Cybermenaces dans le secteur de l’énergie : lorsque les hackers coupent le courant

0

Imaginez : vous êtes un fournisseur d’énergie. L’un de vos employés ouvre un e-mail malveillant et clique sur un lien permettant à des hackers d’accéder à votre réseau. Vous venez de perdre le contrôle de vos systèmes. Les hackers coupent le courant. Parfois, ils veulent une rançon ; d’autres fois, ils cherchent à exercer une forme de pression politique. Que faire ?

« Les opérations d’espionnage et de sabotage à l’encontre des entreprises gérant des infrastructures critiques augmentent au fil des ans. Et je pense que nous n’avons pas encore tout vu », déclare Sami Ruohonen, Labs Threat Researcher chez F-Secure.

Ces organisations font face à une multitude de « cyber adversaires » aux motivations et compétences variées.  La plupart du temps, il s’agit de cyber criminels en quête de profit et d’États-nations motivés par des enjeux géopolitiques.

Depuis les attaques Shadow Brokers et Vault7, les hackers disposent d’outils particulièrement sophistiqués. Leur mode opératoire, lui aussi, est devenu plus élaboré. Parallèlement, les techniques de blanchiment d’argent ont considérablement évolué. Conséquence : les demandes de rançon se sont multipliées.

Par le passé, seuls les groupes de hackers affiliés à des États-nations disposaient de capacités de piratage avancées. Ce n’est plus le cas aujourd’hui : d’autres groupes, aux ressources plus limitées, ont désormais accès à ces technologies.

CryptoLocker, l’un des ransomware les plus lucratifs pour les pirates informatiques, offre une bonne illustration de ce phénomène. De septembre à décembre 2013, CryptoLocker a infecté plus de 250 000 ordinateurs. Les auteurs cette opération ont ainsi pu récolter plus de 3 millions de dollars avant que le réseau de zombies Gameover ZeuS, utilisé pour infecter les appareils, ne soit finalement démantelé.

Le succès de CryptoLocker a donné naissance à un certain nombre de malware nouvelle génération parmi lesquels CryptoWall ou encore TeslaCrypt. LockerGoga, l’une des plus récentes campagnes ransomware, a chiffré les systèmes de l’entreprise Norsk Hydro, producteur d’aluminium norvégien. La branche des énergies renouvelables de la société a toutefois été épargnée.

Neuf types de cyber menaces pèsent sur le secteur de l’énergie :

  • Operation Sharpshooter (Groupe Lazarus)
  • APT33
  • GreyEnergy (Successeur du groupe BlackEnergy)
  • Malware BlackEnergy 1, 2 et 3
  • Malware Industroyer – également connu sous le nom de CrashOverride
  • Libellule/Dragonfly 2.0
  • Logiciels malveillants Havex
  • Attaque par canal auxiliaire ICS
  • Malware TRITON/TRISIS

Le rapport baptisé « Les hackers dans le secteur de l’énergie » souligne, par ailleurs, que les pirates informatiques choisissent avec soin les cibles de leurs attaques persistantes avancées. Face aux entreprises, ils disposent d’un atout non-négligeable face : le temps. Ils peuvent mettre des mois à planifier une attaque, à identifier les employés à piéger, à rechercher les failles logicielles de sécurité non-patchées.

Les employés constituent le maillon le plus faible de la cyber sécurité d’une entreprise. Ils constituent de ce fait la cible privilégiée des attaques persistantes avancées. Des e-mails de spear phishing (hameçonnage) leur sont envoyés, avec à l’intérieur, une pièce jointe ou un lien malveillant.

Soit ils sont amenés à télécharger un malware, soit ils sont invités à entrer leurs identifiants sur une page ressemblant trait pour trait à celle qu’ils connaissent. Il suffit d’un seul employé tombe dans le piège pour permettre aux hackers d’accéder au réseau de production, puis au réseau ICS (système de contrôle industriel).

L’an dernier, un malware utilisant un autre mode de piratage a fait son apparition. Envoyé par e-mail, il infecte le smartphone de la victime : l’auteur de l’attaque peut ensuite accéder aux réseaux internes et aux données sensibles de l’entreprise, à partir de cet appareil mobile.

« Compte-tenu de leur nature-même, les infrastructures critiques liées au secteur de l’énergie constituent une cible intéressante pour des États-nations étrangers, même en temps de paix », explique Sami Ruohonen.

À l’époque où ces infrastructures ont été conçues, la cyber sécurité ne constituait pas une menace réaliste. Les protocoles et systèmes utilisés ne présentaient pas les contrôles de sécurité intégrés que nous tenons pour acquis aujourd’hui. Désormais, ces systèmes sont connectés à internet et se retrouvent vulnérables à une multitude d’attaques. Il ne s’agit plus de déterminer « si » le réseau sera piraté ou non : la question est désormais de savoir « quand » il le sera. Ces entreprises combattent un ennemi furtif. Ce dernier a en tête des objectifs très variables et déploie des tactiques, techniques et procédures (PTT) invisibles.

Les organisations ne sont toutefois pas impuissantes. Elles peuvent prendre plusieurs types de mesures. Les américains parlement notamment du VUCA – un acronyme inventé par l’armée des États-Unis pour décrire la volatilité (volatility), l’incertitude (uncertainty), la complexité (complexity) et l’ambiguïté (ambiguity) dans l’après-guerre froide.

Appliqué aux entreprises du secteur de l’énergie, le principe du VUCA consiste à examiner les facteurs de risques externes. Les entreprises doivent déterminer qui pourrait choisir de la cibler, pourquoi et comment. Elles doivent ensuite identifier leurs actifs les plus stratégiques, qui nécessitent un niveau de protection supérieur.

Sami Ruohonen conseille à ces entreprises de revoir leurs standards de cyber sécurité et de déployer les technologies les plus récentes, comme la détection-réponse pour les postes de travail (EDR – Endpoint Detection and Response).

Ce type de solution répond notamment aux besoins des organisations qui ne souhaitent pas embaucher elles-mêmes des experts dédiés.

Ces solutions constituent également « un moyen rapide et efficace d’accroître les capacités de détection et de réponse face aux cyber menaces avancées et aux attaques ciblées, car ces dernières sont désormais capables de contourner les solutions traditionnelles de protection des postes de travail », explique Sami Ruohonen. « Les solutions EDR gérées peuvent fournir une surveillance, des alertes et une réponse aux cyber attaques 24 heures sur 24, 7 jours sur 7. Les équipes informatiques examinent les détections durant les heures de bureau, tandis qu’une équipe spécialisée en cyber sécurité s’occupe du reste », conclut-il.

Share.

About Author

Leave A Reply