Fin août, l’arrestation du PDG de la messagerie russe Telegram entraîne une vague de cyberattaques contre la France, heureusement sans conséquences majeures. Cet exemple, comme celui du Danemark, montre une volonté croissante d’utiliser des attaques concertées pour paralyser un pays et ses entreprises.
La nouvelle a été peu couverte en France : en mai 2023, le Danemark se découvre victime d’une attaque massive contre ses infrastructures critiques qui est parvenue à compromettre 22 entreprises du secteur de l’énergie.
Si les cyberattaques sont fréquentes, celle-ci se distingue par sa sophistication. « Les attaquants savaient exactement qui cibler et ils n’ont jamais raté leur coup », explique SektorCert, le réseau de cybersécurité du Danemark, pointant l’implication probable d’États étrangers. L’attaque a exploité une faille dans les pare-feux Zyxel, largement utilisés dans les infrastructures critiques du pays.
L’exemple danois pose question : à quoi ressemblerait une cyberattaque “réussie” contre la France ? Et comment les entreprises peuvent-elles se premunir ?
Les attaques « HILF » : Peu fréquentes, mais dévastatrices
Les entreprises stratégiques connaissent en permanence un volume élevé de cyber-attaques. En 2022, 89 % des acteurs de l’énergie disaient ainsi avoir vu leur production perturbée par une cyberattaque sur l’année précédente.
Néanmoins, une attaque coordonnée par un État se distingue néanmoins par deux facteurs : la patience et la sophistication. Les acteurs étatiques peuvent développer des logiciels malveillants sur-mesure, comme le malware industriel PIPEDREAM, et exploiter des failles non révélées.
Leur objectif : infiltrer plusieurs cibles, avant de lancer une perturbation coordonnée. Ce type d’attaque, rare mais dévastatrice, est parfois désigné par l’acronyme HILF : “High Intensity, Low Frequency”.
Les infrastructures critiques comme cibles prioritaires
La Russie n’est pas la seule à développer ces capacités. L’opération chinoise Volt Typhoon cible depuis 2021 plusieurs secteurs stratégiques en Occident. Détectée dans plus de 50 centrales électriques aux États-Unis, elle utilise des techniques pour échapper à la détection pendant de longues périodes, permettant à la Chine de perturber des secteurs essentiels comme l’énergie, les transports et l’eau.
Ces trois secteurs partagent des caractéristiques qui en font des cibles privilégiées pour une cyberattaque d’envergure. Premièrement, ils fonctionnent en réseau et l’arrêt d’une poignée de sites, centrales ou raffineries peut avoir un effet domino rapide sur l’économie du pays. De plus, ces installations ont une durée de vie très longue qui entraîne une coexistence de technologies, systèmes et terminaux parfois anciens, difficiles à cartographier et à protéger.
Car, si une panne informatique peut avoir des conséquences importantes, les cyberattaquants recherchent désormais à atteindre les technologies opérationnelles (OT), qui contrôlent la production, pour provoquer davantage de dégâts physiques.
Leur infiltration permet en effet des conséquences multiples : surcharge des réseaux, arrêt de la production ou désactivation des contrôles de sécurité. Récemment, des hackers ont ainsi tenté d’empoisonner des réserves d’eau en Floride et en Californie en désactivant ces contrôles avant de manipuler la quantité de soude qui s’y trouvait.
Infiltrer l’appareil industriel pour entraîner des conséquences physiques
De telles attaques exploitent le fait que les systèmes industriels, qui étaient traditionnellement maintenus séparés de l’informatique de l’entreprise (ou IT), demeurent souvent moins sécurisés : il n’est pas rare qu’ils n’utilisent pas de mots de passe ou de méthode de double authentification, par exemple.
La quête d’efficacité des entreprises à remis en cause cette séparation et entraîné l’augmentation des connexions entre informatique et appareil industriel – que ce soit pour optimiser et analyser les opérations ou développer des pratiques comme la maintenance prédictive.
Revers de la médaille : une attaque qui commence dans l’environnement IT peut désormais se propager vers l’appareil industriel. Ce fut le cas pour l’attaque au Danemark, où une faille dans un pare-feu IT a permis aux attaquants de pénétrer les systèmes OT.
Deux « angles morts » des entreprises aggravent ces attaques : la croissance exponentielle des dispositifs connectés a provoqué une difficulté à inventorier et sécuriser tous ces appareils et leurs logiciels. De plus, corriger les vulnérabilités dans les systèmes industriels est long, complexe et rarement automatisé: dans l’UE, la majorité des entreprises stratégiques disent avoir besoin d’un mois ou plus pour corriger une vulnérabilité connue.
En conséquence, de telles attaques se développent rapidement. Selon une étude de Palo Alto Networks en mars 2024, trois organisations sur quatre ont subi une cyberattaque contre leur systèmes industriels au cours de l’année écoulée et une sur quatre a dû fermer temporairement un site en conséquence.
Renforcer la cybersécurité des infrastructures critiques
Pour contrer ces menaces, l’Union européenne impose des normes de cybersécurité plus strictes aux secteurs stratégiques, notamment via la directive NIS2, qui sera adoptée d’ici octobre 2024. Cependant, ces réglementations fixent un cap plutôt qu’une stratégie concrète.
L’attaque danoise offre néanmoins plusieurs leçons essentielles aux etreprises européennes, notamment la nécessité d’une approche basée sur trois piliers : la visibilité, la gestion pondérée des vulnérabilités et la sécurité des configurations.
Les entreprises doivent d’abord s’assurer d’avoir un inventaire précis de leurs terminaux, logiciels et firmwares. Sans une visibilité claire des systèmes et de leurs connexions, il est impossible de comprendre la surface d’attaque ou d’appliquer des mesures de sécurité efficaces.
Cet inventaire peut fournit la base d’une automatisation des processus d’inventaire et de détection des vulnérabilités. Bien que des bases de données comme la National Vulnerability Database ne soient pas toujours à jour, elles restent essentielles pour prioriser les efforts de mitigation.
Enfin, il est crucial d’aller au-delà de la simple détection d’intrusions. Les acteurs étatiques peuvent utiliser des outils légitimes pour pénétrer les systèmes, y demeurer des années sans être détectés et, parfois, enrôler des salariés abusés ou complices. Le contrôle rigoureux des configurations et des audits réguliers sont donc essentiels pour prévenir ces menaces – et éviter ainsi de faire les frais de la prochaine cyberattaque de grande ampleur.
Edgardo Moreno
Expert en cybersécurité industrielle chez Hexagon