Au mieux, la vulnérabilité découverte par Tenable Research pourrait perturber les opérations dans les environnements sensibles, au pire, elle pourrait mener à interrompre complètement ou endommager les équipements.
En 2021, les opérateurs d’infrastructures vitales (OIV) ont été la cible d’acteurs malveillants, et la vulnérabilité de ces systèmes a fait l’objet d’un examen approfondi à la suite de cyberattaques de grande envergure visant des installations d’eau, des gazoducs et des usines de transformation de la viande.
La complexité de cette divulgation, et d’autres comme celle-ci, souligne la nécessité de revoir les pratiques de cybersécurité dans les environnements de technologies opérationnelles (OT) une responsabilité partagée par les chercheurs, les fournisseurs, les OIV et les gouvernements. Marty Edwards, vice-président de Tenable chargé de la sécurité des technologies opérationnelles et plus ancien directeur de l’ICS-CERT, a proposé une voie à suivre dans son récent billet de blog.
Les experts de Tenable ont mené des recherches approfondies sur ces types d’attaques et peuvent expliquer pourquoi la technologie opérationnelle (OT) est une telle cible et comment les fournisseurs et les organisations peuvent mieux détecter, répondre et corriger les failles des infrastructures critiques.
Schneider Electric a également fourni la déclaration ci-dessous concernant la divulgation.
Récemment, plusieurs sociétés de recherche en cybersécurité ont mis à la disposition de Schneider Electric les recherches qu’elles avaient effectuées sur la cybersécurité du logiciel industriel d’ingénierie PLC EcoStruxure Control Expert. Ces recherches visaient à démontrer la possibilité théorique de compromettre des contrôleurs industriels dans certaines conditions, par exemple lorsqu’un attaquant a déjà compromis le poste de travail d’ingénierie ou dispose d’un accès non autorisé au réseau du contrôleur ciblé.
Schneider Electric s’engage à collaborer de manière ouverte et transparente. Dans le présent cas, nous avons collaboré avec ces chercheurs pour valider la thèse et évaluer son véritable impact. Nos conclusions mutuelles démontrent que, bien que les vulnérabilités découvertes affectent les offres de Schneider Electric, il est possible d’atténuer les impacts potentiels en suivant les directives standard, les instructions spécifiques et, dans certains cas, les correctifs fournis par Schneider Electric pour supprimer la vulnérabilité.
Comme toujours, nous apprécions et applaudissons les recherches indépendantes en matière de cybersécurité car, comme dans ce cas, elles aident l’ensemble de l’industrie manufacturière à renforcer notre capacité collective à prévenir et à répondre aux cyber-attaques. Travailler ensemble nous a fait progresser vers une meilleure compréhension des faiblesses potentielles d’EcoStruxure Control Expert. Cela nous a permis de divulguer cette vulnérabilité en temps opportun et de manière responsable afin que nos clients et utilisateurs finaux puissent mieux protéger leurs opérations, leurs biens et leurs personnels. Ensemble, nous continuons à encourager l’écosystème des fournisseurs d’automatisation, des fournisseurs de solutions de cybersécurité et des utilisateurs finaux à collaborer pour réduire les cyber-risques r ; et à accompagner nos clients pour s’assurer qu’ils ont mis en œuvre les meilleures pratiques de cybersécurité à travers leurs opérations et leurs chaînes d’approvisionnement.