont démontré depuis WannaCry et ExPetr, à quel point leur organisation et leur personnel sont inefficaces lors d’une cyberattaque sur leur infrastructure opérationnelle. C’est une forme de terrorisme digital, lequel transforme les systèmes industriels en une cible de choix pour les attaques d'un ransomware.
Les systèmes industriels sont généralement infectés par des ordinateurs qui exécutent une ou plusieurs des fonctions suivantes :
Ces menaces s’adressent également aux ordinateurs des employés des organisations d'entrepreneurs et les ordinateurs des administrateurs de réseaux de contrôle industriel, ainsi que des développeurs de logiciels pour les systèmes d'automatisation industrielle.
Une autre possibilité pour les cybercriminels est d'accéder à la boîte aux lettres légitime d'un des employés de l'entreprise industrielle attaquée en utilisant soit un Trojan Spy et / ou un Trojan Backdoor, puis d'envoyer des courriels frauduleux à partir de cette boîte aux lettres. Les hameçonneurs peuvent également envoyer des courriels avec des en-têtes d'e-mails falsifiés pointant vers la boîte aux lettres légitime en tant qu'expéditeur.
Les attaques malveillantes sont de plus en plus fréquentes, et de plus en plus ciblées grâce aux mails. L’architecture de messagerie d’un site industriel contient des boîtes aux lettres virtuelles de milliers d’employés et d’intervenants externes, autant de boîtes mails et de systèmes qui doivent être protégées par une solution de monitoring performante.
