
Selon Secomea, l’accès juste à temps des fournisseurs, la vérifiabilité et la maîtrise des incidents constituent des contrôles essentiels pour réduire le risque lié aux logiciels de rançon dans le secteur industriel
À la suite de la récente augmentation des incidents d’extorsion et fondés sur des logiciels de rançon signalés par les fabricants et les fournisseurs industriels, Secomea invite instamment les entreprises à réévaluer la gestion de l’accès à distance de tiers à leurs environnements de production. Secomea Logo
L’accès à distance de tiers aux environnements de technologie opérationnelle est indispensable pour assurer la maintenance, le dépannage des équipements et l’assistance technique connexe. Cependant, comme les groupes spécialisés dans les logiciels de rançon ciblent de plus en plus les entreprises du secteur industriel, les équipes de sécurité sont soumises à une pression croissante pour trouver un équilibre entre la continuité des opérations, la cybersécurité, la conformité et le contrôle d’accès des fournisseurs.
« De nombreuses entreprises s’attachent à empêcher les cyberattaquants de pénétrer dans leurs systèmes, mais elles sont bien moins nombreuses à évaluer l’étendue de l’accès dont ils disposent une fois qu’ils ont réussi à s’y introduire », déclare Knud Kegel, directeur de la technologie et des produits chez Secomea. « Dans les environnements industriels, l’accès à distance est crucial pour assurer la continuité des activités. Le défi consiste à faire en sorte que cet accès soit contrôlé, temporaire et visible. »
Les fabricants comptent sur des constructeurs de machines, des intégrateurs de systèmes et des prestataires de services pour prendre en charge la maintenance à distance de leurs équipements critiques. Toutefois, un accès permanent, le partage d’identifiants et un contrôle limité peuvent donner aux cyberattaquants une liberté totale au sein de ces environnements dès qu’une compromission initiale se produit.
Bien que les circonstances spécifiques varient d’un incident à l’autre, les attaques récentes pointent un défi commun : trouver un juste équilibre entre accès opérationnel, sécurité et contrôle.
L’accès ne doit être accordé aux fournisseurs qu’en cas de nécessité et retiré une fois la tâche terminée. La limitation des plages horaires d’accès réduit les risques d’utilisation abusive, d’usurpation d’identifiants et d’activités non autorisées.
Les entreprises doivent pouvoir identifier les personnes qui ont accédé aux systèmes, connaître la date et l’heure de leur connexion, ainsi que les actions qu’elles ont effectuées. Des pistes d’audit détaillées facilitent les enquêtes, le respect des exigences de conformité, l’établissement de rapports destinés aux cyberassureurs et la gestion des incidents.
Lorsqu’une activité suspecte est détectée, les équipes chargées de la sécurité et de l’exploitation ont besoin de moyens concrets pour isoler les ressources concernées et empêcher les perturbations de se propager dans les environnements de production.
opérationnelle associe le principe de moindre privilège, l’accès juste à temps des fournisseurs, la vérifiabilité et une maîtrise rapide des incidents afin de réduire les risques cybernétiques tout en préservant la continuité opérationnelle.
Ces mesures ont pris une importance croissante, car les fabricants sont confrontés à une surveillance réglementaire de plus en plus stricte, à des exigences accrues en matière de cyberassurance et à une pression constante pour garantir la continuité des opérations.
Mesures pratiques pour un accès à distance aux systèmes de technologie opérationnelle résistant aux logiciels de rançon
Alors que les fabricants réexaminent leurs stratégies de cyberrésilience, Secomea recommande de vérifier si les contrôles et processus suivants sont en place :
Un accès juste à temps des fournisseurs plutôt que des connexions à distance permanentes
Des flux de travail basés sur des autorisations pour l’accès aux systèmes critiques
Des permissions selon le principe de moindre privilège pour les utilisateurs et les fournisseurs
Des pistes d’audit utiles aux enquêtes, à la mise en conformité et à l’analyse judiciaire
La capacité à isoler rapidement les ressources touchées par un incident
« Le débat ne porte plus simplement sur la mise en place de l’accès à distance, mais sur sa gestion », explique Knud Kegel. « Les fabricants n’ont pas besoin de moins de connectabilité. Ils ont besoin d’une meilleure gouvernance de cette connectabilité. Les entreprises capables de limiter, de surveiller et de maîtriser l’accès à leurs systèmes sont souvent mieux à même de réduire l’impact opérationnel d’un incident. »
« La résilience face aux logiciels de rançon dans le secteur industriel dépend de plus en plus de la manière dont les entreprises gèrent l’accès à distance aux systèmes de technologie opérationnelle », ajoute M. Kegel. « L’accès juste à temps des fournisseurs, la visibilité sur les sessions à distance et la capacité à isoler les ressources affectées deviennent des mesures de cybersécurité fondamentales. »