Les agences fédérales ont publié des directives qui, espèrent-elles, contribueront à rationaliser et à faciliter le processus de prise de décision pour les propriétaires d’infrastructures critiques afin de commencer à protéger les systèmes de contrôle industriels contre une probabilité croissante de cyberattaques.
“La variété des solutions de sécurité disponibles peut également être intimidante, entraînant une paralysie du choix”, lit-on conseils l’Agence de cybersécurité et de sécurité des infrastructures a publié jeudi avec l’Agence de sécurité nationale. « Au milieu de tant d’options, les propriétaires/exploitants peuvent être incapables d’intégrer des stratégies de sécurité et d’administration simples qui pourraient atténuer bon nombre des menaces courantes et réalistes. Heureusement, les propriétaires/exploitants peuvent appliquer quelques bonnes pratiques de sécurité ICS simples pour contrer l’adversaire. [Tactics Techniques and Procedures].”
Le guide note l’émergence de nouveaux logiciels malveillants pour le ciblage spécifique Automates programmables et architecture unifiée de communications à plate-forme ouverte. Il met en garde contre une reconnaissance robuste par des adversaires qui pourraient utiliser ces outils et d’autres pour causer des conséquences physiques et psychologiques à grande échelle pour la société.
“Ils pourraient ouvrir ou fermer des disjoncteurs, des vannes d’étranglement, des réservoirs trop remplis, mettre les turbines en survitesse ou placer les usines dans des conditions de fonctionnement dangereuses”, ont écrit les agences à propos des cyber-acteurs malveillants. “De plus, les cyber-acteurs pourraient manipuler l’environnement de contrôle, obscurcir la conscience de l’opérateur et entraver la récupération, en verrouillant les interfaces et en réglant les moniteurs pour afficher des conditions normales. Les acteurs peuvent même suspendre la fonctionnalité d’alarme, permettant au système de fonctionner dans des conditions dangereuses sans alerter l’opérateur.
La CISA devrait bientôt publier des objectifs de performance pour les infrastructures critiques impliquant des systèmes de contrôle industriels. La réalisation des objectifs est volontaire en vertu de la note de sécurité nationale appelant la CISA à les produire. Mais les associations professionnelles de certaines des plus grandes entreprises de l’économie se méfient de la manière dont elles pourraient être utilisées dans des réglementations potentielles. Dans un Lettre du 16 septembre aux dirigeants du Sénat responsables de l’élaboration de la loi sur l’autorisation de la défense nationale, ils soutiennent que les entreprises devraient être autorisées à mettre en œuvre volontairement des contrôles de sécurité “sur la base de leurs propres évaluations des risques”.
Les directives de la NSA et de la CISA ont souligné la nécessité pour les propriétaires et les opérateurs de connaître tous les appareils de leurs systèmes, en accordant une attention particulière à ceux accessibles à distance, y compris par les fournisseurs d’appareils. La NSA et la CISA notent que les fournisseurs “exigent parfois un accès à distance pour la conformité à la garantie, les obligations de service et la fonctionnalité financière/facturation”.
“Établissez un pare-feu et une zone démilitarisée (DMZ) entre le système de contrôle et les points d’accès et les périphériques du fournisseur”, disent-ils en haut de leur liste de mesures d’atténuation recommandées. « Ne pas autoriser l’accès direct au système ; utiliser un service intermédiaire pour ne partager que les données nécessaires et uniquement lorsque cela est nécessaire. »
La CISA a inclus une mesure connexe dans une liste de contrôles de «base commune» qu’elle a proposé de servir d’objectifs de performance que la note de sécurité nationale a chargé l’agence d’établir.
« Tous les propriétaires/exploitants devraient mettre en œuvre une segmentation entre [information technology] et [operational technology] réseaux pour empêcher l’accès initial par les acteurs de la menace », selon un projet de contrôles de base communs de la CISA référencé par les associations professionnelles s’opposant à la proposition. “Les organisations doivent vérifier que les appareils situés de part et d’autre des lignes de segmentation/zones de sécurité ne doivent pas se connecter du côté opposé avec des exceptions minimes et uniquement via un pare-feu correctement configuré ou une alternative comparable.”
Les commentaires ont été préparés par CTIA—The Wireless Association, NCTA—The Internet and Television Association et USTelecom—The Broadband Association.
“Ce projet de contrôle est trop normatif et simplifie à l’excès les compromis de segmentation pour divers réseaux”, ont écrit les associations, notant un manque de flexibilité pour faciliter les approches alternatives. « La segmentation peut être coûteuse et peut entraver l’accès aux applications métier ou critiques. Une attente trop rigide pour la segmentation par défaut priverait les organisations de la capacité de gérer leurs systèmes et réseaux. En conséquence, au minimum, la CISA devrait supprimer les termes tels que “doit”.
La CISA devrait publier les objectifs de performance finaux en octobre pour marquer le mois de la sensibilisation à la cybersécurité.
