Cas d’utilisation des
Utilitaires
Adopter le Zero Trust pour éviter les risques liés aux infrastructures critiques
Les entreprises de services publics sont très vulnérables aux cyberattaques, mais une approche Zero Trust structurée peut réduire les risques et les impacts dans un tel scénario
Le problème
Le risque d’une cyberattaque contre un service public tel que les fournisseurs d’électricité, d’eau et de gaz est immédiat. Il concerne les autorités gouvernementales en raison de son fort impact.
L’année 2021 a montré une croissance exponentielle des attaques de rançongiciels, ciblant les entreprises et les gouvernements du monde entier, entraînant des pertes et une incertitude importantes. Cependant, lorsqu’une cyberattaque affecte un fournisseur d’infrastructure critique, le potentiel de perturbation est plus élevé. Les médias regorgent d’histoires sur l’impact des cyberattaques sur les industries du monde entier. Cela ne cesse d’augmenter, poussant les organisations à adopter des solutions de défense.
Deux autres cas en novembre 2021 n’ont pas eu la même fin. La société nord-américaine Delta-Montrose Electric Association (DMEA), du Colorado, a perdu 25 ans de données après une cyber-attaque. L’attaque a mis hors service la plupart de leurs services réseau internes, affectant le service d’assistance, le traitement des paiements, les systèmes de collecte et d’autres outils.
En novembre 2021, la société australienne CS Energy a été touchée par une cyberattaque que son PDG a décrite comme une tendance croissante et préoccupante. Selon le Daily Telegraph, l’attaque a été interrompue à la dernière minute, juste avant de toucher deux grandes centrales au charbon. En cas de succès, l’attaque aurait coupé l’alimentation électrique de 1,4 à 3 millions de foyers.
En mai 2021, le cas le plus célèbre fut le Colonial Pipeline, hors ligne après une attaque de rançongiciel. L’oléoduc, de 5 500 milles de long, livre du carburant aux raffineries de toute la côte du golfe jusqu’au New Jersey. Elle fournit près de la moitié de l’essence et du diesel consommés sur la côte est des États-Unis. Selon GasBuddy, un pourcentage important des stations-service de Virginie, de Géorgie, de Caroline du Nord et de Caroline du Sud étaient à court de carburant. L’attaque a été interrompue après qu’une prime de 4,5 millions de dollars ait été versée aux pirates.
Le risque est ici, maintenant
Bien que la plupart des entreprises de services publics soient conscientes des risques de cybersécurité, il existe des incohérences en matière d’investissement pour protéger leurs actifs. Le cyber-risque peut augmenter à mesure que la transformation numérique s’accélère, et un exemple est une demande croissante et complexe pour mettre en œuvre des compteurs intelligents. Les organisations doivent traiter les risques immédiatement.
Plusieurs fournisseurs d’électricité ont de nombreuses unités commerciales pour générer et distribuer leurs ressources. Certaines politiques permettent à l’OT d’utiliser la technologie IdO (Internet des objets), car les solutions de gestion ne sont pas bien éprouvées – du point de vue de la sécurité – pour surveiller les opérations, qui peuvent contenir de graves vulnérabilités. Ajouté à une main-d’œuvre importante et dispersée, des sous-traitants qui ont besoin d’accéder aux systèmes critiques des entreprises de services publics, l’absence d’une politique d’accès augmente la fragilité de ces organisations. Les attaques de la chaîne d’approvisionnement peuvent provenir de ces points faibles.
La conception organisationnelle fonctionne mieux lorsque l’équipe de cybersécurité a une visibilité sur les réseaux OT et IT. Il permet aux dirigeants de penser à l’architecture pour prévenir les cyber-attaques sur les actifs de l’entreprise. Une infrastructure élémentaire exige une connectivité avec une chaîne d’approvisionnement Internet. De plus, les systèmes OT peuvent nécessiter une connexion avec le réseau informatique pour la collecte et la maintenance des données, pour n’en nommer que quelques-uns.
Comment gérez-vous tous ces risques?
Zero Trust:
Plus qu’une solution
Il n’existe pas de solution unique qui s’adapte à toutes les tailles et résolve tous les problèmes, mais Zero Trust réduit considérablement les risques. Zero Trust quitte le stade de la « tendance » pour devenir une stratégie de cybersécurité pour toute entreprise. 80% des organisations, selon les recherches d’App Gate, adopteront Zero Trust en 2022, et 96% pensent que sa mise en œuvre neutralisera les cyber-attaques.
Les grandes entreprises prennent Zero Trust au sérieux.
À l’opposé de la pensée habituelle, un fournisseur d’électricité en Amérique latine a récemment adopté une vision innovante de la sécurité, en utilisant le concept Zero Trust. Et de plus en plus d’organisations du marché des services publics vont dans la même direction, pour de bon.
Les recherches de Symmetry Systems et Osterman Research ont publié un rapport de 125 décideurs en informatique et en sécurité de moyennes et grandes entreprises détaillant comment ils mettront en œuvre Zero Trust. 53 % ont déclaré que les rançongiciels étaient leur pire problème et facteur de motivation, s’attendant à ce que l’architecture améliore la protection de la cybersécurité et bloque les violations de données de 144 %.
L’architecture Zero Trust change la façon dont les organisations conçoivent leurs réseaux informatiques et OT. Dans l’ancien modèle, tous les équipements et appareils étaient sur le même réseau et se faisaient confiance. Le principe du concept Zero Trust ne repose sur rien : des réseaux, des machines ou des utilisateurs, nécessitant une authentification en temps réel de qui ou de quoi accède aux données.
Les appareils mobiles, les services nuage et la croissance exponentielle du travail à domicile posent un défi au modèle Zero Trust. Cela augmente la complexité de l’adoption. Cependant, même dans un espace commercial conservateur comme l’alimentation électrique, se concentrer sur les points les plus faibles et critiques élimine les générateurs de vulnérabilités.
