KICS : En route pour la sécurité industrielle

Hourra !

Nous avons lancé KICS (Kaspersky Industrial CyberSecurity), notre nouvelle protection spécialisée contre les cyber-maladies qui protège les usines, les centrales électriques, les hôpitaux, les aéroports, les hôtels, les entrepôts, votre restaurant préféré et des milliers d’autres types d’entreprises utilisant des systèmes de contrôle industriels (SCI). Dit d’une autre manière, car il est rare de nos jours qu’une entreprise n’utilise pas ce type de systèmes, nous avons lancé une solution cybernétique pour des millions d’entreprises à travers le monde, qu’elles soient grandes, moyennes ou petites et qu’elles soient spécialisées en production ou en services.

Qu’est-ce que KICS ? À quoi sert-elle ? Premièrement, effectuons un petit retour en arrière…

Avant les années 2000, une attaque cybernétique contre une infrastructure industrielle relevait de la science-fiction. Mais le 14 août 2003, dans le nord-est des États-Unis et dans le sud-est du Canada, la science-fiction est devenue réalité :

kaspersky-industrial-security-1

À cause de la défaillance technique d’une partie du réseau électrique, 50 millions de nord-américains se sont retrouvés sans électricité – certains d’entre eux pendant plusieurs heures, d’autres pendant plusieurs jours. Plusieurs explications avaient été avancées afin d’expliquer cette catastrophe causée par l’homme, parmi elles : des arbres mal entretenus, la foudre, des écureuils malicieux, et les dommages collatéraux d’une cyberattaque qui utilisait le ver informatique Slammer (Blaster).

D’après ce que j’ai compris, ce qui s’est vraiment passé est en fait le fruit d’une combinaison de tous ces facteurs. Il y avait le malheureux mélange (arbres/écureuils) et en même temps le ver a accidentellement désactivé tout le système de communication : un petit état d’urgence local s’est transformé en un état d’urgence dans toute une région car les mécanismes de contrôle de la centrale n’ont pas été capables de gérer la situation, produisant un effet domino dans toute la région.

Des incidents similaires à celui-ci s’étaient certainement déjà produits auparavant, les SCI et les réseaux informatiques existant déjà depuis plusieurs dizaines d’années. Mais ces incidents étaient soit ignorés soit expliqués par d’autres causes. Un élément encore plus important de nos jours est le fait que depuis 2003, on observe toujours plus d’actualités impliquant des cyberattaques contre des cibles industrielles et elles sont de plus en plus fréquentes. En 2010, l’attaque Stuxnet contre le programme nucléaire iranien a démontré que le problème touche également le secteur militaire.

kaspersky-industrial-security-2

Conclusion : Les infrastructures industrielles sont également vulnérables aux cyberattaques, et les conséquences pourraient être trèèèès désagréables voire même catastrophiques si l’on ignore ce phénomène.

Il est désormais plus que clair que les structures industrielles ont besoin d’être protégées, mais comment ?

Eh bien, les solutions standard ne protègent que certaines parties de ces infrastructures, plus particulièrement, la partie que l’on appelle « réseau corporatif ». La protection des processus de production, c’est-à-dire le réseau industriel, requière une toute différente approche, les réseaux industriels étant une espèce complètement différente – qu’il s’agisse des choses à protéger (PLC, SCADA, HMI, etc.), de l’environnement dans lequel ils se trouvent, ou encore plus important, de leurs fonctions et de comment ils les remplissent.

Contrairement à l’environnement des technologies de l’information d’une entreprise classique, ce qui est essentiel pour les technologies de l’information du monde industriel c’est de contrôler les processus de production, sans aucune interruption, en continu, 24h/24 et 7j/7 : c’est absolument crucial. C’est tellement essentiel que la fameuse trinité des concepts clés de la sécurité de l’information, à savoir : confidentialité, intégrité et disponibilité – dans cet ordre, se voit réorganisée de la manière suivante : disponibilité, intégrité et confidentialité. Mais pour être sécurisé, il ne suffit pas uniquement d’adapter ce trio, non ? C’est la raison pour laquelle nous avons remonté nos manches pour créer KICS.

kaspersky-industrial-security-3

Soyons très clairs dès le début : il ne s’agit pas d’un produit mais d’une solution.

