L’industrie manufacturière a été la plus ciblée par les cyberattaques en 2021
Selon l’étude IBM X-Force Threat Intelligence Index 2022, l’industrie manufacturière a été la plus ciblée par les cyberattaques en 2021. Elle devance le secteur financier qui était précédemment le plus ciblé. Ainsi, 23.2% des attaques ont concerné ce secteur.
Il est important de mentionner que le quart des incidents de sécurité vécus par des manufacturiers concernaient des rançongiciels. Les manufacturiers sont donc principalement attaqués pour des motifs financiers.
Voici d’autres chiffres qui ressortent de cette étude:
- 21% des incidents de 2021 concernaient des rançongiciels
- 41% des attaques ont exploité l'hameçonnage comme vecteur initial d’attaque
- 33% des incidents ont exploité de (très) récentes vulnérabilités de sécurité en 2020 et en 2021
- 36% des attaques OT étaient des rançongiciels
- 2204% d'augmentation des attaques de reconnaissance contre les OT
Les rançongiciels les plus observés en 2021 étaient:
- 37% REvil (Sodinokibi)
- Ryuk 13%
- LockBit 2.0 7%
- Autres: Conti 3%, BlackMatter 3%, etc.
Les vecteurs d’attaques les plus exploités en 2021 sont les suivants:
- Hameçonnage : 41%
- Exploitation de vulnérabilité de sécurité: 33%
- Utilisation de mots de passe volés: 9%
- Attaque de type Brute force: 6%
Dans cet article, nous allons citer les faiblesses qui exposent les manufacturiers aux cyberattaques et nous ferons des recommandations pour se mettre à l'abri de celles-ci.
Faiblesse 1 : forte utilisation de systèmes legacy
On retrouve dans le secteur manufacturier plusieurs systèmes désuets et non supportés dont les pirates en sont conscients. Il est fréquent de voir des lignes de production ou des systèmes critiques pilotés par des applications fonctionnant sur d’anciens systèmes d’exploitation tels que Windows 2000 ou 2003, Windows NT 4 ou Windows XP. Il est impossible d’installer des antivirus récents sur plusieurs de ces systèmes, ce qui les rend fortement vulnérables aux intrusions et rançongiciels.
Solution: l'existence des systèmes legacy est une réalité du secteur manufacturier et les Directeur(trice)s TI et CISO devraient accepter de vivre avec ceux-ci. Nous vous recommandons d’identifier tous les systèmes legacy et de les isoler physiquement ou logiquement du reste du réseau. Vous devez ensuite mettre en place des règles de sécurité strictes en entrée et sortie de la zone des systèmes legacy et n’autoriser que les communications strictement nécessaires.
L’une des bonnes pratiques que nous recommandons vivement consiste à établir un serveur de rebonds (Jumpoint) qui exige une authentification MFA. Seules les personnes connectées au Jumpoint peuvent se connecter aux serveurs legacy. Cette approche limite fortement les possibilités de prise de contrôle à distance de vos systèmes legacy.
Faiblesse 2 : peu de visibilité sur la sécurité des réseaux manufacturiers
La cybersécurité ne fait pas partie des pratiques courantes de plusieurs organisations manufacturières. Très peu de manufacturiers utilisent des outils capables de détecter et de les alerter en cas de cyberattaques. Nous avons vu plusieurs manufacturiers se faire pirater via des attaques basiques puisqu’elles sont très faciles à détecter. Les attaques appelées brute force où le pirate utilise plusieurs combinaisons de mot de passe en espérant en trouver un utilisé dans votre réseau sont très fréquentes.
Solution: Vous devez déployer des capacités de détection d’intrusions car vous ne pouvez pas vous protéger contre ce que vous ne voyez pas. Pour être constamment sécurisé, il est important que vous ayez une visibilité à 360 degrés des attaques qui vous ciblent. Pour cela, vous devez mettre votre réseau sur surveillance via un système de détection de cybermenaces (IDS/IPS/NDR) tel que le CDS de StreamScan, afin de détecter et bloquer les activités malicieuses qui vous ciblent en continu.
Nous ne recommandons pas d’utiliser un outil de gestion de logs (SIEM) pour la surveillance principale de la sécurité des environnements manufacturiers. Ce type de technologie donne une vue assez limitée de la sécurité des réseaux. En cas d’oubli d’installation d’un agent SIEM sur les systèmes, vous n’aurez aucune visibilité sur leur sécurité. Les IDS/IPS/NDR, quant à eux, découvrent automatiquement l’ensemble des machines du réseau et analysent leurs communications pour déterminer s’ils sont attaqués ou non.
Faiblesse 3 : pas de surveillance de la sécurité des réseaux
Les réseaux sont constamment attaqués par des robots/botnets qui fonctionnent 24/7 et cherchent des vulnérabilités à exploiter afin de prendre le contrôle des réseaux. Si la sécurité de votre réseau n’est pas surveillée ou ce que lors des heures ouvrables, il n’est qu’une question de temps avant d’être piraté. Les pirates attaquent 24/7, c’est pourquoi il faut surveiller leurs attaques 24/7 aussi.
