Nous suivre Industrie Techno

Avis d'expert

[Avis d'expert] "Prendre conscience de l'incarnation physique du risque cyber"

[Avis d'expert]

Après l'attaque menée contre les installations du producteur d'aluminium Norsk Hydro, Julien Tarnowski directeur France du spécialiste de la sécurité réseau Forescout, livre son analyse. Et met en garde les industriels contre une nouvelle génération d'agression cyber, pouvant mettre en berne leur production.

Norsk Hydro, l'un des plus grands producteurs d'aluminium au monde, a été la victime d'une vague d’attaques par malwares et ransomwares qui a impacté ses activités à l’échelle mondiale, illustrant à quel point le cyberespace se matérialise désormais physiquement. Les cyberattaques et les demandes de rançon peuvent causer des interruptions coûteuses et contraindre les entreprises à adopter des processus manuels pour assurer la continuité de leurs opérations. Ceci impact particulièrement les activités sur les opérations qui couvrent les différents environnements de technologie opérationnelle multisites (OT), comme avec Norsk Hydro. L’annonce de la cyber-attaque a été rendue publique le 19 mars dernier sur la page d’accueil du site Internet du producteur d’aluminium, notamment pour annoncer son impact sur l'activité de l’entreprise dans la fabrication de l'aluminium. Sur de nombreux sites, Norsk Hydro a été forcé de passer majoritairement à des opérations manuelles, bien que certains équipements, comme les barrages hydroélectriques, non connectés aux réseaux affectés par l'attaque, aient continué à fonctionner. Dans le même ordre, Hydro a déclaré que les usines d'aluminium situées en Amérique du Sud et au Moyen-Orient n'ont pas été touchées par cette attaque. Il faut souligner les efforts de l’entreprise à déployer une communication rapide et réglementée quant à l'attaque subie et à ses effets. Conformément aux exigences du RGPD, Norsk Hydro a travaillé dans ce cadre avec la NNSSA, Autorité norvégienne de sécurité nationale chargée de la cybersécurité. L’entreprise, à travers son directeur financier : Eivind Kallevik, a communiqué quant à l’impact financier subi par cette l’attaque, ainsi que ses efforts pour la contenir et y remédier. Cette collaboration a permis de révéler que l'attaque impliquait la famille de logiciels de ransomware LockerGoga et a favorisé l’alerte d’autres entreprises privées quant à cette attaque et à son comportement.

Caractéristiques de l’attaque

Si les hackers avaient été en mesure de compromettre un système pour obtenir l'accès à l’administrateur de domaine, le ransomware LockerGoga aurait pu être propagé au sein du domaine en utilisant une mise à jour forcée des objets de stratégies de groupe (GPO-Group Policy Object). Pour l’heure, ce qui est certain, c'est qu'il n'y a pas eu de commandement et contrôle (C2), d’attaque DNS ou de méthodes de propagation utilisées par le malware. Dans ce contexte, LockerGoga ne peut être utilisé que dans le cadre d'une attaque ciblée, il doit, en effet, être déployé par un attaquant qui dispose d’un accès administrateur. Alors, comment Norsk Hydro a-t-elle pu être impactée ?

Les hackers peuvent obtenir l'accès de l'administrateur aux sites de diverses façons. L’approche la plus courante consiste à se procurer des identifiants de travail à distance. L'utilisation de RDP, protocole qui permet à un utilisateur de se connecter sur un serveur exécutant Microsoft Terminal Services, permet aux attaquants d'accéder à distance au réseau d'une organisation, qu'ils peuvent passer des semaines voir des mois à étudier à la recherche de données sensibles, avant de lancer une attaque par ransomware.

Mesures préventives

À cause des caractéristiques de ce malware, il est difficile de l’intercepter sur le réseau via les méthodes classiques (règles Yara ou signatures), plusieurs systèmes de protection des terminaux ne l'ont d’ailleurs pas reconnu. Dans ce cas de figure, l'utilisation de techniques d'analyse comportementale est décisive pour identifier l'activité des hackers et de leurs attaques afin d'atténuer efficacement tout dégât potentiel. Une attaque par ransomware comme LockerGoga est typiquement un événement affectant la technologie de l’information (IT). Traditionnellement, les personnes qui gèrent les systèmes de contrôle industriel (SCI) n'ont pas eu besoin de répondre à ce type de problèmes informatiques. Cependant, à mesure que les usines deviennent de plus en plus interconnectées, l'IT et les SCI ne peuvent plus être considérés comme deux domaines distincts. Les récents exemples de malwares tels que WannaCry, EternalBlue, et aujourd’hui LockerGoga l’ont montré, les conséquences sont de plus en plus sévères sur les réseaux de technologie opérationnelle (OT). Dans le cas présent, même si Norsk Hydro affirme avoir pu passer certains de ses processus en mode manuel, un site industriel ou un réseau SCI, qui s’appuie sur des systèmes automatisés, ne pourra pas être géré de façon aussi efficace ou aussi sécurisé en mode manuel. Avec une surface d'attaques étendue et des hackers de plus en plus ingénieux toutes les industries doivent aujourd'hui prendre la mesure de l'incarnation physique du risque cyber. Dans ce contexte, il est important pour le secteur de l'industrie d'avoir mis en place un programme de sécurité qui se concentre sur l'ensemble de l'organisation, et pas uniquement sur les réseaux informatiques ou simplement sur les réseaux SCI, et favorise la convergence IT et OT grâce à une visibilité de l'ensemble des dispositifs connectés, pour faciliter à la fois la détection et une réponse rapide en cas d'attaque.

 

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Les 5 meilleurs cas d’usages de l’intelligence artificielle en cybersécurité selon Capgemini

Les 5 meilleurs cas d’usages de l’intelligence artificielle en cybersécurité selon Capgemini

L'intelligence artificielle a vocation à aider les entreprises à assurer leur cyber-défense par ses capacités à[…]

L'IA, un allié pour détecter les intrusions en cybersécurité

L'IA, un allié pour détecter les intrusions en cybersécurité

Drone anti-incendie, cybersécurité, nanosatellites… les meilleures innovations de la semaine

Drone anti-incendie, cybersécurité, nanosatellites… les meilleures innovations de la semaine

3 leçons à retenir pour préparer son entreprise aux cybermenaces

3 leçons à retenir pour préparer son entreprise aux cybermenaces

Plus d'articles