Une fois ces systèmes en place, le développeur du système Honeypot (« pot de miel ») n'a plus qu'à attendre qu'un pirate attaque le site, terminal distant (RTU) ou ICS ainsi émulé, et peut alors observer et analyser l'attaque étape par étape. Par nature, tous les cas permettent de procéder à une analyse utile de leur vecteur d'attaque. L’intérêt de ces « pots de miel » se manifeste lorsque les membres de cette initiative peuvent corréler les données de plusieurs dizaines d'attaques, puis analyser leurs tendances et évolutions, identifier d'éventuels axes régionaux ou thématiques d'attaque et recueillir ainsi davantage des données précieuses.
Habituellement, pour un analyste, rechercher une anomalie dans son réseau de production revient à chercher une aiguille dans une botte de foin. En déployant un honeypot dans un réseau, tous les événements qui atteignent ce terminal sont susceptibles d'être des « aiguilles » (attaques ou dispositifs mal configurés), étant donné qu'aucun élément réel n'est censé communiquer avec ce pot de miel. Ce dernier peut être vu comme un leurre : le temps qu'y passe le pirate ainsi piégé correspond au laps de temps dont on dispose pour sécuriser une infrastructure critique avant qu'elle ne soit compromise à son tour.
N'importe quel professionnel de la sécurité peut contribuer à Conpot. L’émulateur est disponible en tant que logiciel open source (www.conpot.org). Avec cet outil puissant, chaque développeur a la possibilité de concevoir un modèle réaliste et virtuel de son environnement et de le connecter à Internet. Ainsi, les responsables sécurité peuvent obtenir des renseignements utiles leur indiquant ce à quoi ils doivent s'attendre en connectant leurs systèmes à Internet et peuvent planifier leurs défenses en conséquence.
Les Cyberattaques menées à l'en-contre d'environnements industriels sont un phénomène réel. Ces attaques suivent essentiellement les mêmes mécanismes que pour les environnements des entreprises tertiaires. Une grande partie des attaques ont des motifs professionnels : parce que les lamers (ou script kiddies) ne sont pas encore vraiment actifs dans ce segment et parce que l'énorme potentiel de dégâts (ou la valeur des actifs) suscite l'intérêt d'acteurs tels qu'organismes gouvernementaux, groupes terroristes et voleurs de données professionnels. Les entreprises cherchant à sécuriser leurs réseaux doivent donc vérifier et minimiser la visibilité de leurs systèmes ICS sur Internet. Face à la recrudescence des menaces complexes, il est de plus en plus important de collecter des renseignements sur les menaces. Les équipes de sécurité ont besoin d'informations détaillées sur les vecteurs d'attaque et sur l'ensemble du cycle de vie des menaces. Elles peuvent alors élaborer une stratégie de défense globale en s'appuyant sur ces informations. Des initiatives telles Shodan et Conpot sont un bon point de départ pour la collecte des renseignements nécessaires.
En parallèle, les entreprises doivent mettre en œuvre des meilleures pratiques de sécurité et protéger minutieusement les parties de leurs réseaux accessibles au public. Des solutions de sécurité dédiées aux ICS existent également pour les environnements particulièrement sensibles. Par exemple, Blue Coat propose la solution d'analyse ICS Protection Scanner Station, qui protège les systèmes industriels des logiciels malveillants véhiculés par des périphériques USB. La solution Security Analytics Platform Analytics propose un module Scada ThreatBlade permettant d'identifier en temps réel les activités potentiellement malveillantes ciblant les systèmes Scada. Le rêve d'une solution parfaitement intégrée pour la protection des environnements industriels ne deviendra réalité qu'une fois que l'ensemble des différentes normes industrielles propriétaires auront été remplacées par des systèmes informatiques standards et que ces derniers auront été intégrés aux architectures de sécurité existantes. Les technologies nécessaires pour cela (protocole réseau IPv6, surveillance complète des réseaux et gestion rigoureuse des correctifs et des vulnérabilités) existent depuis longtemps. L'étape suivante est leur mise en oeuvre complète, ce qui pourrait prendre un certain temps compte tenu des cycles de vie plus longs des équipements industriels.
Extrait de l'article "La sécurité informatique au sein des environnements industriels 4.0" du magazine Enjeux de l'AFNOR.
Auteur : Jean-Claude TOURNEUR, AFNOR.Sur le même sujet : Les honeypots (pots de miel).
Continuer avec Linkedin