Au cours de l'année écoulée, 70 % des organisations dotées d'infrastructures essentielles ont subi des violations de sécurité, notamment les services de distribution d'eau, de pétrole et de gaz, et d'électricité. Un nombre presque aussi élevé de 64 % prévoit une ou plusieurs attaques graves au cours de l'année à venir.
individu menaces dans les agences gouvernementales et les grandes entreprises
Dans les articles précédents de cette série, nous avons mis en évidence les risques de menace individu pour les entreprises américaines et la manière dont elles y répondent. Si la menace individu dans les agences gouvernementales et les grandes entreprises est un problème connu, avec des stratégies d'atténuation quelque peu mises en œuvre, on en sait moins sur la menace individu qui pèse sur les infrastructures essentielles des États-Unis, telles que les usines de purification de l'eau ou les centrales nucléaires. Pour illustrer la nature des menaces, permettez-moi de vous donner deux exemples tirés d'un rapport du ministère de la sécurité intérieure, lerapport individu Threat to Utilities.
- En avril 2011, un employé isolé d'une usine de traitement des eaux aurait arrêté manuellement les systèmes d'exploitation d'une station d'épuration à Mesa, en Arizona, dans le but de provoquer un refoulement d'eaux usées qui endommagerait les équipements et créerait une accumulation de gaz méthane. Des dispositifs de sécurité automatiques ont empêché l'accumulation de méthane et alerté les autorités qui ont appréhendé l'employé sans incident.
- En janvier 2011, un employé récemment licencié d'une société américaine de gaz naturel se serait introduit dans une station de surveillance de son ancien employeur et aurait fermé manuellement une vanne, interrompant le service de gaz pour près de 3 000 clients pendant une heure.
Quel est le risque que des incidents similaires et plus dangereux se produisent dans un avenir proche ?
individu Les menaces qui pèsent sur les infrastructures critiques ne sont pas nouvelles - pensons à l'espionnage et au sabotage pendant la guerre froide. Toutefois, les paramètres ont considérablement changé.
Alors qu'à l'époque de la guerre froide, la menace consistait en un accès physique privilégié, des connaissances spécialisées, de l'espionnage et des compétences terroristes, l'ensemble des menaces potentielles est aujourd'hui beaucoup plus large en raison de la "dépérimétrisation" des infrastructures critiques américaines. La mondialisation et l'externalisation brouillent de plus en plus les frontières entre les initiés et les adversaires extérieurs.
Souvent utilisés pour réduire les coûts, les fournisseurs, les sous-traitants et les partenaires commerciaux de confiance non vérifiés bénéficient d'un accès privilégié aux infrastructures critiques. L'utilisation des services cloud , du travail à distance et des technologies Web au sein des organisations d'infrastructures critiques exacerbe encore le problème si ces pratiques ne sont pas traitées et protégées d'une manière particulière. Ainsi, la menace qui pèse sur une station d'épuration locale n'est plus seulement le fait d'un espion étranger dormant disposant d'un accès physique privilégié, mais aussi celui d'employés et d'entrepreneurs distants de confiance dont les noms d'utilisateur et les mots de passe privilégiés peuvent être volés sur le site cloud.
Il existe peu d'informations sur les chiffres récents et l'impact des incidents malveillants survenus sur le site individu dans les infrastructures critiques aux États-Unis et à l'étranger. La plupart des informations ne sont pas rendues publiques et même des sources fiables telles que le Computer Emergency Readiness Team (CERT) des États-Unis n'ont qu'un accès limité aux cas et scénarios de menaces réelles.
Toutefois, le ministère de la sécurité intérieure (DHS) a récemment commencé à publier des rapports sur l'estimation du risque national (NRE) qui examinent les risques liés aux attaques malveillantes sur le site individu . Comme l'indique le dernier rapport, "la disponibilité limitée des données sur les menaces individu signifie qu'il y a une incertitude associée aux évaluations des risques NRE".
La NRE est basée sur une analyse structurelle des données obtenues auprès d'experts du gouvernement fédéral et du secteur privé. Pour l'analyse structurelle, 31 scénarios de menace individu ayant des conséquences au niveau national ont été sélectionnés et leurs conséquences et leur probabilité ont été évaluées.
Si les experts estiment que des scénarios catastrophiques tels que "l'interruption des transactions financières internationales" ou "l'introduction d'un produit chimique toxique dans l'approvisionnement en lait des États-Unis" ont une probabilité assez faible, de l'ordre de 10 % ou moins, ils considèrent que des scénarios aux conséquences moins graves, tels que "la fraude organisée dans le cadre de Medicare et Medicaid", ont une probabilité de près de 100 %. La probabilité médiane pour tous les scénarios dans tous les secteurs d'infrastructure a été évaluée à environ 15 %.
Quelles sont les plus grandes vulnérabilités et comment y remédier ?
L'équipe américaine de préparation aux urgences informatiques (CERT) a procédé à 53 évaluations sur place d'infrastructures critiques à travers les États-Unis afin d'identifier les vulnérabilités et trois vulnérabilités majeures ont été identifiées.
La première, et la plus courante, est l'absence de segmentation des réseaux internes et les lacunes dans les protections périmétriques des enclaves virtuelles et physiques. La segmentation des réseaux consiste à diviser un réseau informatique en sous-réseaux, chacun étant un segment de réseau ou une couche de réseau qui rend les ressources internes beaucoup moins accessibles de l'extérieur.
La deuxième vulnérabilité est l'absence de protection des frontières dans les réseaux internes, ce qui signifie qu'il y a trop peu ou pas de pare-feu entre les zones, et que les ensembles de règles de pare-feu sont minimes et ne font pas l'objet d'un audit ou d'une vérification.
Le troisième est que l'accès à distance a été identifié comme un point d'entrée principal pour les attaques en raison d'un mauvais choix et d'une mauvaise conception des protocoles d'accès à distance. Le CERT suggère des tunnels VPN et une zone de sécurité restreinte (DMZ) pour les connexions afin d'éliminer ce risque.
En résumé, le fait que ces vulnérabilités faciles à corriger existent dans les infrastructures critiques est assez surprenant. Les failles de sécurité décrites sont bien connues, et les contre-mesures et protocoles appropriés sont adoptés de manière standard dans presque tous les autres réseaux d'organisations et devraient l'être encore plus pour les infrastructures critiques. Espérons que les RSSI responsables prendront les mesures qui s'imposent.
Cet article est publié dans le cadre du IDG Contributor Network.