Les cyberattaques contre les infrastructures critiques menacent notre sécurité et notre bien-être

Les cyberattaques contre les infrastructures critiques menacent notre sécurité et notre bien-être

Nos infrastructures critiques deviennent de plus en plus complexes à mesure que le nombre d’appareils et de connexions dans ces systèmes continue de croître. Crédit : Shutterstock

Que se passerait-il si vous ne pouviez plus utiliser les systèmes technologiques sur lesquels vous comptez tous les jours ? Je ne parle pas de votre téléphone intelligent ou de votre ordinateur portable, mais tous ces systèmes que beaucoup d’entre nous tiennent souvent pour acquis et auxquels ils ne pensent pas.

Et si vous ne pouviez pas allumer les lumières ou alimenter votre réfrigérateur ? Et si vous ne pouviez pas joindre les services d’urgence en composant le 911 ? Et si vous ne pouviez pas accéder à votre compte bancaire, obtenir de l’eau potable ou même tirer la chasse d’eau ?

Selon la Stratégie nationale du Canada pour les infrastructures essentielles, les infrastructures essentielles désignent les processus, les systèmes, les installations, les technologies, les réseaux, les actifs et les services essentiels à la santé, à la sûreté, à la sécurité ou au bien-être économique du public et au fonctionnement efficace du gouvernement.

Les perturbations de ce type de systèmes, en particulier celles causées par des cyberattaques, peuvent avoir des conséquences dévastatrices. C’est pourquoi ces systèmes sont appelés infrastructures critiques.

Une série d’attaques

Au cours des six derniers mois, la fragilité des infrastructures critiques a fait l’objet de beaucoup d’attention. Cela a été provoqué par une série de cyberattaques notables sur plusieurs secteurs d’infrastructure critiques.

Il a été révélé que fin mars 2021, CNA Financial Corp., l’une des plus grandes compagnies d’assurance des États-Unis, a été victime d’une attaque de ransomware. En conséquence, l’entreprise a été confrontée à des perturbations de ses systèmes et de ses réseaux.

En mai 2021, une attaque de ransomware sur Colonial Pipeline a interrompu les opérations de l’usine pendant six jours. L’attaque a entraîné une crise du carburant et une augmentation des prix dans l’est des États-Unis

Quelques semaines plus tard, en juin 2021, une attaque de ransomware a frappé JBS US Holdings, Inc., l’un des plus grands producteurs de viande au monde. Cette attaque a provoqué des bouleversements dans la chaîne d’approvisionnement au Canada, aux États-Unis et en Australie.

Toujours en juin 2021, Martha’s Vineyard and Nantucket Steamship Authority a été victime d’une attaque de ransomware qui a perturbé les services de ferry et provoqué des retards de service.






MSNBC examine les problèmes de cybersécurité soulevés par l’attaque contre Colonial Pipeline.

Fragile infrastructures

Le 14 octobre 2021, dans la foulée des cyberattaques ciblant les secteurs de la finance, du gaz, de l’alimentation et des transports, l’Agence américaine de cybersécurité et de sécurité des infrastructures a publié l’alerte AA21-287.

L’alerte attire l’attention sur la fragilité d’un autre secteur d’infrastructure critique. Il met en garde contre une « cyberactivité malveillante en cours » ciblant les installations d’eau et d’assainissement. Ces activités comprennent les exploits de services connectés à Internet et de systèmes d’exploitation et de logiciels obsolètes, ainsi que les attaques de spear phishing et de ransomware, ce que nous avons beaucoup vu dans les cyberattaques récentes.

Selon l’alerte, ces cybermenaces pourraient avoir un impact sur la capacité des installations d’eau et d’assainissement à « fournir de l’eau propre et potable à leurs communautés et à gérer efficacement les eaux usées de leurs communautés ».

Facteurs de vulnérabilité

La nécessité de lutter contre les cybermenaces contre les infrastructures critiques est bien reconnue. Cependant, l’infrastructure est aujourd’hui loin d’être sécurisée. Cela est dû à de nombreux facteurs interdépendants qui créent une tempête parfaite d’expositions.