Solution: Il faut mettre en place une équipe de surveillance de la sécurité de votre réseau 24/7. Cette équipe doit être en mesure d’analyser les événements et les alertes de sécurité générés dans votre réseau interne, dans le Cloud et dans O365 par exemple. Ceci demande une expertise et une expérience en cybersécurité opérationnelle. Si vous ne l’avez pas, n'essayez surtout pas de la bricoler. Les cyberattaques sont de plus en plus complexes et sophistiquées donc la moindre mauvaise interprétation d’une alerte peut avoir des impacts négatifs significatifs sur l’organisation. Ainsi, si vous n’avez pas d’expertise interne, vous avez la possibilité d’externaliser la gestion de votre réseau. Par exemple, le service de Detection et Reponse Gérées ou MDR (Managed Detection and Response) de StreamScan permet aux PME de gérer la sécurité de leur réseau à une fraction du coût de la mise en place d’une équipe de surveillance interne.
Faiblesse 4: les technologies d’opération (OT) et IOT peu sécurisées
Les technologies d’opération et industriel (OT) ainsi que les IOT sont utilisées en permanence dans les environnements manufacturiers. Une fois installées, elles peuvent fonctionner pendant plusieurs années. Il est important de ne pas oublier de mettre à jour vos systèmes de sécurité car les vulnérabilités de sécurité apparaissent continuellement. Plus il y a de failles, plus c’est piratable! Non corrigées, ces vulnérabilités peuvent être exploitées pour pirater les OT et IOT et entrer dans le réseau de l’organisation. Les conséquences peuvent être nombreuses dont l’arrêt de ligne de production, les rançongiciels, etc. De plus, l’interconnexion des systèmes IT et industriel (OT) en vue du passage à l’Industrie 4.0 chez certains manufacturiers augmente les menaces de sécurité car les systèmes OT se retrouvent de facto exposés sur Internet (donc aux cyberattaques).
Selon l’étude IBM cité, les attaques de reconnaissance contre les OT ont augmenté de 2204% en 2021! Un grand intérêt de la part des pirates à cibler les OT est donc très évident.
Solution: Il est primordial de s’assurer que vos OT et IOT soient bien sécurisés. Pour cela, suivez nos recommandations de sécurisation des OT/IOT.
Faiblesse 5: les employés des manufacturiers sont peu sensibilisés aux risques de cybersécurité
La sensibilisation des employés est une pratique peu courante chez les manufacturiers. Selon l’étude IBM cité ci-haut, 41% des incidents se sont passés via l'hameçonnage. Il apparaît donc clairement que si les employés sont bien sensibilisés aux risques de sécurité, le taux d’incidents baissera de manière considérable.
Solution: nous vous recommandons d’instaurer un programme de sensibilisation de vos employés. Aujourd’hui, afin d’être considérée comme étant efficace, la sensibilisation doit se faire mensuellement. Il est aussi important de vérifier que la sensibilisation soit efficace en faisant régulièrement des tests d'hameçonnage. Voici nos recommandations pour bien sensibiliser ses employés.
Faiblesse 6: dû au grand impact sur les lignes de production, la probabilité de paiement de rançon est forte chez les manufacturiers
Les conséquences des cyberattaques, notamment les rançongiciels sur les manufacturiers, peuvent être importantes. Les arrêts de ligne de production, l’impossibilité de prendre ou de livrer certaines commandes et plus encore en sont des exemples. L’impact négatif sur l’image et la réputation de l’organisation se voit aussi comme étant une conséquence majeure dans le cas où le piratage fut médiatisé. Les pirates savent que les arrêts de lignes de production ont de graves conséquences et cela met les manufacturiers en position de faiblesse en cas d’attaque. Ceci est à l'avantage du pirate qui va lui-même en profiter pour augmenter le montant de sa demande de rançon. Il est conscient que chaque minute passée coûte beaucoup au manufacturier et il en prend avantage.
Solution: soyez toujours prêts et évitez de vous retrouver en position de faiblesse face à un pirate qui prend le contrôle de votre réseau ou introduit un rançongiciel. Pour cela, il faut toujours sauvegarder vos données en 3 copies dont une copie conservée en interne, une à l'externe dans le Cloud par exemple ainsi qu’une 1 hors ligne.
Il faut aussi faire régulièrement des tests de restauration des données afin de vous assurer qu’ils seront fonctionnels en cas de besoin.
Préparez-vous à gérer efficacement les incidents de sécurité, en suivant nos recommandations de gestion d’incidents de sécurité.
Découvrez comment notre service de détection et de réponse surveillée (MDR) peut protéger votre réseau
Nous sommes convaincus qu'après avoir vu notre solution MDR (alimentée par notre technologie de surveillance du réseau CDS) en action, vous ne voudrez plus laisser votre réseau sans protection. C'est pourquoi nous vous proposons un essai gratuit de 30 jours qui comprend :
- Une séance d'information
- Configuration du CDS
- Preuve de concept gratuite de 30 jours
- Rapport d'activité du premier mois et recommandations
Courriel: Freetrial@streamscan.ai
Téléphone : 1 877-208-9040