Installer un simple logiciel de sécurité ne suffit pas pour protéger tout un réseau industriel. Les processus internes, les technologies et les équipements ont besoin d’être analysés, un modèle de menaces et une stratégie de protection doivent être développés, le logiciel doit s’adapter aux besoins spécifiques du réseau, des experts doivent être formés, etc. – tout cela, pour maintenir cette continuité essentielle.

Nous avons fait tout cela – aidés par nos clients corporatifs/industriels afin d’analyser les meilleures pratiques – et nous comptons déjà deux installations réussies de KICS – l’une dans une société pétrolière, l’autre dans un port maritime. Et les premiers résultats dans les deux cas sont vraiiiiiment intéressants…

…Malheureusement, comme vous vous en doutez, je ne peux pas vous donner de détails.  Je peux seulement vous donner les grandes lignes, pour que vous compreniez mieux ce à quoi nous sommes confrontés :

Après quelques jours de fonctionnement sur le réseau industriel d’un de nos clients, nous avons détecté plusieurs infractions à la sécurité très sérieuses, y compris la connexion malheureuse de l’ordinateur portable d’un employé au réseau (oups !). Comme je l’ai dit, cela s’est produit en quelques jours. Vous imaginez ce que nous trouverons d’ici un mois ou même un an ? Oui, toutes sortes de dangers. Mais c’est pour cela que KICS est là : pour vous protéger contre chacun d’entre eux.

D’une certaine façon, les réseaux industriels sont encore moins protégés que l’environnement professionnel standard des TI. Vraiment !

Il existe une croyance populaire concernant les objets industriels qui consiste à dire « si cela fonctionne, n’y touche pas ». Bien évidemment, ce n’est pas le cas partout, mais ce genre de maxime reste malheureusement très courante. Cela signifie que si un processus de production informatisé fonctionne bien, il se pourrait qu’il ne soit jamais mis à jour, même s’il a plus de 20 ans ! Et il se pourrait qu’il soit connecté à Internet ! Le plus important étant DE NE PAS Y TOUCHER ! Et attention si quelqu’un avait le malheur de vouloir en améliorer la sécurité : on le mettrait à la porte avant qu’il n’ait le temps de dire : « Installer des patchs ? 21ème siècle ? Les gars ? HELLO ? », s’il n’avait ne serait-ce qu’une minute l’idée de modifier le système.

Mais de nos jours, on ne peut pas se permettre d’avoir des systèmes de contrôle industriels vulnérables simplement parce qu’ils requièrent une continuité. C’est tout simplement impossible.

À la fin de l’année dernière, nous avons organisé un concours afin d’étudier les vecteurs d’attaque contre les infrastructures critiques. Pour ce concours, nous avons utilisé un panneau doté d’une vraie sous-station électrique (construite selon les technologies modernes et la norme IEC1850).

kaspersky-industrial-security-4

Et devinez ce qui s’est passé ?

Elle a été piratée en trois heures – non pas avec une seule méthode d’attaque mais avec deux. Et pendant deux jours entiers, elle a été piratée 26 fois et est tombée complètement en panne dans un grand nombre de cas. Tous les appareils qui y étaient connectés ont été détruits, on y a même découvert une vulnérabilité zero-day !

Mais n’ayez pas peur, KICS est là ! Elle a détecté chacune des attaques. Sur un vrai réseau, elle les aurait donc toutes arrêtées – et oui, mes chers ingénieurs de production, tout cela sans interrompre la production une seule fois !

LIRE LES COMMENTAIRES 0
Laisser un commentaire