Laboratoire de Recherche ForesCout | Décembre 2021
Des ransomwares et des risques liés à la chaîne d'approvisionnement aux technologies opérationnelles et à l'IoT.
Alors que nous nous tournons vers 2022, nous devrions nous arrêter pour réfléchir aux tendances de l'année passée. Les ransomwares et les attaques de la chaîne d'approvisionnement (supply chain) sont devenus deux des principales préoccupations des organisations après une série d'attaques très médiatisées, comme celles menées contre Colonial Pipeline, SolarWinds et Kaseya.
En 2021, notre projet Memoria a révélé près de 100 vulnérabilités différentes dans les piles TCP/IP courantes, affectant des centaines de fournisseurs de technologies opérationnelles (OT). Étant donné que les piles TCP/IP sont des logiciels fondamentaux qui mettent en œuvre les communications réseau de base pour tous les appareils connectés à l'IP, nous nous attendons à voir ce domaine de vulnérabilité se poursuivre.
Avec les ransomwares, les attaques de la chaîne d'approvisionnement, les technologies opérationnelles et les appareils connectés en tête de liste, voici les six prédictions les plus pertinentes en matière de cybersécurité pour 2022.
1. L'augmentation des attaques par ransomware conduit à un renforcement de la réglementation
Les ransomwares font la une des journaux depuis quelques années et les statistiques des attaques ne cessent d'augmenter, il n'y a donc aucune raison de penser que cette tendance va s'inverser de sitôt. Les acteurs malveillants continueront à trouver de nouvelles vulnérabilités à exploiter - ils considèrent presque certainement les technologies opérationnelles et les appareils IoT comme des cibles après avoir été témoins de l'impact de l'attaque par ransomware de Colonial Pipeline.
À l'inverse, après avoir été témoin de l'impact de l'attaque par ransomware de Colonial Pipeline, le gouvernement américain a été incité à agir. Le président Biden a publié un décret sur l'amélioration de la cybersécurité de la nation et un mémorandum de sécurité nationale sur l'amélioration de la cybersécurité des systèmes de contrôle des infrastructures critiques, mais la réglementation du secteur est restée volontaire.
À la suite de ces conversations nationales, la cybersécurité fera l'objet de discussions au plus haut niveau, de la Maison Blanche aux salles de conseil. Par conséquent, de nombreuses industries et organisations vont connaître une forte poussée d'embauche en matière de cybersécurité afin de s'assurer qu'elles disposent des ressources nécessaires à la fois pour mettre en œuvre une protection sur les réseaux IT/IoT/OT et pour signaler les incidents de cybersécurité si nécessaire.
2. Les attaquants reviennent aux appareils connectés et à l'IoT
Les attaques ont tendance à être cycliques. Alors que les organisations se précipitent pour répondre aux dernières menaces en mettant en œuvre les solutions les plus récentes, les attaquants réagissent en portant leur attention sur des surfaces d'attaque moins protégées. Les attaquants apprécient actuellement de disposer d'une surface d'attaque plus large à exploiter, conséquence directe du fait que les employés travaillent à distance sans que les protections appropriées du réseau et des appareils soient en place.
De plus, la technologie opérationnelle, les appareils connectés et l'IoT ont tendance à être moins protégés que la plupart des environnements informatiques. Par exemple, le botnet Mirai a pu lancer les plus grandes attaques DDoS de l'histoire en compromettant des caméras de sécurité IoT. De même, des groupes de ransomware très motivés pourraient chercher à compromettre des appareils connectés critiques, tels que des systèmes médicaux, avec une attaque par déni de service en plus du chiffrement des données.
Ces surfaces d'attaque élargies nécessitent de nouveaux mandats de conformité et des initiatives de sécurité pour protéger ces "choses" essentielles sur les réseaux critiques. Les responsables de l'informatique et de la sécurité vont réévaluer leurs actifs informatiques et leurs mesures de sécurité afin de réduire et de gérer les surfaces d'attaque, tant en interne que par le biais de vulnérabilités tierces. Cela devrait se manifester par l'adoption accrue de stratégies de sécurité Zero Trust.
3. La pénurie de compétences en cybersécurité favorise l'acceptation de l'automatisation
La pénurie de compétences dans le domaine de la sécurité informatique est notable et continue, et elle est encore plus grave pour la sécurité des opérations. Très peu de professionnels ou de programmes d'enseignement supérieur se concentrent sur la cybersécurité des technologies de l'information, et il faudra des années pour y remédier. Par conséquent, les entreprises devront s'appuyer sur une plus grande automatisation dans leur prise de décision, notamment en mettant l'accent sur la visualisation et l'analyse de toutes les données disponibles.
Avec le marché croissant des solutions d'analyse de données et de réponse aux incidents, le défi en 2022 passera de la technologie aux processus de gestion pour une réponse efficace aux incidents. De nombreuses organisations pourraient se pencher sur le partage de leurs capacités SOC avec des fournisseurs de services gérés (MSP) pour aider à combler cette pénurie de compétences en cybersécurité.
