Des recommandations récentes du Federal Bureau of Investigation (FBI) et de la Cybersecurity and Infrastructure Security Agency (CISA) mettent en évidence une menace urgente et en constante évolution pesant sur les environnements OT. Dans un avis conjoint, ces agences ont averti que des acteurs malveillants liés à l'Iran avaient activement exploité des automates programmables (PLC) connectés à Internet dans divers secteurs d'infrastructures critiques aux États-Unis, notamment les réseaux d'eau et d'assainissement, le secteur de l'énergie et les installations gouvernementales. L'avis, référencé AA26-097A, met en évidence une tendance que de nombreux acteurs du secteur soupçonnaient depuis longtemps, mais qui est désormais observée dans des incidents concrets : ces acteurs ne s'appuient plus sur des vulnérabilités logicielles ou des exploits « zero-day » pour affecter les environnements industriels. Au contraire, ils exploitent des voies d'accès légitimes, des protocoles industriels natifs et des outils d'ingénierie standard pour interagir directement avec les systèmes de contrôle.
Des chemins de contrôle exposés, pas des vulnérabilités
Ce sont les voies d'accès non protégées, et non les vulnérabilités non corrigées, qui constituent le principal risque pour les environnements OT. Les stratégies traditionnelles axées sur l'identification des vulnérabilités, l'application de correctifs et la surveillance des comportements malveillants restent importantes, mais le dernier avis le dit clairement : si un attaquant parvient à accéder à votre environnement OT, il peut y opérer librement.
Dans plusieurs cas observés, les pirates ont réussi à se connecter directement à des automates programmables (PLC) connectés à Internet en utilisant des ports de communication industriels standard tels que 44818, 2222, 102 et 502. À l'aide de logiciels d'ingénierie largement disponibles, ils ont établi des sessions valides avec ces appareils et ont interagi avec eux comme s'ils étaient des opérateurs autorisés.
La distinction entre « accessible » et « vulnérable » marque un tournant fondamental. La question n'est plus seulement de savoir si un système est vulnérable, mais s'il est accessible. Si un système de contrôle est accessible via un réseau, il peut être piloté. Et s'il peut être piloté, il peut être perturbé.
Comment se déroulent les attaques OT modernes
Le schéma d'attaque décrit dans l'avis suit un cheminement simple :
- Accès initial : exposition des automates programmables (PLC) ou des systèmes OT à des réseaux externes, soit directement, soit par le biais de voies d'accès à distance telles que les VPN ou les serveurs relais
- Interaction par des moyens légitimes : à partir de là, les pirates utilisent des outils d'ingénierie légitimes, tels que Studio 5000 Logix Designer, pour établir des connexions avec l'appareil. Utilisation de postes de travail d'ingénierie, d'outils fournis par les fabricants ou de protocoles natifs (par exemple, Modbus, EtherNet/IP)
- Exécution :
- Modification de la logique de commande
- Téléchargement et transfert de fichiers de projet
- Émission de commandes à des processus physiques
- Conséquences : perturbation des activités, risques pour la sécurité et pertes financières potentielles
Ce qui rend cette approche efficace, c'est qu'elle contourne de nombreux contrôles de sécurité traditionnels. Il n'y a rien d'intrinsèquement « malveillant » au niveau du protocole ou de l'outil qui puisse déclencher une détection.
Les contrôles traditionnels ne suffisent plus
La plupart des environnements OT s'appuient aujourd'hui sur une combinaison de pare-feu, de VPN, de stratégies de segmentation et de contrôles d'accès à distance. Bien que nécessaires, ces mesures présentent des limites inhérentes :
- Les pare-feu reposent sur une configuration et une gestion des règles correctes ; de par leur conception, ils autorisent également les protocoles requis.
- Les VPN et l'accès à distance reposent sur l'intégrité des identifiants
- Les systèmes de détection et de surveillance se déclenchent une fois que l'accès a déjà été établi
Dans les scénarios mis en évidence par la CISA, les pirates n'ont pas eu besoin de contourner ces mesures de sécurité au sens strict du terme. Ils ont simplement exploité les accès qui existaient déjà.
C'est pourquoi cette recommandation insiste particulièrement sur la nécessité d'éliminer toute exposition inutile et de renforcer la segmentation du réseau.
Allier segmentation et isolation déterministe
La segmentation est depuis longtemps considérée comme une bonne pratique, mais toutes les formes de segmentation ne se valent pas.
La segmentation logique, mise en œuvre par des logiciels et des politiques, permet de réduire les risques, mais ne les élimine pas pour autant. Des erreurs de configuration, la compromission d'identifiants ou des voies d'accès indirectes peuvent toujours créer des connexions involontaires entre les environnements informatiques et opérationnels.
Ce qu'il faut dans les environnements à haut risque, c'est un isolement déterministe.
Éliminer la voie d'attaque grâce à une communication unidirectionnelle
Une approche plus efficace consiste à supprimer purement et simplement toute possibilité d'accès entrant.
Les diodes de données assurent une communication unidirectionnelle au niveau matériel entre les réseaux. Cela permet aux données opérationnelles de sortir de l'environnement de contrôle à des fins de surveillance, d'analyse ou de conformité, tout en rendant techniquement impossible le retour de données, de commandes ou de connexions vers l'intérieur.
Dans le contexte des schémas d'attaque décrits par la CISA, cela a un impact direct :
- Aucune commande à distance ne parvient aux automates programmables
- Aucun outil d'ingénierie ne peut se connecter depuis des réseaux externes
- Aucun logiciel malveillant ni aucun trafic non autorisé ne peut pénétrer dans l'environnement de contrôle
Il ne s'agit pas ici de détecter ou de bloquer des activités malveillantes. Il s'agit d'éliminer complètement la voie d'accès.
Conformément aux recommandations de la CISA
Les recommandations de la CISA en matière de mesures d'atténuation mettent l'accent sur trois actions principales :
- Retirer les ressources OT de l'exposition directe à Internet
- Renforcer la séparation entre les réseaux informatiques et les réseaux opérationnels
- Limiter et contrôler l'accès à distance
Les architectures de communication unidirectionnelles mettent en œuvre ces recommandations avec un niveau de sécurité accru en garantissant que les systèmes de contrôle critiques ne sont pas accessibles, même si les réseaux en amont sont compromis.
Repenser OT Security: de la défense à la conception
L'avis AA26-097A souligne que les hypothèses défensives doivent évoluer au rythme des menaces auxquelles elles s'opposent. Si les attaquants n'ont plus besoin d'exploiter des vulnérabilités, il ne suffit plus de se concentrer uniquement sur la détection et la prévention. La priorité doit désormais être accordée aux contrôles architecturaux qui éliminent des catégories entières de risques. Rendre les systèmes OT inaccessibles depuis les réseaux externes constitue l'un de ces contrôles.
La sécurité avant tout
Le dernier avis de la CISA met en évidence une réalité que les organisations ne peuvent plus ignorer :
- Dans les environnements de thérapie occupationnelle, l'exposition équivaut à un risque
- Alors que les pirates exploitent de plus en plus les accès légitimes et les fonctionnalités natives, la défense la plus efficace ne réside pas seulement dans une meilleure surveillance ou des politiques plus strictes, mais dans la suppression pure et simple de toute connectivité superflue.
- Concevoir des environnements OT de manière à ce qu'ils soient inaccessibles par nature n'est plus seulement une bonne pratique théorique. Cela devient une exigence concrète pour garantir la résilience opérationnelle.