Premièrement, nombre de nos systèmes les plus critiques sont extrêmement complexes. Cette complexité augmente rapidement à mesure que le nombre de périphériques et de connexions dans ces systèmes continue de croître.

Deuxièmement, bon nombre de ces systèmes impliquent un mélange de systèmes hérités non sécurisés et obsolètes et de nouvelles technologies. Ces nouvelles technologies promettent des fonctionnalités telles que l’analyse et l’automatisation avancées. Cependant, ils sont parfois connectés et utilisés de manière non sécurisée que les concepteurs originaux des systèmes existants n’auraient pas pu imaginer.

Pris ensemble, ces facteurs signifient que ces systèmes sont trop complexes pour être complètement compris par une personne, une équipe de personnes ou même un modèle informatique. Cela rend très difficile l’identification des points faibles qui, s’ils étaient exploités, accidentellement ou intentionnellement, pourraient entraîner des défaillances du système.

Les cyberattaques contre les infrastructures critiques menacent notre sécurité et notre bien-être

Les systèmes d’infrastructure deviennent de plus en plus complexes à mesure que de nouvelles connexions et de nouveaux appareils sont ajoutés à l’infrastructure critique avec des mises à jour des technologies. Crédit : Shutterstock

Analyser les complexités du monde réel

Dans le laboratoire de recherche Cyber ​​Security Evaluation and Assurance (CyberSEA) de l’Université Carleton, nous développons des solutions pour remédier à la fragilité des infrastructures critiques. L’objectif est d’améliorer la sécurité et la résilience de ces systèmes importants.

Les complexités de l’infrastructure critique peuvent conduire à des interactions inattendues ou imprévues entre les composants du système, appelées interactions implicites.

L’exploitation des interactions implicites peut avoir un impact sur la sûreté, la sécurité et la fiabilité d’un système et de ses opérations. Par exemple, les interactions implicites peuvent permettre aux composants du système d’interagir de manière non intentionnelle et souvent indésirable. Cela conduit à des comportements système imprévisibles qui peuvent permettre aux attaquants d’endommager ou de perturber le système et ses opérations.

Nous avons récemment mené une analyse de cybersécurité à CyberSEA sur un système de traitement des eaux usées municipal réel, où nous avons identifié et mesuré les caractéristiques des interactions implicites dans le système. Cela faisait partie de nos recherches en cours, menées en partenariat avec le Critical Infrastructure Resilience Institute de l’Université de l’Illinois à Urbana-Champaign.

Notre analyse a révélé une proportion importante d’interactions implicites présentes dans le système, et environ 28 % de ces vulnérabilités identifiées ont montré des signes d’être mûres pour que les attaquants les exploitent et causent des dommages ou des perturbations dans le système.

Une lueur d’espoir

Notre étude a montré que des interactions implicites existent dans les systèmes d’infrastructure critiques du monde réel. Les commentaires des opérateurs du système d’assainissement dans notre étude de cas ont indiqué que nos approches et nos outils sont utiles pour identifier les problèmes de sécurité potentiels et informer les efforts d’atténuation lors de la conception de systèmes critiques.

Cela peut être une lueur d’espoir dans la lutte contre les cybermenaces contre les infrastructures critiques. Le développement continu d’approches rigoureuses et pratiques pour résoudre des problèmes de plus en plus critiques dans la conception, la mise en œuvre, l’évaluation et la garantie du fonctionnement sûr, sécurisé et fiable de ces systèmes est nécessaire.

Une infrastructure plus robuste entraînera moins de menaces pour notre sécurité et notre accès aux services, garantissant notre bien-être et le fonctionnement efficace de nos gouvernements et de notre société.


Il est temps de rendre la cybersécurité obligatoire


Fourni par La Conversation

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l’article original.La conversation

Citation: Les cyberattaques contre les infrastructures critiques menacent notre sécurité et notre bien-être (2021, 25 octobre) récupéré le 25 octobre 2021 sur https://techxplore.com/news/2021-10-cyberattacks-critical-infrastructure-threaten-safety.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.