Avec tant de solutions ponctuelles en place mais si peu de personnes pour les gérer, les entreprises ont eu du mal à intégrer la cybersécurité à l'échelle de l'entreprise. C'est pourquoi, en 2022, les solutions de cybersécurité autonomes devraient être délaissées au profit de solutions basées sur des plateformes, ou d'outils qui s'intègrent facilement à d'autres.
4. La convergence IT/OT exige une plus grande visibilité des actifs OT
Alors que de plus en plus d'organisations prennent conscience des risques de cybersécurité pour les technologies opérationnelles, les responsables de la sécurité de l'information (CISO) commenceront à assumer la responsabilité de la cybersécurité des OT en 2022. Les RSSI mènent déjà ces discussions dans les organisations matures, et nous nous attendons donc à ce que le reste du monde suive leur exemple en 2022 - ce sera mandaté par la haute direction.
L'accent mis sur la visibilité des actifs OT conduira à une plus grande utilisation des nomenclatures logicielles (SBOM) - une liste de tous les composants des logiciels. Compte tenu des nombreuses initiatives en cours et de la surveillance gouvernementale en matière de cybersécurité dans les secteurs critiques, les SBOM joueront un rôle déterminant dans la transparence des logiciels. Il existe déjà une poignée d'options commerciales pour la production, la maintenance et la consommation de SBOM. Il s'agit d'une extension naturelle de la capacité de visibilité des actifs, dans laquelle la visibilité ne porte pas seulement sur les dispositifs mais aussi sur leurs composants.
5. Un chemin vers le Zero Trust
Alors que la demande de solutions Zero Trust atteint un niveau record, les fournisseurs de sécurité ont capitalisé sur le battage médiatique (hype => engouement ?). Des centaines d'entre eux ont revendiqué leurs capacités de Zero Trust, même s'ils n'apportent que peu ou pas de contribution réelle à l'architecture. Cette demande se poursuivra en 2022 avec la pression exercée par les dirigeants et les conseils d'administration pour mettre en œuvre le Zero Trust, mais la plupart des organisations devront passer au crible beaucoup plus de bruits pour déterminer quelles solutions peuvent réellement les aider.
À un niveau plus granulaire des opérations de sécurité, les entreprises se prépareront à contenir ou à isoler les failles de sécurité dans des délais raisonnables (WRT/TTR). Pour ce faire, elles activeront des orchestrations de contrôle de la sécurité et du réseau basées sur des politiques dynamiques déclenchées par la corrélation d'informations en temps réel provenant de diverses sources de données.
L'un des principaux défis que les organisations doivent relever est que la plupart des solutions se concentrent sur le point d'application de la politique (PEP = Policy Enforcement Point) au lieu du point de décision de la politique (PDP = Policy Decision Point), ce qui signifie que les organisations ne disposent pas des informations macroéconomiques dont elles ont besoin pour appliquer leurs politiques de sécurité. En outre, les solutions PEP de Zero Trust basées sur des agents ne peuvent généralement pas être déployées sur tous les appareils connectés, ce qui laisse de larges pans du réseau isolés d'une architecture Zero Trust.
6. Les vulnérabilités de la chaîne d'approvisionnement restent une priorité
Après l'impact considérable des attaques de SolarWinds et de Kaseya, l'année 2022 verra se multiplier les attaques de la chaîne d'approvisionnement dans lesquelles des acteurs malveillants ciblent un fournisseur de services pour accéder simultanément à plusieurs - voire des milliers - de ses clients. Il peut s'agir d'attaques lancées par des entités criminelles privées ou par des États-nations.
Les chercheurs en sécurité et les éditeurs de logiciels continueront à trouver des vulnérabilités généralisées touchant des composants fondamentaux de la chaîne d'approvisionnement en logiciels. Les piles TCP/IP et les systèmes d'exploitation en temps réel (RTOS) ont été les principales cibles au cours des dernières années, mais l'accent pourrait également être mis sur les implémentations communes des protocoles de la couche d'application et les kits de développement logiciel (SDK) spécifiques à l'industrie, comme pour la connectivité IoT, les piles de protocoles sans fil et les bibliothèques utilisées dans les appareils OT.
Les organisations devront s'adapter rapidement à l'expansion des menaces de cybersécurité en 2022, notamment pour protéger les infrastructures OT critiques. Alors que le travail hybride est clairement devenu la norme dans tous les secteurs d'activité et que davantage d'appareils OT se connectent chaque jour aux réseaux d'entreprise, les responsables de la sécurité informatique et OT devront consolider les équipes, les politiques, les outils et les rapports pour à la fois protéger leurs organisations et se conformer à l'inévitable flot de nouvelles réglementations à venir.
Pour en savoir plus sur le travail de notre équipe de recherche, veuillez consulter la page du laboratoire de recherche Forescout.
