LeSoleilSurMonOrdi.ca

LES SYSTÈMES INDUSTRIELS DANS LA MIRE DES PIRATES

BENJAMIN-HUGO LEBLANC Directeur, services en cybersécurité chez KPMG

Le 8 février 2021, le shérif du comté de Pinellas en Floride, Bob Gualtieri, annonçait en conférence de presse le piratage d’une usine d’approvisionnement en eau de la ville d’Oldsmar. Rançongiciel? Exfiltration de données sensibles? Pire que cela : l’attaquant avait été en mesure d’augmenter, dans des proportions dangereuses pour la santé, le niveau d’hydroxyde de sodium (soude caustique) dans l’eau potable — un additif chimique pour le contrôle des agents pathogènes.

Heureusement, un opérateur avait rapidement remarqué quelque chose d’anormal et s’était aussitôt empressé de corriger la concentration d’hydroxyde de sodium, évitant de peu la catastrophe. L’incident survenait seulement trois semaines après qu’une usine semblable, desservant une partie de la baie de San Francisco, ait été elle aussi piratée — l’intrus se limitant cette fois à effacer des programmes de contrôle du traitement de l’eau.

Dans les deux cas, les interfaces de contrôle industriel étaient accessibles sur des postes de travail qui, eux-mêmes, autorisaient une connexion depuis Internet au moyen du logiciel de prise en main à distance TeamViewer.

Il avait donc suffi aux cybercriminels de mettre la main sur des noms d’utilisateurs et leur mot de

passe associé, pour pouvoir ainsi agir de n’importe où et à tout moment. Avec une facilité pour le moins déconcertante, au vu de l’importance critique des systèmes visés et le peu de défenses en place pour en contrôler l’accès.

Comment l’expliquer?

CONVERGENCE DE DEUX UNIVERS

Longtemps, les technologies opérationnelles (TO) ont fonctionné en vase clos par une gestion sur site, relativement isolée des technologies de l’information (TI) dont font partie les postes de travail, serveurs de données, services infonuagiques, etc.

Qu’il s’agisse de la régulation des feux de circulation, du tri automatisé des bagages et du balisage des pistes dans un aéroport, de la coordination des robots assembleurs sur une chaîne de montage ou encore des systèmes centralisés d’éclairage, d’ascenseurs et de détection des incendies, les TO se sont donc développées sans réelle préoccupation à l’égard de leurs failles exploitables.

Parce qu’elles faisaient reposer leur sécurité d’accès sur un contrôle physique au périmètre, certes, mais aussi parce que ces systèmes sont généralement déployés pour fonctionner des dizaines d’années sans le bénéfice de mises à jour qui seraient complexes à appliquer, avec pour résultats la fragilité croissante de dispositifs vétustes et l’accumulation hautement probable de vulnérabilités diverses.

Or, en cette ère d’interconnectivité où des ponts sont jetés entre machines, réseaux et systèmes, la frontière qui séparait jadis TI et TO se fait désormais plus poreuse. Une interconnectivité qui a fortement contribué à la numérisation des processus industriels — ce qu’on nomme communément l’industrie 4.0 — et qui leur permet de gagner en efficacité, mais qui comporte aussi son lot de risques!

ÉPÉE DE DAMOCLÈS

Car contrairement aux TI qui traitent et doivent assurer la sécurité des données, lesquelles sont par nature immatérielles, les TO se distinguent quant à elles par la conduite d’actions concrètes dans le monde physique, avec de lourds impacts potentiels pouvant même, dans certains cas extrêmes, mener à la perte de vies humaines.

Il n’est qu’à penser aux conséquences que pourraient avoir, en usine, de mauvaises commandes envoyées à une chaudière à vapeur, ou encore la compromission de systèmes de contrôle de la signalisation routière, d’une centrale hydro-électrique ou de toute autre infrastructure essentielle. Les TO sont partout, omniprésentes, et les scénarios de risque abondent.

D’autant que les attaques sur de tels systèmes ne sont plus l’apanage exclusif des États — comme ce fut le cas en 2010 pour le piratage des centrifugeuses nucléaires de la centrale iranienne de Natanz, ou celui du réseau électrique ukrainien au moment de l’intervention militaire russe de décembre 2015 —, mais sont de plus en plus à la portée d’acteurs non étatiques.

En raison de savoir-faire qui progressivement se diffusent, mais aussi parce que l’opportunisme de certains attaquants n’exige pas de mobiliser les ressources de pointe nécessaires à la logique militaire d’un objectif de mission précis.

Il en retourne qu’à court et moyen terme, et sans chercher à jouer les Cassandre, d’autres incidents sont probablement à prévoir; du moins, tant et aussi longtemps que la convergence des technologies ne sera pas systématiquement accompagnée de mesures de précaution et de prévention adaptées.

VERS UNE CYBERSÉCURITÉ TI/TO MIEUX INTÉGRÉE

Aussi faudra-t-il sans doute parvenir, dès que possible, à un modèle de sécurité qui intègre mieux les réalités à la fois informationnelles et opérationnelles. En l’état actuel, KPMG constate qu’un manque de familiarité réciproque à l’égard des besoins des uns et des autres mine souvent, en contrepartie, les efforts de collaboration et la synergie nécessaires.

En guise d’exemple, on ne peut pas simplement plaquer le modèle de sécurité des TI sur les TO; alors que les premières priorisent la confidentialité des données, puis leur intégrité et enfin leur disponibilité, les secondes mettent d’abord en avant la sûreté de fonctionnement pour ensuite inverser l’ordre des trois principes suivants — disponibilité, puis intégrité et enfin confidentialité.

En outre, le réflexe cybersécuritaire des TI qui consiste à segmenter et cloisonner, quoique toujours valable et préconisé par la norme IEC 62443 de cybersécurité industrielle, ne peut ici suffire; une surveillance doit notamment s’étendre aux flux de commandes entre systèmes de contrôle, senseurs et automates pour en garantir la légitimité — ce qui implique des solutions capables d’interpréter les protocoles industriels utilisés.

Ce à quoi on peut encore ajouter une définition claire des rôles et responsabilités; une recension exhaustive des systèmes; un programme de gestion cyclique des vulnérabilités par détection et application de correctifs; ainsi qu’une sécurité d’accès robuste pour les dispositifs de télémaintenance… à l’inverse de ce qui a été observé à Oldsmar et à San Francisco.

AFFAIRES

fr-ca

2023-02-04T08:00:00.0000000Z

2023-02-04T08:00:00.0000000Z

https://lesoleil.pressreader.com/article/281805698080078

Groupe Capitales Media