Au cours de l'année écoulée, 70 % des organisations dotées d'infrastructures essentielles ont subi des violations de sécurité, notamment les services de distribution d'eau, de pétrole et de gaz, et d'électricité. Un nombre presque aussi élevé de 64 % prévoit une ou plusieurs attaques graves au cours de l'année à venir.
individu menaces dans les agences gouvernementales et les grandes entreprises
In the previous posts of this series, we highlighted insider threat risks for US companies and how they respond to them. While the insider threat in government agencies and big companies is a known problem with somewhat implemented mitigation strategies, less is known about the insider threat to critical US infrastructure, such as water purification or nuclear power plants. To illustrate the nature of the threats, let me provide two examples from a Department of Homeland Security report—the Insider Threat to Utilities report.
- En avril 2011, un employé isolé d'une usine de traitement des eaux aurait arrêté manuellement les systèmes d'exploitation d'une station d'épuration à Mesa, en Arizona, dans le but de provoquer un refoulement d'eaux usées qui endommagerait les équipements et créerait une accumulation de gaz méthane. Des dispositifs de sécurité automatiques ont empêché l'accumulation de méthane et alerté les autorités qui ont appréhendé l'employé sans incident.
- En janvier 2011, un employé récemment licencié d'une société américaine de gaz naturel se serait introduit dans une station de surveillance de son ancien employeur et aurait fermé manuellement une vanne, interrompant le service de gaz pour près de 3 000 clients pendant une heure.
Quel est le risque que des incidents similaires et plus dangereux se produisent dans un avenir proche ?
individu Les menaces qui pèsent sur les infrastructures critiques ne sont pas nouvelles - pensons à l'espionnage et au sabotage pendant la guerre froide. Toutefois, les paramètres ont considérablement changé.
Alors qu'à l'époque de la guerre froide, la menace consistait en un accès physique privilégié, des connaissances spécialisées, de l'espionnage et des compétences terroristes, l'ensemble des menaces potentielles est aujourd'hui beaucoup plus large en raison de la "dépérimétrisation" des infrastructures critiques américaines. La mondialisation et l'externalisation brouillent de plus en plus les frontières entre les initiés et les adversaires extérieurs.
Souvent utilisés pour réduire les coûts, les fournisseurs, les sous-traitants et les partenaires commerciaux de confiance non vérifiés bénéficient d'un accès privilégié aux infrastructures critiques. L'utilisation des services cloud , du travail à distance et des technologies Web au sein des organisations d'infrastructures critiques exacerbe encore le problème si ces pratiques ne sont pas traitées et protégées d'une manière particulière. Ainsi, la menace qui pèse sur une station d'épuration locale n'est plus seulement le fait d'un espion étranger dormant disposant d'un accès physique privilégié, mais aussi celui d'employés et d'entrepreneurs distants de confiance dont les noms d'utilisateur et les mots de passe privilégiés peuvent être volés sur le site cloud.
Il existe peu d'informations sur les chiffres récents et l'impact des incidents malveillants survenus sur le site individu dans les infrastructures critiques aux États-Unis et à l'étranger. La plupart des informations ne sont pas rendues publiques et même des sources fiables telles que le Computer Emergency Readiness Team (CERT) des États-Unis n'ont qu'un accès limité aux cas et scénarios de menaces réelles.
Toutefois, le ministère de la sécurité intérieure (DHS) a récemment commencé à publier des rapports sur l'estimation du risque national (NRE) qui examinent les risques liés aux attaques malveillantes sur le site individu . Comme l'indique le dernier rapport, "la disponibilité limitée des données sur les menaces internes signifie qu'il y a une incertitude associée aux évaluations des risques NRE".
The NRE is based on a structural analysis of input elicited from federal government and private sector subject matter experts. For the structural analysis, 31 insider threat scenarios with national-level consequences have been selected and their consequences and likelihood have been assessed.
Si les experts estiment que des scénarios catastrophiques tels que "l'interruption des transactions financières internationales" ou "l'introduction d'un produit chimique toxique dans l'approvisionnement en lait des États-Unis" ont une probabilité assez faible, de l'ordre de 10 % ou moins, ils considèrent que des scénarios aux conséquences moins graves, tels que "la fraude organisée dans le cadre de Medicare et Medicaid", ont une probabilité de près de 100 %. La probabilité médiane pour tous les scénarios dans tous les secteurs d'infrastructure a été évaluée à environ 15 %.
Quelles sont les plus grandes vulnérabilités et comment y remédier ?
L'équipe américaine de préparation aux urgences informatiques (CERT) a procédé à 53 évaluations sur place d'infrastructures critiques à travers les États-Unis afin d'identifier les vulnérabilités et trois vulnérabilités majeures ont été identifiées.
La première, et la plus courante, est l'absence de segmentation des réseaux internes et les lacunes dans les protections périmétriques des enclaves virtuelles et physiques. La segmentation des réseaux consiste à diviser un réseau informatique en sous-réseaux, chacun étant un segment de réseau ou une couche de réseau qui rend les ressources internes beaucoup moins accessibles de l'extérieur.
La deuxième vulnérabilité est l'absence de protection des frontières dans les réseaux internes, ce qui signifie qu'il y a trop peu ou pas de pare-feu entre les zones, et que les ensembles de règles de pare-feu sont minimes et ne font pas l'objet d'un audit ou d'une vérification.
Le troisième est que l'accès à distance a été identifié comme un point d'entrée principal pour les attaques en raison d'un mauvais choix et d'une mauvaise conception des protocoles d'accès à distance. Le CERT suggère des tunnels VPN et une zone de sécurité restreinte (DMZ) pour les connexions afin d'éliminer ce risque.
En résumé, le fait que ces vulnérabilités faciles à corriger existent dans les infrastructures critiques est assez surprenant. Les failles de sécurité décrites sont bien connues, et les contre-mesures et protocoles appropriés sont adoptés de manière standard dans presque tous les autres réseaux d'organisations et devraient l'être encore plus pour les infrastructures critiques. Espérons que les RSSI responsables prendront les mesures qui s'imposent.
Cet article est publié dans le cadre du IDG Contributor Network.