Derrière la brèche : Analyse des cyberattaques critiques ICS/OT 

Découvert en 2010, Stuxnet est l'une des cyberattaques les plus connues et les plus sophistiquées visant les ICS. Elle a ciblé en particulier l'installation nucléaire iranienne de Natanz, en utilisant des vulnérabilités de type "zero-day" et en se propageant par le biais de lecteurs USB infectés. 

• Dispositifs malveillants USB : Le logiciel malveillant a été introduit dans l'installation par l'intermédiaire de lecteurs USB infectés. Une fois à l'intérieur, il s'est propagé au logiciel Step7 de Siemens, qui est utilisé pour programmer les systèmes de contrôle industriel. 
• Propagation : Stuxnet a exploité de multiples vulnérabilités de type "zero-day" et a utilisé un rootkit pour dissimuler sa présence sur les systèmes infectés. Il a ciblé les automates programmables Siemens pour modifier la vitesse des centrifugeuses, provoquant leur dysfonctionnement et leur dégradation physique. 

Les attaques du réseau électrique ukrainien en décembre 2015 et décembre 2016 sont des exemples notables d'attaques cyber-physiques. Ces incidents ont impliqué des groupes de menaces persistantes avancées (APT) qui ont utilisé des méthodes sophistiquées pour perturber l'approvisionnement en électricité. 

• Courriels de spear-phishing : Les attaquants ont envoyé des courriels de spear-phishing aux employés des compagnies d'électricité ukrainiennes. Ces courriels contenaient des pièces jointes malveillantes qui, une fois ouvertes, installaient le logiciel malveillant BlackEnergy sur les systèmes cibles. 
• IT Compromission du réseau : une fois dans le réseau IT , les attaquants ont utilisé des informations d'identification volées pour accéder aux systèmes SCADA (Supervisory Control and Data Acquisition), qui contrôlent le réseau électrique. 
• Interférence manuelle : Les attaquants ont actionné manuellement les disjoncteurs, provoquant des coupures de courant dans plusieurs régions. 

Le malware TRITON, également connu sous le nom de TRISIS, a ciblé les SIS (systèmes instrumentés de sécurité) d'une usine pétrochimique en Arabie saoudite en 2017. Ce malware a été conçu pour manipuler les contrôleurs SIS, qui sont essentiels au fonctionnement sûr des processus industriels.

• Poste de travail d'ingénierie compromis : Les attaquants ont accédé à un poste de travail d'ingénieur connecté au SIS à l'aide d'un VPN. 
• Installation du logiciel malveillant : Le logiciel malveillant a été installé sur les contrôleurs SIS de Triconex, tentant de les reprogrammer pour arrêter l'usine ou causer des dommages physiques. 

En mai 2021, Colonial Pipeline, un important pipeline de carburant aux États-Unis, a été touché par une attaque de ransomware attribuée au groupe DarkSide ransomware. Cette attaque a perturbé l'approvisionnement en carburant dans l'est des États-Unis. 

• Compte VPN compromis : Les attaquants ont accédé au réseau par l'intermédiaire d'un compte VPN compromis qui n'était plus utilisé mais toujours actif. 
• Déploiement d'un ransomware : Une fois à l'intérieur, le ransomware a crypté les données sur le réseau, perturbant les opérations du pipeline. 

En 2014, une aciérie allemande a subi d'importants dommages à la suite d'une cyberattaque qui a perturbé ses systèmes de contrôle. Les attaquants ont utilisé des courriels de spear-phishing pour accéder au réseau de bureau de l'usine, puis se sont infiltrés dans le réseau de production. 

• Courriels de spear-phishing : Les attaquants ont envoyé des courriels de spear-phishing aux employés, ce qui a conduit à l'installation de logiciels malveillants sur le réseau de l'entreprise. 
• IT Compromission du réseau : les attaquants se sont déplacés latéralement du réseau de bureau au réseau de production. 
• Manipulation des systèmes de contrôle : Une fois entrés dans le réseau de production, les attaquants ont accédé aux systèmes de contrôle, causant des dommages massifs à un haut fourneau. 

Les vecteurs d'attaque communs à ces incidents notables impliquent souvent une erreur humaine, comme le fait de se laisser piéger par des courriels d'hameçonnage ou de laisser des outils d'accès à distance non sécurisés. Les supports physiques, tels que les lecteurs USB infectés et les comptes VPN compromis, jouent également un rôle important dans ces violations. Ces points d'entrée soulignent l'importance cruciale de la mise en œuvre d'une plateforme de cybersécurité complète qui protège contre un large éventail de menaces. En outre, le rôle des facteurs humains dans ces attaques souligne la nécessité d'une éducation et d'une formation continues des employés pour qu'ils puissent reconnaître les cybermenaces potentielles et y répondre efficacement. En combinant des solutions technologiques avancées avec des programmes solides de développement du personnel, les organisations peuvent améliorer leur résilience face à l'évolution du paysage des cybermenaces ciblant les environnements ICS/OT.