Selon les recherches de plusieurs cabinets de conseil ces dernières années, les principales vulnérabilités sont :
- Vol d’informations d’identification
- Manque de gestion appropriée des appareils et des systèmes
- Cryptage des données
Grâce à une plate-forme intégrée, la société latino-américaine d’alimentation électrique a adopté – dans le cadre de sa stratégie Zero Trust – une stratégie sans mot de passe pour garantir la non-répudiation des utilisateurs, en évitant le vol d’informations d’identification, une technique habituelle pour le phishing et les logiciels malveillants.
Une fois que l’utilisateur s’est authentifié sur la gestion des actifs informatiques critiques (serveurs, sites Web, bases de données, services cloud, certificats, etc.), il est géré à partir d’un point unique. Les utilisateurs accèdent à leurs ressources – uniquement celles dont ils ont besoin pour leurs tâches, les moins privilégiées – sans connaître les identifiants. Cette approche ajoute une couche de sécurité, guidant les utilisateurs pour accéder aux ressources uniquement via la plateforme de gestion des actifs critiques. Dans une configuration plus robuste, les gestionnaires peuvent configurer les ressources pour qu’elles soient accessibles uniquement à l’intérieur de la solution, évitant ainsi un accès direct depuis Internet. Cette couche supplémentaire évite les cyber-attaques comme DDoS – Distributed Denial of Service.
Tous les accès des utilisateurs aux systèmes, locaux ou distants, s’effectuent via un tunnel sécurisé et audité. Cette méthode d’accès élimine le risque VPN (Virtual Private Network), qui se trouve être un vecteur d’attaque dans plusieurs scénarios récents. Les VPN génèrent également une gestion informatique ignorée en raison de la création et de la distribution de certificats, des mots de passe, de l’installation de logiciels clients, pour n’en nommer que quelques-uns.
La solution adoptée permet la gestion du réseau OT, en particulier les nouveaux appareils nécessitant une connexion Internet. La plateforme gère les éléments IT et OT avec la même approche, en respectant Zero Trust. Ces deux mondes ont tendance à vivre dans le même environnement pour satisfaire la transformation numérique en cours, gérés à partir d’une console unique pour une administration simplifiée.
L’architecture Zero Trust ne se limite pas à la main-d’œuvre, mais est essentielle pour les sous-traitants et les fournisseurs qui accèdent aux systèmes informatiques et OT internes. Les organisations doivent prêter attention à la chaîne d’approvisionnement en tant que surface d’attaque de cybersécurité. La gestion est un problème critique, et Zero Trust peut vous aider.
L’événement le plus notable de la chaîne d’approvisionnement en matière de cybersécurité s’est produit au début de 2020. Lorsque des pirates sont entrés en silence dans le réseau de SolarWind pour injecter du code malveillant dans leur logiciel, tout a commencé. À l’époque, plusieurs organisations dans le monde utilisaient le système Orion pour gérer leurs réseaux. SolarWind comptait 33 000 clients utilisant Orion, selon les documents de la SEC ; et a signalé que 18 000 étaient affectés par le code malveillant. Comme SolarWind a de nombreux clients de haut niveau, y compris des entreprises du Fortune 500 et des agences gouvernementales américaines, les violations ont eu un impact significatif.
David Kennedy, un ex-Marine qui a dirigé des missions militaires américaines de cybersécurité et la NSA (National Security Agency), a déclaré à CNBC qu’une menace pour la chaîne d’approvisionnement est quelque chose qui l’empêche de dormir la nuit. Selon lui, ce type d’attaque a le potentiel de geler les opérations mondiales.
Toutes les tactiques précédentes ciblent les opérations de l’organisation, la protection des données sensibles. Il vise également à se conformer aux réglementations sur la confidentialité des données (comme la LGPD brésilienne et les récentes réglementations IoT du Royaume-Uni et des États-Unis), en plus des meilleures pratiques de cybersécurité du marché.
La suite des événements?
Les stratégies de cybersécurité, comme Zero Trust, sont un travail continu, il ne devrait jamais s’arrêter. Continuez à chercher et à améliorer, les meilleures pratiques de sécurité sont indispensables, car les cybercriminels poussent et explorent constamment les vulnérabilités.
Le respect des règles de protection des données est également une exigence constante. Il permet aux organisations de gérer leurs activités principales, conformément à la législation internationale, tout en élevant la barre pour rendre l’exploitation plus difficile pour les cybercriminels.
En plus de la résilience en matière de cybersécurité, la mise en œuvre de l’architecture Zero Trust par la société latino-américaine d’alimentation électrique a couvert les exigences de conformité à la LGPD (Loi générale sur la protection des données) brésilienne. La plate-forme peut auditer, enregistrer, enregistrer des sessions de ressources, etc. Leur prochaine étape consiste à protéger les appareils IdO et OT hérités, en utilisant la même stratégie.
Retour sur investissement avec Zero Trust
Réduire le risque de violation de données
La réduction du risque de violation de données peut atteindre jusqu’à 50 %
Économie
Dans les moyennes et grandes entreprises, les économies peuvent atteindre 20 $ par employé et par mois. L’audit avancé peut réduire jusqu’à 25 %.
Efficacité
Les appels au support technique peuvent être réduits jusqu’à 50 %. L’agilité pour fournir une nouvelle infrastructure peut être réduite jusqu’à 80 %.
RGPD – Aperçu des amendes et sanctions
2019
€ 8.500.000
Base juridique insuffisante pour le traitement des données
2021
€ 8.500.000
Base juridique insuffisante pour le traitement des données
2021
€ 8.500.000
Non-respect des principes généraux de traitement des données