IOT et industrie : Sécurisation des opérations de voyage et de transport

Les réseaux de transport sont à la base de notre mode de vie moderne. Les restrictions actuelles sur les mouvements mondiaux et la réduction correspondante de la demande de services de voyage et de transport, bien que profondes, sont temporaires. Il est presque impossible de prévoir la demande future et les besoins en capacité. Mais les industries du voyage et des transports font partie des infrastructures essentielles du pays. Ils reviendront en tant que contributeurs importants au produit intérieur brut (PIB) et à l'emploi mondiaux.
Bien que la demande mondiale et les effectifs soient actuellement réduits en raison du COVID-19, les activités menaçantes contre des industries telles que l'aviation ne le sont pas. Les entreprises de voyage et de transport partagent une infrastructure et des données critiques qui attirent les acteurs malveillants. Les chaînes d'approvisionnement mondiales des fournisseurs de voyages et de transport nécessitent l'intégration de fournisseurs tiers et présentent une surface d'attaque étendue. Par conséquent, ces fournisseurs ne seront jamais à l'abri des cyberattaques.
Selon l'indice X-Force Threat Intelligence 2020, IBM X-Force Incident Response and Intelligence Services (IRIS) a indiqué que le secteur des transports était le troisième plus attaqué en 2019. Cela met en évidence l'attrait croissant des données et des infrastructures exploitées par ces entreprises . Les compagnies aériennes et les aéroports sont de plus en plus ciblés par les cybercriminels et les adversaires des États-nations; cela s'est poursuivi en 2020.
Par exemple, en février 2020, la société australienne de transport et de logistique Toll Group a signalé que les systèmes de plusieurs sites et unités commerciales étaient cryptés par le ransomware Mailto. En réponse, Toll Group a fermé plusieurs systèmes, ce qui a eu un impact sur plusieurs applications destinées aux clients.
Le mois suivant, l'aéroport international de San Francisco a révélé une violation de données. Selon certaines informations, l'attaque a été perpétrée par un groupe de menaces parrainé par l'État qui cible des organisations dans des secteurs d'infrastructures critiques avec des objectifs de reconnaissance, de mouvement latéral et de cyberespionnage.
Puis, le 14 mai 2020, le ministère des Transports du Texas (TXDoT) a fait partie d'un incident de ransomware. TXDoT est responsable du transport aérien, routier et ferroviaire à travers le Texas. Ils ont détecté une attaque après avoir trouvé une entrée non autorisée sur son réseau. Ils ont isolé les ordinateurs affectés du réseau pour bloquer tout accès non autorisé, affectant les opérations.
Qu'est-ce que cela signifie pour les fournisseurs de voyages et de transports?
Les acteurs de la menace ciblent de plus en plus les appareils de l'Internet des objets (IoT), la technologie opérationnelle (OT) et les systèmes industriels connectés, selon le X-Force Threat Intelligence Index 2020. Les solutions industrielles de l'Internet des objets (IIoT) promettent des changements révolutionnaires dans les opérations de voyage et de transport . Ces solutions permettent notamment de gérer des flottes d'actifs réparties dans le monde de plus en plus connectées et omniprésentes. Mais ces solutions IIoT introduisent également de nouveaux vecteurs d'attaque.
Bon nombre des technologies qui permettent les déplacements et les opérations de transport sont d'anciens systèmes de contrôle OT / industriel (ICS). Certains avec des vulnérabilités logicielles critiques et non corrigées. Ces systèmes s'appuient souvent sur des dispositifs IIoT, qui ne sont pas sans vulnérabilités, pour le routage, le positionnement, le suivi et la navigation et pour s'interfacer avec les applications publiques. Si elles ne sont pas corrigées, ces vulnérabilités dans les ICS connectés et dans les appareils IIoT représentent une menace très réelle.
De nouvelles vulnérabilités sont apparues à mesure que les fournisseurs sont devenus plus dépendants des plates-formes IIoT et des services de données permettant l'automatisation. En avril 2020, une vulnérabilité non spécifiée dans la chaîne d'approvisionnement d'Oracle qui permet à un attaquant de compromettre le composant Oracle Transportation Management a été signalée. L'utilisation de ces plates-formes et services augmente le potentiel d'accès non autorisé aux données propriétaires et aux systèmes critiques. Ils mettent en danger les actifs physiques et numériques. Qu'elle soit exécutée par des cybercriminels motivés financièrement ou par des adversaires parrainés par l'État, une attaque réussie contre les chaînes d'approvisionnement de voyages ou de transport peut avoir un effet en cascade grave sur les industries en aval.
