Le rapport 2025 du CERT Polska sur les incidents dans le secteur de l'énergie nous rappelle que de nombreux incidents cybernétiques ne résultent pas de techniques sophistiquées ou d'exploits inconnus. Ils trouvent plutôt leur origine dans des failles élémentaires qui n'ont jamais été corrigées : des identifiants par défaut, des accès non surveillés, des journaux que les attaquants peuvent effacer, ou encore des sauvegardes qui ne couvrent pas les systèmes qui comptent vraiment.
Dans plusieurs des incidents décrits, les pirates n'ont pas eu à se donner beaucoup de mal. L'environnement leur était déjà favorable.
Comment les attentats se sont déroulés
Le rapport fait état de nombreux incidents au cours desquels les pirates ont réussi à s'introduire par des voies bien connues. Les e-mails de hameçonnage, les pièces jointes malveillantes, les sites web compromis et les services exposés constituaient tous des points d'entrée courants. Une fois qu'un terminal était compromis, les pirates s'attachaient à se déplacer discrètement, en utilisant des outils légitimes et des protocoles standard.
On considérait souvent que les appareils connectés aux réseaux internes étaient sécurisés. Cette hypothèse s'est avérée erronée. Les équipements réseau, les interfaces de gestion et les systèmes d'exploitation étaient parfois configurés avec des identifiants par défaut ou partagés. Dans certains cas, les pirates n'ont même pas eu besoin de recourir à des exploits : il leur a suffi de se connecter.
L'accès à distance a également joué un rôle. Les connexions VPN n'étaient pas toujours contrôlées de près, et les contrôles d'authentification variaient d'un environnement à l'autre. Une fois connectés, les attaquants utilisaient des sessions RDP et le partage de fichiers SMB pour se déplacer latéralement, se fondant dans le trafic normal et échappant ainsi à une détection immédiate.
Pourquoi les identifiants par défaut constituent toujours l'un des risques les plus importants
Les identifiants par défaut restent l'un des risques les plus faciles à éviter, mais ils continuent d'apparaître dans des incidents réels. Le rapport montre clairement que cela ne concerne pas uniquement les appareils connectés à Internet. Des systèmes internes, notamment des composants OT et des serveurs de gestion, ont été laissés avec des identifiants inchangés ou des droits d'accès administrateur trop étendus.
Les pirates recherchent d'abord ces failles. Lorsqu'ils les trouvent, ils en prennent le contrôle rapidement et discrètement.
Modifier les identifiants par défaut, limiter les comptes partagés et responsabiliser les utilisateurs disposant d'un accès privilégié ne sont pas des mesures avancées, mais bien des principes fondamentaux. En leur absence, tout le reste devient plus difficile.
Il est trop tard pour détecter le problème après l'exécution
Il convient de noter que, dans certains cas, les outils de sécurité des terminaux ont détecté des activités malveillantes. Cela a permis de limiter les dégâts. Cependant, cette détection intervenait souvent après que le logiciel malveillant avait déjà commencé à s'exécuter.
Une fois que le logiciel malveillant s'est exécuté, les pirates peuvent voler des identifiants, modifier des paramètres et s'assurer une présence durable. À ce stade, la réaction devient plus complexe et plus perturbante.
Le rapport souligne l'importance de contrôler les fichiers avant leur exécution. Les pièces jointes aux e-mails, les fichiers téléchargés et ceux provenant de supports amovibles doivent être analysés et nettoyés avant même d'atteindre les systèmes opérationnels. En bloquant les menaces dès leur point d'entrée, on réduit le besoin d'interventions de nettoyage ultérieures.
Surveiller les méthodes réellement utilisées par les pirates
Plusieurs incidents décrits dans le rapport impliquaient des mouvements latéraux plutôt que des exploits spectaculaires : par exemple, des sessions RDP entre des systèmes, des partages SMB utilisés pour transférer des outils, et de petites modifications de configuration qui ont ouvert des brèches au fil du temps.
Il est essentiel de surveiller les communications internes. Le trafic est-ouest fait souvent l'objet de moins d'attention que les activités tournées vers Internet, alors que c'est là que les pirates passent la majeure partie de leur temps une fois qu'ils ont pénétré dans le réseau.
Les modifications de configuration méritent la même attention. Firewall , les paramètres VPN et les autorisations Active Directory ne doivent pas être modifiés à l'insu de tous. Les entreprises doivent disposer d'une visibilité claire sur ce qui a changé, qui a effectué la modification et pourquoi. Les changements inattendus constituent souvent le premier signe d'une intrusion.
Journaux et sauvegardes : les éléments que les pirates tentent de compromettre
Le rapport montre également comment les pirates s'attaquent aux processus de journalisation et de restauration. Dans certains cas, les journaux ont été supprimés ou modifiés, ce qui a ralenti les enquêtes et limité la compréhension des faits.
Les journaux d'audit doivent être transférés vers un emplacement sécurisé où les pirates ne peuvent ni les modifier ni les effacer. Idéalement, les journaux ne doivent circuler que dans un seul sens. Si les pirates peuvent supprimer les journaux, ils peuvent effacer leurs traces.
Les sauvegardes requièrent le même niveau d'attention. De nombreuses entreprises sauvegardent leurs configurations, mais négligent le micrologiciel, les images complètes du système et l'état des terminaux. Lorsque le micrologiciel ou les binaires système sont compromis, les sauvegardes de configuration ne suffisent pas à elles seules. Un micrologiciel sain, des sauvegardes de serveurs et des images de terminaux fiables sont indispensables à la restauration.
Ce qu'il faut retenir
Le rapport du CERT Polska ne fait pas état d'échecs dus à un manque d'outils. Il décrit des échecs dus à la négligence de principes fondamentaux tels que :
- Les identifiants par défaut ont été conservés.
- L'accès à distance n'est pas entièrement surveillé.
- Des journaux stockés à un endroit accessible aux pirates.
- Le logiciel malveillant n'a été détecté qu'après avoir été activé.
Heureusement, certaines attaques ont été détectées avant de causer des perturbations majeures. Mais la chance n'est pas une solution.
Les entreprises du secteur de l'énergie doivent réduire les risques à un stade plus précoce de la chaîne d'attaque — avant que les logiciels malveillants ne s'exécutent, avant que les identifiants ne soient détournés et avant que les attaquants ne puissent effacer leurs traces. Le rapport met clairement en évidence un point : les attaquants empruntent des voies prévisibles. Et cela signifie que les défenseurs peuvent les bloquer.
Ces solutions ne sont pas extraordinaires, mais elles sont urgentes.
N'attendez pas que les logiciels malveillants s'exécutent pour réagir. Découvrez comment OPSWAT MetaDefender empêche les menaces dès leur point d'entrée en analysant et en nettoyant les fichiers avant qu'ils n'atteignent vos systèmes critiques.
