Sécuriser les infrastructures critiques à Ars Frontiers. Cliquez ici pour la transcription.
À l’approche d’Ars Frontiers, j’ai eu l’occasion de m’entretenir avec Lesley Carhart, directrice d’Incident Response chez Dragos. Connu sur Twitter sous le nom de @hacks4pancakes, Carhart est un vétéran de la réponse aux cyberincidents affectant les infrastructures critiques et relève depuis des années les défis de la sécurisation des systèmes de contrôle industriels et de la technologie opérationnelle (OT). Il semblait donc approprié de lui faire part de ce qui doit être fait pour améliorer la sécurité des infrastructures essentielles tant au sein de l’industrie que du gouvernement, en particulier dans le contexte de ce qui se passe en Ukraine.
Une grande partie n’est pas un nouveau territoire. “Ce que nous remarquons depuis des années dans le domaine de la cybersécurité industrielle, c’est que des personnes de toutes les organisations, militaires et terroristes du monde entier, se prépositionnent pour faire des choses comme le sabotage et l’espionnage via des ordinateurs depuis des années”, a expliqué Carhart. . Mais ce genre de choses attire rarement l’attention parce qu’elles ne sont pas tape-à-l’œil et, par conséquent, elles n’attirent pas l’attention de ceux qui détiennent les cordons de la bourse pour les investissements qui pourraient les corriger.
En conséquence, a déclaré Carhart, les organisations visant à tirer parti de l’exploitation de la technologie industrielle ont passé des années «à essayer de renforcer leurs capacités afin que, lorsqu’une situation géopolitique surviendrait, il leur soit fructueux de le faire, [they would] être capable d’attaquer les systèmes d’infrastructure en utilisant le cyber.”
Publicité
Un exemple de ces capacités est Pipedream, “une collection d’outils qui pourraient être utilisés pour potentiellement s’introduire dans les systèmes de contrôle industriels et avoir un impact sur certains types de systèmes”, a noté Carhart. Pipedream a été découvert par des professionnels de la sécurité avant de pouvoir être utilisé pour faire des dégâts, mais cela démontre que “les gens se prépositionnent pour faire des choses à l’avenir”, a déclaré Carhart. “Ils ont appris au fil des ans, et certainement au cours des deux derniers mois, que le sabotage, l’espionnage et les opérations d’information peuvent être incroyablement précieux en tant qu’élément de la guerre traditionnelle… pour démoraliser les ennemis, semer la confusion et la dissidence, et également avoir un impact sur les services essentiels qu’une population civile utilise alors qu’elle est également confrontée à un conflit armé.
Beaucoup de gens essaient de défendre les réseaux industriels, et beaucoup de travail est fait pour améliorer la sécurité des systèmes industriels et se préparer aux ennuis. Mais, “certaines industries disposent de beaucoup plus de ressources que d’autres” pour ces tâches, a noté Carhart. Les services publics appartenant aux municipalités ne sont pas sur le même pied en termes de ressources que les grandes entreprises disposant de vastes ressources en matière de cybersécurité. La Cybersecurity and Infrastructure Security Agency des États-Unis et d’autres organisations tentent d’aider à fournir les ressources nécessaires aux municipalités et autres petits services publics. Mais jusqu’à quel point la CISA peut-elle faire pour protéger ces organisations et d’autres fournisseurs étatiques et locaux d’infrastructures critiques est une question ouverte.
La technologie opérationnelle a un cycle de vie beaucoup plus long que l’informatique « normale ». Nous avons parlé de ce que cela signifie, à la fois du point de vue de la sécurisation des OT existants et de la recherche des personnes chargées d’effectuer le travail essentiel pour établir et maintenir cette sécurité. Alors que certaines améliorations sont apportées à la sécurité à mesure que Windows 10 fait son chemin dans les systèmes embarqués et autres OT, Carhart a déclaré : “Nous verrons probablement Windows 10 pendant encore 30 ans dans ces environnements” – et avec lui, de nombreux éléments de sécurité défis auxquels l’informatique est confrontée depuis des années déjà.
Image de la liste par gremlin / Getty Images