IBM's Institute for Business Value (IBV) rapporte «La cybersécurité IIoT pour les entreprises de transport – Atténuation des risques et renforcement de la résilience» et «La cybersécurité IIoT pour les entreprises de voyage – Protéger les opérations de voyage», confirment l'adoption rapide des technologies IIoT par les fournisseurs de voyages et de transport et leur application dans la chaîne d'approvisionnement et les processus logistiques. La gestion de flotte, la maintenance prédictive, l'entrepôt, la gestion des stocks et des emplacements sont les principaux cas d'utilisation pris en charge.
Ces rapports ont interrogé 300 cadres IT et OT responsables de la sécurité des environnements IIoT de leurs organisations de voyage et de transport. Cela montre qu'ils sont inquiets de la sécurité des informations circulant entre leurs réseaux opérationnels, d'entreprise et IIoT. Ces dirigeants citent également les passerelles et la connectivité liée aux passerelles comme les composants IIoT les plus vulnérables.
Lire le rapport IBV sur la cybersécurité IIoT pour les entreprises de transport
Les répondants au sondage sont conscients que la connexion de systèmes qui surveillent et contrôlent les environnements physiques aux réseaux publics, comme Internet, peut présenter des risques. Pourtant, seulement 29% des agences de voyage et 16% des entreprises de transport ont pleinement évalué ces risques. Ce petit sous-ensemble d'entreprises a également mis en place des programmes formels de cybersécurité IIoT pour créer, gérer et mettre à jour les outils, processus et compétences nécessaires pour les atténuer.
Quels risques liés à l'IIoT concernent le plus les responsables des voyages et des transports?
Lorsqu'on leur a demandé d'évaluer les risques de cybersécurité de l'IIoT, les responsables de voyages ont évalué l'exposition des données des voyageurs comme l'un de leurs principaux risques. Les violations de données peuvent être une responsabilité financière importante, en plus d'une responsabilité de relations publiques.
Par exemple, une grande compagnie aérienne a été condamnée à une amende de 230 millions de dollars en 2019 pour une violation de données qui enfreignait le règlement général sur la protection des données (RGPD). Il compromet une variété d'informations personnelles, y compris la connexion, la carte de paiement, les détails de réservation de voyage et les informations sur le nom et l'adresse de 500 000 clients. L’amende, qui représentait 1,5% des revenus annuels totaux de la compagnie aérienne, reste la plus élevée que le bureau du commissaire britannique à l’information ait jamais imposé à une entreprise en raison d’une violation de données.
Selon l'IBV, plus des deux tiers des dirigeants du secteur des transports ont estimé que les atteintes à la réputation de l'organisation et la perte de confiance du public étaient un risque élevé ou très élevé. Vient ensuite l’exposition de données sensibles et la mise en danger de la sécurité des personnes. Les perturbations ou arrêts opérationnels ainsi que la visibilité et le contrôle réduits en raison de la complexité des systèmes informatiques connectés aux systèmes OT sont également exposés.
L'attaque par ransomware de juin 2017 contre une compagnie maritime mondiale est un exemple de l'effet en cascade des perturbations opérationnelles dans l'industrie du transport. Cette attaque a provoqué l'arrêt de près de 80 ports et terminaux dans le monde ou des retards importants. La perturbation ne s'est pas limitée aux ports maritimes et aux porte-conteneurs. Les camions destinés aux installations intérieures ont également été retenus dans les ports. Ils ont attendu que les systèmes reviennent en ligne pour pouvoir traiter et recevoir ou livrer leurs envois. Cette interruption a retardé la distribution des produits pendant de longues périodes. La compagnie maritime a dû reconstruire une partie importante de son infrastructure informatique pour un coût estimé à 300 millions de dollars.
Les solutions IIoT couvrent les technologies informatiques, OT et grand public. Ces systèmes sont généralement gérés en silos par différentes équipes avec différents domaines d'expertise. Cela rend la défense contre les cyberattaques extrêmement difficile et la détection des incidents et intrusions liés à l'IIoT un véritable défi. Mais ce n'est pas insurmontable.
Pourquoi certaines entreprises de transport sont-elles plus cyber-résilientes?
L'IBV a également constaté que certaines organisations de voyage et de transport étaient plus cyber-résilientes que d'autres. Ces entreprises ont une bien meilleure compréhension des exigences de sécurité de leurs déploiements IIoT – et des systèmes de contrôle industriel connectés (SCI) en général – que d'autres. L'IBV les a appelés «leaders de la sécurité».
Selon l'IBV, les responsables de la sécurité protègent mieux leurs organisations contre les attaques liées à l'IIoT. Là où ils se différencient vraiment, c'est au niveau de la détection, de la réponse et de la récupération des incidents et des violations lorsqu'ils se produisent. Et ils le font deux fois plus vite que les autres entreprises.
