Nous suivre Industrie Techno

Exclusif

Rapport Kapersky sur les cyberattaques industrielles : moins nombreuses mais plus sophistiquées

Kevin Poireault

Sujets relatifs :

, ,
Soyez le premier à réagir

Soyez le premier à réagir

Rapport Kapersky sur les cyberattaques industrielles : moins nombreuses mais plus sophistiquées

© Kaspersky

Industrie & Technologies présente, en exclusivité en France, les résultats d’un rapport mené par Kaspersky sur les cyber-attaques industrielles durant le premier semestre 2020. Si leur nombre a baissé par rapport au second semestre 2019, les attaques se font plus sophistiquées et ciblées, tirant profit de la convergence IT-OT.

A première vue, le constat est rassurant. Selon un rapport de Kaspersky obtenu par Industrie & Technologies en exclusivité ce mardi 6 octobre, seuls 32,6 % des ordinateurs reliés aux systèmes informatiques industriels (OT) étudiés par le spécialiste russe de la cybersécurité dans le monde ont été infectés par un logiciel malveillant au premier semestre 2020. C’est 6,6% de moins qu’au second semestre 2019.

Et pour cause : les trois vecteurs d’attaques principaux sont en recul, d’après Kapersky : 16,7% des équipements étaient exposés sur internet, soit -6,4% par rapport au précédent semestre, des malwares installés via clés USB ou disques durs externes n’ont été identifiés que sur 5,8% des ordinateurs (-1,9%), et les pièces-jointes vérolées dans les e-mails ont touché seulement 3,4% des machines (-1,1%). Après avoir évité de peu la cyber-catastrophe industrielle à plusieurs reprises, avec Stuxnet ou Triton, l’industrie a pris conscience des risques. Notamment dans l’Hexagone : « La maturité de nos industriels français vis-à-vis des enjeux de cybersécurité est en hausse, pointe Samy Tadjine, expert en cybersécurité industrielle chez Kaspersky. On commence à constituer des équipes cyber, à développer des politiques de sécurité, à y allouer des budgets. »

Des attaques de moindre quantité mais de meilleure « qualité »

Pour autant, le tableau des cyber-menaces est contrasté. Derrière cette baisse générale des infections, les secteurs du BTP et des hydrocarbures subissent, eux, un regain de machines piratées (respectivement, +1,9% et + 1,6%).

Surtout, à la quantité des attaques se substitue aujourd’hui leur qualité : « Nous sommes passés d'attaques massives pour implanter des malwares dans les entreprises à des attaques beaucoup plus ciblées », note Bertrand Trastour, responsable des activités B2B pour la France au sein de Kaspersky. Ce fut le cas de WildPressure, une campagne d’attaque en mars 2020 utilisant le cheval de Troie Milum et visant des sociétés industrielles au Moyen Orient. Ou encore de l’infiltration, fin avril, des systèmes de contrôle-commande d’une station d’épuration israélienne.

La convergence IT/OT, canal d’infiltration des cyberattaques industrielles nouvelle génération

L’autre danger, pour les systèmes d’information industriels, vient de leur porosité croissante avec les systèmes IT de l’entreprise, « une tendance qui s’est accélérée « avec la généralisation du télétravail dû au covid-19 », indique Bertrand Trastour. Selon une autre étude de Kaspersky, publiée au même moment, 30% des entreprises interrogées confirment qu'elles travaillaient avec une main-d'œuvre à distance pendant le covid-19. Ceci explique probablement pourquoi, sur les plus de 19 700 logiciels malveillants de 4 119 familles répertoriés par le rapport Kaspersky, les backdoors (portes dérobées), les spywares (logiciels espions) et les malwares corrompant les services Windows comme Win32 ou .Net soient en hausse.

Enfin, une autre grosse tendance de 2019 s’est poursuivi en 2020 : la majorité des attaques recensées sont le fait de ransomwares (rançongiciels). Dans ce rapport, 9 des 13 cyber-incidents majeurs de l’année listés par la firme russe sont dus à des ransomwares. « Ce qui est un peu nouveau, c’est que l’on a vu, avec le covid-19, des tentatives, non seulement d’exfiltration de données mais également de destruction des systèmes d’information, avec une véritable volonté de détruire, dans la santé (hôpitaux, laboratoires pharmaceutiques) ou dans l’industrie », alerte Bertrand Trastour.

Des ransomwares IT dévastateurs et des ransomwares OT sophistiqués

Parmi ces ransomwares, la majorité profite de cette convergence IT/OT pour s’immiscer, côté IT, dans l’ERP via des e-mails ou autres, puis infiltrer les systèmes d’informations industriels. Ce fut le cas de Ragnar Locker, un ransomware qui s’en est pris à la compagnie Energias de Portugal en avril, et à CMA CGM fin septembre. Mais aussi de l’histoire tragique de l’hôpital de Düsseldorf en septembre, première attaque de ransomware à causer la mort directe d’un individu. Là, « on ne rigole plus », titrait Eugène Kaspersky, dans un billet de blog dans lequel il décortiquait Shitrix, la vulnérabilité dans les serveurs Citrix Netscaler qui a permis aux hackers de s’introduire dans le réseau de l’hôpital.

D’autres ransomwares sont « capables non seulement de chiffrer des données, mais de comprendre les protocoles de communications utilisés par les machines industrielles et de les chiffrer afin de rendre inopérable l’ensemble de l’outil de production, sans possibilité d’isoler les machines infectées », détaille Samy Tadjine. L’un des premiers ransomwares de ce genre, Snake, auquel Industrie & Technologies avait consacré un article en début d’année 2020, a notamment été utilisé comme dernière phase d’attaques ciblant plusieurs entreprises, parmi lesquels, début juin, les sites en Europe et au Japon du constructeur japonais Honda. « Nous verrons beaucoup d’autres ransomwares aussi sophistiqués à l’avenir », prévient Samy Tadjine.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Wallix renforce sa présence en région et s’attaque à la cybersécurité industrielle et à l'IoT

Wallix renforce sa présence en région et s’attaque à la cybersécurité industrielle et à l'IoT

On le sait désormais : le Campus cyber ambitionne de tisser un cyber-réseau en région. Un travail qu’a déjà[…]

« A La Défense, le Campus cyber accueillera 60 sociétés dès septembre 2021 », annonce Michel Van Den Berghe

« A La Défense, le Campus cyber accueillera 60 sociétés dès septembre 2021 », annonce Michel Van Den Berghe

Paris Cyber Week : la crise du covid-19, catalyseur de la souveraineté numérique européenne ?

Paris Cyber Week : la crise du covid-19, catalyseur de la souveraineté numérique européenne ?

Cybersécurité : Les trois conseils techniques de l’Anssi pour se défendre contre un ransomware

Cybersécurité : Les trois conseils techniques de l’Anssi pour se défendre contre un ransomware

Plus d'articles