SOLUTIONS
icon
JIZÔ NDR
JIZÔ ALERT ADVISOR (IA)
JIZÔ FOR OT
icon
HOSHI
icon
LOKI
SOCIÉTÉ
icon
SOCIETE
icon
ON RECRUTE
icon
CONTACT
SUBSCRIBE
ACTUS
BLOG
icon
PRESSE
icon
AGENDA
PARTENAIRES
REVENDEURS ET DISTRIBUTEURS
PARTENAIRES TECHNOLOGIQUES
RESSOURCES
icon
DOSSIERS ET LIVRES BLANCS
WEBINAIRES
CONTACT
GET A DEMO

FEU SUR L'ICS / OT - RAPPORT 2022 PAR DRAGOS

INDUSTRY GOING RANS-OT-WARED ?

ICS/OT Cybersecurity year in review 2022 est le titre du dernier rapport annuel de Dragos – important acteur de la cybersécurité des systèmes OT/ICS – sorti le 15 février dernier.

Au milieu des effets de la guerre Russie-Ukraine, de l’apparition de nouveaux acteurs dédiés, ou des tendances relatives aux vulnérabilités ICS/OT, un fait crève l’écran du tableau de bord des indicateurs-clé : la fulgurante progression du vecteur d’attaque ransomware.

En chiffres : +35 % de groupes de ransomware de la menace impactant les systèmes ICS/OT (de 39 à 57 groupes); mais surtout une hausse de 87 % des attaques provenant de cette catégorie d’acteurs, faisant culminer le compte à 605 attaques observées sur l’année ciblée.

Si l’intensité quantitative de ces chiffres interpelle forcément, une observation à valeur autrement plus qualitative nous conduit à quelques questionnements, à vous exposer ci-dessous.

DEPROXYFICATION DE L’IT DANS L’ATTAQUE D’OT : CHIMÈRE OU GRAAL ?

Premièrement, plusieurs occurrences d’attaque au ransomware sont décrites dans le rapport, qui présentent une tension entre deux périmètres d’impact – IT ou OT, et l’établissement (presqu’invariablement) peu trivial de leur rapport.

En effet, la réalité statistique de primo-compromission du système IT par les attaques (par avantage sur le système OT), le ferait apparaître comme le proxy difficilement contourné (contournable ?) d’un ciblage – s’il y a véritablement intention – du système OT.

En l’occurence, la question sur l’existence d’intentionnalité, et donc de ciblage du système OT se pose confortablement.

Les impacts sur l’OT sont très majoritairement :

  • Soit le résultat – éventuellement supposé – de l’appréciation avec confiance modérée de Dragos,
  • Soit le fait d’une dégradation préventive, par la victime elle-même, du point de fonctionnement de son système OT,
  • Ou plus opportunément le fait d’une revendication unilatérale de l’acteur de la menace, qui peut trouver divers intérêts à spéculer sur un impact direct sur l’OT.

Il y a le cas récent de la déclaration fracassante du groupe GhostSEc (s/c Anonymous) quant à sa capacité à chiffrer un RTU, et tous les bits et la salive que cela a fait couler contre sa véracité technique.

On y perçoit l’évidence, dans la communauté (étendue aux acteurs de la menace) que la chose n’est pas triviale. Ceci étant dit, une chose apparaît clairement, qui est l’augmentation grandissante de la porosité entre les deux périmètres IT et OT.

LE MANUFACTURING SE FAIT UNE MAUVAISE RÉPUTATION ?

Sur un autre axe d’observation, la distribution sectorielle de la victimologie porte aux nues le chiffre de 72 %, qui révèle la part belle faite au (malheureux) secteur du Manufacturing.

Pourquoi cette prépondérance du secteur Manufacturing, relativement aux autres (Food & Beverage : 9 %, Energy : 5 %, Pharmaceuticals : 4 %) ?

Est-ce le fait d’un intérêt pour ce secteur ? Accru par le contexte géopolitique est-européen ?
Est-ce plutôt le révélateur d’une posture de défense ou d’un état de cybersécurité moins performants dans le secteur manufacturier ?

Les deux premières questions, quasi-rhétoriques, trouveraient un écho favorable dans la considération des sous-secteurs manufacturiers en tête dans la distribution des attaques (Metal products, Automotive, Electronic + Semi-conductors).

La troisième question pourrait notamment trouver un début de réponse ou tout au moins d’adressage du côté de la qualification des TTPs des acteurs de la menace en terme de techniques et méthodologies de reconnaissance ou de degré d’automatisation de l’attaque : une phase d’initial access consécutive à un scan indifférencié de vulnérabilités laisserait peu de place à une intention spécifique d’attaquer un secteur par rapport à l’autre.

Une statistique intéressante à ce propos relève que l’exploitation des vulnérabilités révélées a impacté à 60% le secteur du Manufacturing (contre 21% pour le secteur de l’Energie) sur le second semestre 2022; statistique du CISA citée par le non moins informatif rapport de Nozomi Networks sur le panorama de la menace ICS/OT/IoT sur la même période; et à ce stade, n’aura pas même été évoqué le critère de facilité d’exploitation des vulnérabilités alors trouvées.

DE LA CRITICITÉ DE LA POST-EXPLOITATION EN SUPPLY CHAIN ATTACK

Finalement, il est salutaire de rappeler que l’importance d’une bonne cybersécurité des systèmes ICS/OT se révèle de façon décisive dans sa contribution à la prévention des attaques de supply chain.

Que les utilisateurs ou consommateurs finaux de produits soient issus de la population civile, d’entreprises, ou d’entités publiques plus ou moins essentielles, l’efficacité de cette dernière technique d’attaque est redoutable et ses impacts à peine imaginables : nous nous garderons, pour des raisons que vous imaginez, de nous épancher davantage sur la notre…d’imagination à ce sujet.

Sources : rapport Dragos 2022