Support technique
Documentation
Connexion
Nous contacter
Que nous apprend l'incident d'approvisionnement en eau de la Floride sur la sécurité du SCI/OT ?
Le 10 janvier 2023 - L'équipe de relations publiques de TuxCare
C'est le scénario d'un film d'horreur : une cyberattaque qui altère l'approvisionnement en eau d'une ville et empoisonne ses habitants. Cela a failli se produire dans le monde réel.
En 2021, un pirate informatique a réussi à augmenter le niveau d'hydroxyde de sodium dans l'approvisionnement en eau d'Oldsmar, en Floride. Heureusement, le spectacle de l'horreur s'est arrêté rapidement, car un employé de la compagnie des eaux a remarqué le changement de niveau de l'approvisionnement et l'a rapidement remis à la normale.
L'incident était effrayant et, avec un peu de chance, le public a été sauvé d'un véritable danger. Cette histoire permet toutefois de tirer quelques leçons en matière de cybersécurité, notamment l'importance des correctifs.
Récapitulons ce qui s'est passé
Le magazine Wired a publié un compte rendu complet de l'incidentmais nous allons résumer ce qui s'est passé. Le vendredi 5 février 2021, il y a eu une tentative d'empoisonner l'approvisionnement en eau de la ville d'Oldsmar. Tout a commencé lorsqu'un pirate informatique a eu accès au système de contrôle industriel (ICS) d'une usine de traitement des eaux.
Le pirate a accédé au SCI en s'introduisant dans le logiciel TeamViewer utilisé par l'établissement pour permettre aux employés de contrôler à distance les systèmes de contrôle. À un moment donné pendant son quart de travail, l'un des employés a remarqué que le curseur de la souris bougeait sur TeamViewer.
Quelques heures plus tard, l'employé a remarqué que le curseur de la souris bougeait à nouveau - cette fois, il s'agissait d'un clic sur les contrôles de l'eau de l'installation, où le pirate a fait passer le niveau d'hydroxyde de sodium de 100 ppm à 11 100 ppm - un niveau toxique. Heureusement, le changement a été remarqué à temps et le membre de l'équipe l'a annulé presque immédiatement.
Mais comment le pirate a-t-il eu accès à TeamViewer ? Eh bien, vous avez déjà entendu le conseil de ne pas partager les mots de passe et de les changer régulièrement ? Apparemment, l'équipe technique de l'usine de traitement des eaux n'a jamais entendu ce conseil. (ou l'a ignoré).
L'ICS/OT est maintenant exposé
Prenons un peu de recul. Il n'y a pas si longtemps, les SCI et la technologie opérationnelle (OT) étaient - en général - complètement déconnectés du monde extérieur. Tout ajustement et contrôle était effectué sur place par des employés travaillant avec des systèmes qui sont, à toutes fins utiles, isolés d'Internet.
Pour que les attaques réussissent, il fallait généralement s'introduire physiquement dans l'installation. Ainsi, un employé mécontent, un employé placé là avec l'intention d'exécuter une attaque, ou une violation physique de l'installation serait le moyen par lequel un attaquant obtiendrait l'accès.
Ce n'est plus le cas car l'OT et l'IT convergent de plus en pluset que l'OT a de plus en plus besoin d'une connectivité internet pour fonctionner (pensez à l'IoT industriel, par exemple). L'attaque de l'installation de traitement des eaux illustre la facilité avec laquelle les ICS/OT peuvent être exposés au monde extérieur.
Ignorer les conseils les plus courants
Ces systèmes étant désormais davantage connectés au monde extérieur, les anciennes hypothèses concernant les mesures de sécurité à prendre autour des ICS/OT ne sont plus valables et les organisations qui travaillent avec les OT doivent passer à la vitesse supérieure et, à tout le moins, suivre les meilleures pratiques communes.
Et c'est là que le bât blesse : c'est toujours le même vieux conseil qui aurait pu sauver la situation, mais qui ne l'a jamais fait parce qu'il n'a pas été appliqué. Malgré toutes les connaissances, l'éducation et les rapports d'attaques réussies, on en revient presque toujours à la même vieille histoire.
Qu'il s'agisse de l'hygiène des mots de passe, de la gestion attentive des rôles et des privilèges ou du maintien d'un périmètre, les meilleures pratiques établies sont souvent ignorées, ce qui permet aux acteurs de la menace d'entrer. La menace qui pèse sur les infrastructures critiques est permanente. Les opérateurs de SCI et d'OT ne peuvent pas se permettre de prétendre que les notions dépassées des exigences de sécurité sont toujours valables et ne peuvent pas se permettre d'ignorer les conseils standard.
Cette fois, ce n'était pas le patch, mais ça aurait pu l'être.
L'application rapide et cohérente de correctifs est l'une des règles de bonne pratique en matière de cybersécurité qui est régulièrement ignorée, au même titre que les instructions simples sur les bonnes pratiques en matière de mots de passe. Pour être honnête, en ce qui concerne les correctifs, c'est un peu plus compliqué : le manque de ressources et la nécessité de programmer des fenêtres de maintenance pour mettre les systèmes hors ligne peuvent entraver l'application des correctifs.
Mais l'application de correctifs doit être faite, et elle doit être faite de manière cohérente. Heureusement, le jeu des correctifs a radicalement changé grâce aux correctifs en temps réel. qui est maintenant également disponible pour les ICS, OT et IIoT..
L'incident en Floride nous enseigne une leçon simple. Il est très dangereux d'ignorer de simples principes de cybersécurité. Dans ce cas, le danger a été évité de justesse. Ce ne sera pas toujours le cas. L'application de correctifs est l'un des principes de cybersécurité les plus couramment ignorés - et aussi la cause principale des brèches réussies.
Alors, corrigez - et corrigez maintenant. Vous avez du mal à appliquer des correctifs ? Découvrez comment l'application automatique de correctifs en temps réel peut vous aider..