L'IBV a identifié 10 contrôles et pratiques de sécurité. Basés sur les contrôles de sécurité critiques du Center for Internet Security (CIS) et les pratiques axées sur l'intelligence artificielle (IA) issues de la recherche sur la sécurité IBM IoT, ces contrôles sont essentiels pour atteindre ce niveau de performance. Chacun de ces contrôles et pratiques hautement efficaces est lié à une fonction de sécurité: protection et prévention ou détection, intervention et récupération.
Les rapports destinés aux entreprises de voyage et de transport comprennent des guides d'action pour les mettre en œuvre dans le cadre d'une approche en trois étapes pour aider à améliorer les postures de cybersécurité et la résilience de l'IIoT.
1. Créez une base défensive solide en intégrant l'IIoT dans le processus de gestion des risques de l'entreprise. De plus, intégrez les contrôles et pratiques de cybersécurité IIoT – et leurs technologies associées – dans une stratégie de sécurité IIoT globale.
2. Mettez en pratique votre capacité à gérer les incidents liés à l'IIoT.
3. Améliorez la sécurité ICS en tirant parti des avantages que l'intelligence artificielle et l'automatisation peuvent offrir.
Établir une base défensive solide pour l'IIoT
Le début d'une fondation défensive consiste à intégrer les contrôles et pratiques de cybersécurité de l'IIoT – et leurs technologies associées – dans une stratégie de sécurité IIoT globale.
1. Formaliser la cybersécurité IIoT
Établir des programmes de cybersécurité IIoT pour définir, gérer et mettre à jour les outils, processus et compétences de cybersécurité IIoT requis. Aborder les risques liés à l'IIoT dans le cadre du cadre plus large de gestion des risques de sécurité. Effectuer régulièrement des évaluations des risques. Formez des équipes de sécurité interfonctionnelles avec des représentants de la sécurité informatique, de l'ingénierie, des systèmes d'exploitation et de contrôle et des fournisseurs de sécurité. Renforcez les capacités défensives avec des contrôles très efficaces. Limitez l'accès aux réseaux et contrôlez le flux de données entre eux.
2. Limitez l'accès aux réseaux et contrôlez le flux de données entre eux
Focus sur la défense des frontières; ce contrôle a le plus grand impact sur les performances de cybersécurité IIoT. Utilisez des stratégies de ségrégation pour maintenir les composants IIoT en fonctionnement dans leurs propres zones. Ou, séparez leurs propres réseaux séparés pour atténuer les effets négatifs qu'une violation du réseau IIoT moins fiable pourrait avoir sur le réseau informatique d'entreprise plus sécurisé. Limitez et contrôlez les ports, protocoles et services réseau. Comprenez parfaitement les protocoles utilisés par chaque appareil. Ensuite, testez les appareils IIoT et implémentez des défenses contre les logiciels malveillants. Élaborez une stratégie pour contrôler l'installation, la propagation et l'exécution de code malveillant à plusieurs endroits de l'organisation.
3. Limiter l'accès aux appareils et aux données
Comprenez parfaitement les protocoles utilisés par chaque appareil. Ensuite, testez les appareils IIoT et implémentez des défenses contre les logiciels malveillants. Élaborez une stratégie pour contrôler l'installation, la propagation et l'exécution de code malveillant à plusieurs endroits de l'organisation. Contrôlez l'utilisation des privilèges administratifs. Les employés ayant accès à des systèmes critiques représentent souvent la plus grande menace pour la cybersécurité de l'entreprise, que ce soit par de mauvaises intentions ou des comportements involontaires. Faites l'inventaire des actifs autorisés et non autorisés (appareils et autres matériels). Les dispositifs et réseaux IIoT non autorisés (qui sont des exemples de l’IIoT shadow) fonctionnent sous le radar des politiques de sécurité traditionnelles des organisations, ce qui les rend difficiles à détecter.
4. Effectuer une évaluation et une correction continues des vulnérabilités
Les failles et les failles de sécurité des appareils IIoT et ICS, y compris les systèmes SCADA, laissent les entreprises de transport vulnérables aux botnets qui propagent les attaques par déni de service (DDoS). Une fois la base défensive de cybersécurité IIoT en place, intégrez la cybersécurité IIoT dans les opérations de sécurité tout en priorisant les contrôles hautement efficaces.
Comment adapter la gestion de la réponse aux incidents pour l'IIoT
La gestion de la réponse aux incidents (IRM) et ses contrôles associés soutiennent une réponse efficace aux incidents et violations liés à l'IIoT. L'IBV note que l'adoption de meilleures pratiques de protection et de prévention, ainsi que la garantie que les systèmes sont développés et déployés en toute sécurité, sont d'excellents points de départ. Mais cela ne garantit pas que l'organisation ne sera pas violée. Les entreprises doivent agir rapidement et de manière décisive si cela se produit.
Établir, gérer et tester les plans et processus de réponse aux incidents IIoT, tels que:

