L’agence nationale pour la cybersécurité du Canada a lancé un avertissement aux organisations responsables d’infrastructures vitales, les exhortant à adopter des mesures de sécurité supplémentaires, y compris l’authentification obligatoire à deux facteurs, après une série d’incidents impliquant des systèmes de contrôle industriels accessibles via Internet. Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) et la Gendarmerie royale du Canada (GRC) ont récemment reçu des rapports faisant état d’un accès non autorisé à plusieurs installations, dont une usine de traitement de l’eau, une société pétrolière et gazière et un site agricole.
Dans un cas, une installation d’eau a connu des valeurs de pression altérées, ce qui a entraîné une dégradation du service. Un autre incident a impliqué une société pétrolière et gazière où la manipulation d’une jauge de réservoir automatisée a déclenché de fausses alarmes. Dans un troisième cas, des pirates informatiques ont interféré avec les contrôles de température et d’humidité d’un silo de séchage de grains, qui aurait pu présenter des conditions dangereuses s’il n’avait pas été détecté rapidement. Ces événements soulignent le fait que même lorsque les infrastructures critiques restent opérationnelles, les attaquants peuvent toujours infliger des risques physiques ou des dommages à leur réputation.
Le advisory rapport publié par le Centre canadien pour la cybersécurité souligne que les attaquants semblent s’appuyer sur un accès opportuniste à des appareils directement visibles sur Internet, notamment des contrôleurs logiques programmables (API), des unités terminales à distance (RTU), des interfaces homme-machine (IHM), des systèmes de contrôle et d’acquisition de données (SCADA) et des systèmes de gestion d’immeubles. Le document souligne que, bien qu’aucun acteur spécifique parrainé par l’État n’ait été identifié, ces campagnes d’hacktivisme ciblent de plus en plus les infrastructures physiques pour créer des perturbations, des alarmes sociales ou des atteintes à la réputation.
Étant donné que les systèmes de contrôle industriels sont désormais couramment connectés à Internet pour fournir un accès à distance, une surveillance ou une assistance aux fournisseurs, ils représentent une cible tentante pour les acteurs de la menace. Le Centre pour la cybersécurité prévient que la conception et le déploiement de bon nombre de ces systèmes n’ont pas donné la priorité à la cybersécurité à l’origine, ce qui signifie que les informations d’identification par défaut ou faibles, les services exposés et le manque de segmentation du réseau restent répandus. Une fois accessibles, ces systèmes peuvent être manipulés ou utilisés comme point pivot vers d’autres réseaux opérationnels.
En réponse à ces incidents, l’agence recommande aux propriétaires d’infrastructures de prendre des mesures immédiates. Il s’agit notamment de réaliser un inventaire complet de tous les appareils ICS accessibles sur Internet et d’évaluer s’ils doivent rester exposés. Lorsqu’il n’est pas possible d’éliminer l’exposition directe, il est conseillé aux organisations de mettre en œuvre un réseau privé virtuel avec une authentification à deux facteurs pour l’accès à distance, de déployer des outils de prévention et de détection des intrusions, d’effectuer régulièrement des tests d’intrusion et de maintenir une gestion continue des vulnérabilités. Les municipalités et les petits services publics qui peuvent ne pas faire l’objet d’une surveillance formelle de la cybersécurité sont priés de se coordonner avec les fournisseurs de services et de confirmer que les appareils gérés par le fournisseur sont configurés en toute sécurité et entretenus tout au long de leur cycle de vie.
L’une des recommandations spécifiques met l’accent sur le rôle de l’authentification à deux facteurs, ou 2FA, pour l’accès à distance et administratif aux systèmes d’infrastructure. En exigeant une deuxième méthode de vérification au-delà d’un mot de passe, les organisations peuvent réduire considérablement le risque d’accès non autorisé résultant d’un vol d’identifiants ou d’un hameçonnage. L’alerte du Centre pour la cybersécurité place l’authentification à deux facteurs au premier plan en tant que contrôle de base mais essentiel dans la protection des réseaux d’infrastructures critiques.
Les entreprises qui gèrent des services vitaux sont désormais confrontées à une exposition accrue car les composants d’infrastructure sont de plus en plus interconnectés et la combinaison des réseaux de technologies de l’information et de technologies opérationnelles s’est développée. La compromission d’un appareil peut se répercuter sur un accès plus large au système, une interruption de service potentielle ou des incidents critiques pour la sécurité. Selon les experts, la sécurité physique est intimement liée à la cybersécurité lorsque la pression de l’eau, les niveaux de carburant ou les conditions environnementales sont manipulés par des attaquants.
L’alerte souligne également que les hacktivistes peuvent non seulement viser un gain financier, mais aussi rechercher la visibilité, saper la confiance ou susciter l’inquiétude du public. En s’attaquant aux appareils connectés à Internet dans les domaines de l’énergie, de l’agriculture ou de la gestion de l’eau, les adversaires peuvent faire une déclaration tout en évitant une destruction à grande échelle, ce qui peut réduire la détection immédiate. Ces tactiques mettent l’accent sur la nécessité d’une surveillance vigilante à la fois des événements techniques inhabituels et du comportement physique anormal de l’installation.
À la suite de cet avis, les exploitants d’infrastructures et les organisations municipales du Canada sont invités à revoir leur position en matière de sécurité, à vérifier les journaux d’accès à distance, à s’assurer que les comptes administratifs sont verrouillés et à appliquer l’authentification multifactorielle dans la mesure du possible. Le Centre pour la cybersécurité souligne que les contrôles d’accès et la surveillance ne sont efficaces que s’ils s’appuient sur la gouvernance, la planification de la réponse aux incidents et une coordination claire entre les équipes informatiques et les équipes technologiques opérationnelles.
Bien que l’alerte n’attribue pas les incidents à un pays ou à un groupe particulier, elle reflète la tendance mondiale plus large des campagnes de ciblage des infrastructures par des acteurs cherchant à exploiter les systèmes opérationnels exposés. Ces développements ont suscité un regain d’attention dans tous les secteurs, notamment l’eau, l’alimentation, l’industrie manufacturière et l’énergie. Le gouvernement canadien profite de l’occasion pour pousser les organisations à traiter la cybersécurité des infrastructures comme un enjeu de sécurité publique et de résilience nationale.
En résumé, l’avertissement du Centre pour la cybersécurité devrait être considéré par les fournisseurs d’infrastructure comme un appel à l’action. Avec de multiples incidents déjà signalés et la connectivité croissante des systèmes industriels, le tableau des risques n’a jamais été aussi urgent. L’authentification à deux facteurs, les contrôles d’accès à distance, l’inventaire des appareils exposés et la surveillance intégrée des fournisseurs représentent des étapes fondamentales dans la protection de la sécurité nationale et la continuité des services dans les secteurs essentiels du Canada.