Le récent piratage informatique des activités de l’usine de traitement de l’eau à Oldsmar, en Floride, est encore un rappel brutal du danger croissant des menaces cyber-physiques. La transition vers la sécurité convergente des systèmes informatiques, opérationnels et de la sécurité physique n’a jamais été aussi urgente.
L’incident
L’attaque effectuée sur le site de traitement de l’eau semble avoir été une tentative de piratage du système informatique où un pirate a obtenu un accès et a tenté de modifier les niveaux d’hydroxyde de sodium (utilisée pour traiter l’eau) pour les faire passer de 100 parties par million à 11 100 parties par million. La modification ciblée de la concentration du produit chimique a été remarquée avant sa mise en œuvre, évitant ainsi une catastrophe potentielle concernant l’approvisionnement en eau des 14 000 habitants de la région. Si le processus avait été mené à terme, l’augmentation des niveaux d’hydroxyde de sodium, également connue sous le nom de soude caustique, aurait pu amener l’eau de la ville à des niveaux potentiellement mortels.
Selon certains médias, le pirate a pu mener l’attaque en compromettant un logiciel d’accès à distance nommé TeamViewer installé sur un des ordinateurs du site. TeamViewer permet aux employés de partager des écrans pour régler les problèmes opérationnels et informatiques. Heureusement, un employé surveillant l’ordinateur a remarqué des mouvements de souris et des frappes au clavier suspects et pu contrer l’attaque avant son exécution.
Bloomberg Law l’a qualifié d’« avertissement qui dure depuis 20 ans », les experts plaidant pour la nécessité d’une plus grande protection au niveau municipal et d’une sensibilisation accrue aux cyberincidents visant les infrastructures critiques et les systèmes de commande.
Les entreprises travaillent toujours de manière compartimentée, mais pas les pirates
Selon le rapport « The State of Security Convergence in the United States, Europe and India », publié par l’ASIS Foundation en 2019, les entreprises sont souvent lentes à s’adapter au changement, sauf si elles sont obligées de le faire. « La réticence à converger est souvent centrée sur des questions de personnes », indique le rapport. Le personnel responsable de la sécurité physique, de l’informatique et de l’exploitation est généralement prisonnier de structures compartimentées intégrées depuis longtemps et est réticent au changement, de crainte que la convergence ne se traduise par une restriction de ses attributions. Cependant, les pirates ne fonctionnent pas de cette façon et, au final, capitalisent sur ces rôles traditionnels qui font que les membres du personnel travaillent de manière isolée les uns des autres.
Le problème est aggravé par le fait que les systèmes de surveillance de ces fonctions sont rarement intégrés, et encore plus rarement corrélés pour la compréhension contextuelle d’un évènement de sécurité en évolution. Les personnes et les systèmes sont isolés les uns des autres par la définition même de la sécurité à mi-chemin.
Les secteurs comprenant des infrastructures critiques continuent d’ignorer la réalité : des millions de dollars sont dépensés pour ces de sécurité à mi-chemin, alors que les violations se poursuivent sans relâche et que les vecteurs de menace augmentent. Les dépenses actuelles en matière de conformité réglementaire et de sécurité réseau ignorent trop souvent une vulnérabilité structurelle : la sécurité pensée de manière compartimentée et doit cesser de l’être.
Trois recommandations
1. L’entreprise intelligente a besoin d’une sécurité intelligente
L’évolution constante du paysage des menaces nécessite un changement d’état d’esprit axé sur la convergence en matière de sécurité. Faire face aux menaces nouvelles et émergentes nécessite des plateformes intelligentes capables de faire converger efficacement les applications et de tirer parti des volumes de données, de l’apprentissage automatique et de l’analyse prédictive dans les environnements opérationnel, informatique et de sécurité physique.
2. L’inévitable aspect humain de la sécurité
Au centre de la sécurité convergente, se trouvent les personnes, l’identité et la confiance. Le télétravail et l’accessibilité à distance ont cru de manière exponentielle pendant la pandémie et le consensus de plus en plus partagé est que l’avenir de nombreuses entreprises comprendra une importante part de télétravailleurs. Mais savez-vous qui gère le fonctionnement des infrastructures critiques ?
Prenons l’exemple d’un employé capable de se connecter aux systèmes opérationnels d’une entreprise de services publics ou d’énergie sans accès légitime ou sans utiliser sa propre carte d’accès, mais simplement en suivant quelqu’un à l’intérieur d’un bâtiment. L’accès aux systèmes opérationnels sans vérification par badge doit déclencher des vérifications et des alarmes automatisées afin d’alerter la sécurité et d’enquêter sur une violation physique, qu’elle soit volontaire ou non. Les RH constituent un élément fondamental de la solution pour les entreprises prêtes à prendre des risques et sont essentielles à la gestion efficace de la main-d’œuvre, jouant le rôle de source de référence unique en matière d’identité. Une plateforme technologique de sécurité convergente, comprenant une vue unique des paramètres informatiques, physiques et opérationnels, offre une réponse unifiée et proactive aux menaces pour un large éventail d’incidents, grâce à des connexions de données en temps réel dans toutes les applications critiques de l’entreprise.
3. Protection contre les menaces internes 2.0
La sensibilisation unifiée à la sécurité et l’intelligence situationnelle optimisée par l’IA offrent une vue centralisée des menaces complexes dans les domaines informatique, physique et opérationnel, tandis que les processus automatisés priorisent la réponse en fonction des risques et de la criticité. Les données en temps réel se transforment en informations et en actions grâce à l’IA d’Identity Intelligence, consolidant davantage les informations afin de corréler les menaces pour une prise de décision éclairée.
La voie à suivre
Dans un communiqué de presse datant de septembre 2020, Gartner a prédit que d’ici 2024, la responsabilité des incidents de sécurité cyber-physique « déchirera le voile de l’entreprise jusqu’à la responsabilité personnelle » pour 75 % des PDG. En réponse, « le législateur et les gouvernements réagiront rapidement à une augmentation des incidents graves résultant de l’échec de la sécurisation des systèmes cyber-physiques, ce qui conduira à une sérieuse inflation législative et réglementaire pour les régir », a déclaré Katell Thielemann, vice-présidente de la recherche chez Gartner. « Bientôt, les PDG ne pourront plus plaider l’ignorance ou se retrancher derrière les polices d’assurance. »
Nous vivons une époque sans précédent. Les attaques visant des environnements à fort niveau d’actifs, tels que les infrastructures critiques et les soins de santé, continueront de se multiplier à mesure que des acteurs malveillants créeront de nouvelles méthodes pour exploiter les vulnérabilités potentielles. Du COVID-19 aux cyberattaques, les menaces sont nombreuses et complexes. En tant que leaders de la sécurité et de la technologie, nous sommes obligés de relever le défi. Chez Alert Enterprise, nous pensons que la seule solution passe par une approche de convergence, allant au-delà de la cybersécurité basée sur l’informatique.
Par Mark Weatherford
Directeur de la sécurité informatique (CISO) Alert Enterprise