Définir et gérer les plans de réponse aux incidents de cybersécurité (CSIRP) dans le cadre du plan de gestion de la sécurité.

Adapter les CSIRP pour prendre en compte le plan d'action pour les composants IIoT compromis. Testez régulièrement les plans pour renforcer la capacité à réagir davantage.

Effectuez des tests de pénétration et des exercices de l'équipe rouge pour obtenir des informations plus détaillées sur l'efficacité des plans IR.
Tirez parti de l'IA et de l'automatisation pour faire évoluer les capacités de sécurité.

Mise à l'échelle de la sécurité IIoT grâce à l'automatisation
La clé est de déployer des capacités de sécurité adaptatives et automatisées. Ceci peut être réalisé en mettant en œuvre des contrôles hautement efficaces basés sur l'IA. Selon l'IBV, cette étape est cruciale car les mauvais acteurs développent continuellement de nouvelles méthodes pour infiltrer les systèmes. Il est impératif de mettre en place des mécanismes automatisés pour aider à détecter et à corriger les violations, car les compétences essentielles en matière de cybersécurité sont souvent rares.
Voici comment mettre en œuvre la détection, la correction, la réponse et la récupération d'automatisation.

Appliquez une surveillance et une analyse avancées de la cybersécurité pour la détection et la correction des incidents.

Suivez les informations IIoT en temps réel dans tous les environnements opérationnels, en établissant des capacités de télémétrie de sécurité complètes.

Appliquez des analyses comportementales avancées pour les attaques de points de terminaison, ainsi que pour la détection et la réponse des violations.

Appliquez la détection des menaces activée par l'IA au niveau de l'entreprise pour découvrir les activités anormales des utilisateurs et hiérarchiser les risques.

La rapidité avec laquelle les industries du voyage et du transport se remettront du COVID-19 dépendra en grande partie de l'efficacité avec laquelle les leaders du secteur gagneront la confiance de toutes les parties prenantes, y compris les clients, les employés, les partenaires commerciaux, les gouvernements et les actionnaires. Outre des actions décisives pour améliorer la sécurité sanitaire, l'instauration de la confiance dans leur capacité à protéger les données sensibles et les infrastructures permettant la mobilité des personnes et des biens contribuera à accélérer la confiance.
Lire le rapport IBV sur la cybersécurité IIoT pour les agences de voyage

Laisser un commentaire