Internet Industriel des Objets IIOT : Des pannes IIoT à grande échelle pourraient-elles être à l'horizon?

Sécurité des terminaux
,
Gouvernance et gestion des risques
,
Sécurité au niveau du matériel / de la puce

Une nouvelle étude prévient que l'utilisation de l'IIoT nécessitera une attention particulière à la sécurité

Jeremy Kirk (jeremy_kirk) •
24 juillet 2020

Illustration: Pxfuel

Selon une nouvelle étude, le rythme rapide du changement au sein de l'Internet des objets industriel ouvrira de nouveaux risques d'attaques et nécessitera une attention particulière à la sécurité.

L'étude, publiée plus tôt ce mois-ci par la Lloyd's Register Foundation – un organisme de bienfaisance financé par le registre des expéditions vieux de plusieurs siècles – indique que jusqu'à présent, il n'y a pas eu de pannes ou de pannes systémiques à grande échelle. Mais à mesure que les industries adoptent de plus en plus les capteurs et les systèmes IIoT, de tels incidents peuvent se produire.

L'étude de la Lloyd's Register Foundation

La conviction que les efforts actuels pour gérer les cyberrisques sont suffisants "a peu de chances de se confirmer à l'avenir alors que nous développons l'Internet des objets", indique le rapport.

Assurer la sécurité de l'IIoT

L'étude est le fruit d'une collaboration impliquant plus de 110 experts en cybersécurité. Trois ateliers ont été organisés pour recueillir des contributions à Singapour, Oxford et San Francisco entre octobre 2019 et février. Le rapport se concentre sur l'utilisation de l'IIoT dans les infrastructures critiques, notamment l'énergie, les transports, la fabrication et «l'environnement bâti», comme les villes.

L'étude prévient que << le rythme actuel de l'évolution des capacités de sécurité opérationnelle ne correspondra pas à l'apparition rapide de nouveaux risques de sécurité dans les environnements IIoT. Au niveau conceptuel, les normes et directives de sécurité existantes sont toujours pertinentes pour l'IIoT. Au niveau pratique, cependant , la capacité de fournir ces capacités et la manière dont elles doivent l'être sont modifiées dans l'IIoT. "

Illustration de la Lloyd's Register Foundation des éléments clés de l'IIoT

Certaines fonctionnalités ne sont pas évolutives ou ne sont pas interopérables. Certains ne sont pas techniquement réalisables ou n'ont pas été testés ou n'existent même pas, selon l'étude.

«En tant que complication supplémentaire, les lacunes de certaines capacités clés ont des conséquences sur d'autres contrôles des risques», dit-il. «Les lacunes en matière de compétences et de sensibilisation se creusent. Nous sommes à un point de basculement pour la reprise, car le repli manuel devient impossible pour les systèmes complexes de systèmes et les environnements maillés: l'approche de la reprise devra changer.

Supposons que l'échec est possible

Il existe de nombreux exemples de la manière dont l'IIoT a déjà été exploité. L'un est Stuxnet, le ver qui a altéré les contrôleurs logiques programmables dans les centrifugeuses de raffinage d'uranium en Iran. Israël et les États-Unis auraient développé le ver pour entraver le programme d'armes nucléaires de l'Iran.

En décembre 2015, des pirates informatiques russes ont été soupçonnés des soi-disant attaques BlackEnergy contre le réseau électrique ukrainien. Le malware a ouvert l'accès aux réseaux des sociétés d'énergie, permettant aux attaquants d'ouvrir des disjoncteurs, ce qui a coupé le courant. Personne n'a été blessé, mais les attaques ont provoqué une alarme sur la sécurité de l'IIoT (voir: Ukrainian Power Grid: Hacked).

Plus récemment, le ransomware Ekans ciblant les systèmes de contrôle industriels est apparu (voir: Comment Ekans Ransomware cible les systèmes de contrôle industriel).

Pour illustrer les risques autour de l'IIoT, l'étude cite un rapport de CyberX, une société de sécurité IoT acquise le mois dernier par Microsoft. CyberX a mené une enquête l'année dernière sur les processus de maintenance et de correctifs pour plus de 1 800 réseaux de production (voir: Microsoft's CyberX Acquisition: Securing IoT and OT). Environ 71% utilisaient des versions non prises en charge ou sur le point de l'être de Microsoft Windows, comme Windows 7. Soixante-deux pour cent utilisaient Windows 2000 et XP.

Le rapport CyberX préconise un principe clé lors de la planification du risque IIoT: supposons qu'il échouera à un moment donné. Tenez également compte du potentiel d'attaques internes au sein des systèmes et des chaînes d'approvisionnement.

L'étude de la Lloyd's Register Foundation met en évidence des conseils utiles sur la sécurité IIoT, y compris les normes, les pratiques de risque et les cadres, tels que: le modèle de maturité de la sécurité IoT du consortium Internet industriel, les bonnes pratiques de l'ENISA pour la fabrication intelligente, le cadre des villes intelligentes et des infrastructures critiques de l'IoT Security Institute et Base de référence de base de la capacité de cybersécurité des appareils IoT du NIST.

Laisser un commentaire