Loading

Blog

Recent ActivityRecent Activity

Cybermenaces : votre stratégie de sécurité industrielle suffit-elle ?

Maintenant que les serveurs et clients sont de nouveau opérationnels, que les systèmes de production tels que les systèmes de commande, de visualisation et de traitement par lots ont repris leurs activités, et que la production est redevenue normale, il est temps de se pencher sur les récents événements.

Je me rappelle très bien comment tout cela est arrivé. Sur le Web, on titrait partout « Ransomware ! Panne des systèmes des entreprises manufacturières, arrêt de la production ! ». Pas une très bonne nouvelle au réveil un matin d’été.

Le coupable était un logiciel malveillant appelé Nyetya ou NotPetya. On a d’abord pensé qu’il s’agissait d’un ransomware, mais en fait NotPetya était un virus « wiper », ou destructeur, avec des méthodes de propagation comparables à celles des vers. Nous l’appelons désormais un WiperWorm, ou vers destructeur.

Les équipes ont bien planifié leurs actions et les ont exécutées de manière délibérée. Une réponse efficace type a consisté à suivre un processus tel que celui qui est référencé dans le guide Computer Security Incident Handling Guide (publication spéciale 800-61 du National Institute of Standards and Technology - NIST).

Dans un premier temps, l’évaluation de l’amplitude de l’impact et l’analyse de sa cause ont permis de prendre des mesures afin de contenir l’événement. Mais, dans de nombreux cas, cela n’a pas été possible.

Pour certains, pratiquement tous les ordinateurs Windows connectés à leur système de commande industrielle en réseau étaient touchés par le WiperWorm NotPetya.

Les perspectives de récupération des systèmes infectés étant minces, l’étape logique suivante a consisté à parcourir les sauvegardes système existantes et tenter la restauration à partir de là. En l’absence de sauvegarde, tous les systèmes de production allaient devoir être reconstruits à partir de zéro, une entreprise coûteuse et chronophage.

Pour les chanceux, les sauvegardes laissaient espérer, mais encore fallait-il adopter une approche très disciplinée pour faire en sorte que les systèmes récupérés soient placés sur un réseau isolé pour éviter toute réinfection.

Des mesures rapides, prises par d'excellents chercheurs et ingénieurs en cybersécurité, ont assuré le niveau d’information indispensable pour éviter la réinfection.

  • Correction de la vulnérabilité MS17-010 pour éviter que les exploits EternalBlue et EternalRomance parviennent à détruire le système.
  • Désactivation de wmic.
  • Mise en œuvre d’un correctif de registre qui arrête tous les partages administratifs tels que C$ et ADMIN$ afin de couper l'un des vecteurs de propagation.

Sur le chemin de la récupération, certains ont eu des difficultés car des méthodes de propagation du WiperWorm servaient aussi de fonctionnalités principales à des applications de production, si bien que leur désactivation et la restriction de leur accès n'étaient pas toujours une option viable.

La leçon ? La mesure préventive la plus efficace contre un WiperWorm est le respect des bonnes pratiques de sécurité, autrement dit des « fondamentaux ». Il existe quantité d’articles sur le sujet, mais retenons seulement les quelques points suivants :

  • Renforcer les systèmes avant de les mettre en production
  • Fonctionner avec des comptes utilisateur à accès restreint, si possible
  • Réparer vos systèmes avec des correctifs et investir dans un anti-virus performant ou une solution efficace de protection des points d’accès

Les services d’assistance clés peuvent vous permettre de mettre en œuvre ces bonnes pratiques de sécurité au sein d’un environnement de commande industrielle.

Abonnement à des correctifs Windows validés

Ces types de services d’abonnement permettent d’avoir les tout derniers correctifs Windows validés pour votre environnement informatique industriel. Par exemple, nous validons les nôtres dans un environnement de test robuste afin de minimiser le risque d’impact sur les applications. Les correctifs sont mis à disposition en connectant votre serveur WSUS (Windows Server Update Services) à notre serveur WSUS géré sur Cloud.

Une fois que les correctifs sont disponibles sur votre WSUS, vous pouvez les appliquer à vos systèmes selon votre propre planning. Les services réseau et sécurité peuvent aussi vous aider à développer/modifier vos politiques et procédures internes en matière de correctifs industriels, selon les besoins.

Gestion à distance des correctifs et des antivirus

Ces types de services permettent d’atténuer le risque associé aux retards pris dans l’application des correctifs Windows et des définitions d’antivirus, et aussi le risque lié à une procédure inappropriée en matière de correctifs.

Par exemple, nous établissons une connexion à distance sécurisée avec votre environnement informatique industriel pour surveiller l’état de santé de l’infrastructure et des images, tout en administrant les modifications apportées à l’environnement.

Nous travaillons ensuite avec vous pour établir une cadence et une procédure de mise à jour des correctifs et antivirus qui testent la fonctionnalité des images et des applications avant de les remettre en production.

Gestion à distance des sauvegardes

Enfin, ce type de services permet d’atténuer le risque associé au fait de ne pas avoir de sauvegardes ou d’accès distant à des experts qui aideraient à la restauration rapide des services. Le service fournit une puissante fonctionnalité de sauvegarde afin de surveiller l’intégrité des sauvegardes et effectuer les restaurations. Voici quelques-unes des fonctions de notre service :

  • Déploiement d’un dispositif de sauvegarde dans l’environnement informatique industriel, configuré pour satisfaire aux exigences de fréquence et de conservation des sauvegardes de votre système
  • Exécution d’une surveillance à distance de l’état des dispositifs et des sauvegardes
  • Exécution de services de restauration à distance sur demande pour rétablir l’état « bon » préalablement connu des images

Pour se défendre contre un WiperWorm, un RansomWare, ou la plupart des autres attaques malveillantes, la stratégie la plus efficace reste d’être préparée !

Corrigez et renforcez vos systèmes pour éviter la catastrophe, et si vous ne pouvez pas l’empêcher, faites alors en sorte d’être prêts à restaurer les systèmes de production critiques à partir d’une sauvegarde.

Être prêt : c’est peut-être toute la différence entre être pleinement opérationnel et avoir à reconstruire tous vos systèmes de production.

Protégez vos opérations contre les menaces pour la sécurité avec nos services de sécurité industrielle.


Pascal Ackerman
Pascal Ackerman
Senior Consultant of Industrial Cyber Security, Rockwell Automation
Pascal Ackerman
Subscribe

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Recommandé pour vous