Avec l’offre « CyFENCE & SIEM Service », cette attaque n’aurait pas eu d’effet sur les installations industrielles.

Nouvelle cyberattaque affectant le contrôle sur le réseau OT d’une installation de compression de gaz naturel publiée par l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) (Plus d’infos : https://www.us-cert.gov/ncas/alerts/aa20-049a). 

L’attaquant a réussi à avoir accès au réseau informatique de l’organisation pour ensuite pouvoir s’infiltrer dans le réseau OT. Le ransomware a ensuite pu atteindre les deux réseaux (IT et OT).

Conséquences : impossible de lire les données provenant de l’OT. L’interruption a duré deux jours, ce qui entraîné une perte de productivité.

Cette attaque s’explique par l’absence de sécurité solide entre la zone IT et OT, ce qui a permis à l’attaquant d’impacter les actifs sur les deux réseaux.

Le CISA expose quelques mesures de sécurité à mettre en place pour éviter ce type d’attaques, qui sont incluses dans les fonctions du CyFENCE & SIEM Service, notre nouvelle offre en partenariat avec Gfi :

  • Mettre en œuvre et assurer une segmentation de réseau robuste entre les réseaux informatiques et les réseaux d’OT afin de limiter la capacité des adversaires à pivoter vers le réseau d’OT même si le réseau informatique est compromis. Définir une zone démilitarisée (DMZ) qui élimine les communications non réglementées entre les réseaux informatiques et les réseaux d’OT : CyFENCE intègre une double segmentation réseau ainsi qu’une DMZ. Le cloisonnement entre les différentes zones OT est également géré dans le CyFENCE.

 

  • Assurer une traçabilité de la DMZ en centralisant et analysant les journaux d’événements (logs) des équipements qui la compose : SIEM Service mets à disposition un collecteur de logs au sein de la DMZ afin qu’un cyber analyste puissent détecter et prévenir les comportements anormaux sur les échanges IT/OT.

 

  • Définir des conduits de communication acceptables entre les zones et déployer des contrôles de sécurité pour filtrer le trafic du réseau et surveiller les communications entre les zones. Interdire les protocoles du système de contrôle industriel (ICS) de traverser le réseau informatique : Le filtrage via l’utilisation de deux Firewall et la rupture protocolaire permet une gestion des flux avancés.

 

  • Créer et tester des procédures régulières de sauvegarde des données sur les réseaux IT et OT. Veiller à ce que les sauvegardes soient régulièrement testées et isolées des connexions réseau qui pourraient permettre la propagation de ransomware : CyFENCE intègre une gestion des sauvegardes pour les postes mais également pour les programmes automates.

 

  • Mettre à jour les logiciels, y compris les systèmes d’exploitation, les applications et les microprogrammes sur les ressources des réseaux informatiques : CyFENCE intègre un système de gestion de mise à jour aussi bien pour les PC que pour les automates ou équipements réseaux.

N’attendez plus pour intégrer l’offre « CyFENCE & SIEM Service » afin d’anticiper, protéger et contrer les attaques informatiques sur vos installations industrielles existantes ou futures.


0 Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *