Le piratage en février dernier d’une station d’épuration des eaux à Oldsmar, en Floride, a mis en lumière les défis auxquels les organisations du secteur public sont confrontées en matière de cybersécurité. Ces structures n’ont souvent pas les ressources nécessaires pour investir dans des systèmes de protection efficaces, ce qui en fait des proies faciles pour des cybercriminels opportunistes.
La sécurisation des accès à des ressources et systèmes critiques est souvent bien plus simple (et abordable) que les organismes du secteur public et les infrastructures critiques ne l’imaginent parfois. Que vous soyez administrateur informatique ou responsable de la sécurité pour un organisme gouvernemental local ou un fournisseur de services publics, la catastrophe évitée in extremis à Oldsmar doit être considérée comme une occasion de réévaluer votre approche quant à la sécurité de votre organisation.
Le 5 février, des individus non identifiés sont parvenus à infiltrer le système de la station d’épuration des eaux de la ville d’Oldsmar, et ce à deux reprises. Ils ont utilisé pour cela des logiciels d’accès à distance afin de se connecter au système de contrôle et d’acquisition de données (SCADA) de l’usine, qui contrôle le processus de traitement des eaux.
Les pirates ont ensuite tenté d’empoisonner l’eau en augmentant considérablement la quantité d’hydroxyde de sodium, un produit chimique toxique. Heureusement, le personnel s’est rapidement aperçu de cette manipulation et a fait échouer les manœuvres des malfaiteurs.
L’enquête étant toujours en cours, les détails sur le mode opératoire des pirates sont encore en train d’être étudié à ce jour. Ce que l’on sait, c’est que tous les ordinateurs du personnel étaient connectés au SCADA, qu’ils tournaient tous sur Windows 7 (OS pour lequel Microsoft ne propose plus de mises à jour de sécurité depuis janvier 2020), qu’ils ont été infiltrés grâce à un mot de passe partagé destiné aux accès à distance, et qu’ils étaient connectés directement à Internet sans être protégés par un pare-feu.
Malheureusement, le partage de mots de passe est un problème courant dans les environnements distants. Cette pratique n’expose pas seulement les organisations à un risque de piratage si celui-ci est compromis. Elle complique également l’investigation des incidents de sécurité, qui peuvent être d’importance capitale pour la santé et la sécurité civile dans le secteur public et dans le domaine des infrastructures critiques. Enfin, cette pratique joue également en faveur des individus malveillants proches de l’organisation qui cherchent à ne pas laisser de traces. Certains experts pensent en effet que ce piratage a été perpétré par/via un (ex-)employé de la station.
Mais le partage de mots de passe n’est pas la seule menace pesant sur les organisations dont le bon fonctionnement relève de la santé publique et de la sécurité civile. En 2018, l’Agence de gestion des urgences d’Hawaï est devenue célèbre après avoir envoyé une fausse alerte au missile aux citoyens de l’île, accusant alors un employé d’avoir appuyé sur le mauvais bouton. Cependant, peu après, une photo issue d’un journal publié quelques mois auparavant est remontée à la surface : on pouvait y apercevoir un des responsables des opérations de l’entreprise, et un post-it avec un mot de passe lisible en arrière-plan. Bien que rien ne prouve que ce mot de passe ait contribué à cette alerte, la réputation de l’agence en a pâti, et ses pratiques en matière de sécurité ont été remises en question.
En juillet 2020, la Cybersecurity and Infrastructure Security Agency (CISA) américaine a transmis une note d’information aux organisations disposant de systèmes industriels (OT) et critiques. Celle-ci avait pour but de les alerter du fait que certains acteurs avaient mené des activités malveillantes à l’encontre d’infrastructures critiques en exploitant des systèmes industriels accessibles via Internet.
Cependant, le problème ne se limite pas aux systèmes industriels ; les systèmes d’information traditionnels sont tout autant ciblés. Ces deux dernières années, des organismes gouvernementaux du monde entier ont subi des fuites. Dans de nombreux cas, les données de citoyens ont été exposées ou ont terminé dans le dark web.
Ainsi, il y a quelques semaines, le site web du ministère de l’immigration jamaïcain a exposé les données de milliers de voyageurs en laissant un serveur de stockage dans le cloud hébergeant plus de 425 000 dossiers d’immigration et 70 000 résultats négatifs à la COVID-19 sans protection et sans mot de passe. Comment cela est-il arrivé ? Les données étaient stockées sur un serveur hébergé sur un compte Amazon Web Services configuré comme public.
La pandémie a considérablement changé le paysage des systèmes informatiques classiques et industriels, et a rendu le problème plus complexe. L’accès à distance est une source de préoccupation de plus en plus importante, car de nombreuses organisations, dans les secteurs publics comme privés, n’étaient pas préparées à ces nouveaux risques de sécurité.
L’accès à distance que ce soit pour collaborer avec des équipes ou superviser et contrôler des systèmes critiques est la nouvelle donne dans l’environnement professionnel hybride. La sécurité des organismes du secteur public et autres doit donc évoluer également.
Puisque certains acteurs malveillants s’adaptent constamment aux nouvelles tendances afin d’exploiter de potentielles failles, il est important de comprendre les nouveaux risques. Les mesures recommandées par la CISA pour les systèmes industriels (qui s’appliquent également aux systèmes d’information classiques) comprennent l’établissement d’un plan de résilience et le renforcement de la protection des systèmes à l’aide de meilleures pratiques.
Pour sécuriser les comptes et mots de passe des utilisateurs, l’agence propose de suivre les étapes suivantes :
Mettre en œuvre une politique de sécurité basée sur des mots de passe forts ;
Exiger des changements réguliers de mots de passe ;
Interdire l’utilisation des mots de passe par défaut des appareils ;
Mettre en place et rendre l’authentification à deux facteurs obligatoire.
L’adoption d’un gestionnaire de mots de passe peut vous aider à respecter ces meilleures pratiques dans votre entreprise. Et la bonne nouvelle est que ces solutions sont faciles à mettre en place et à utiliser. Elles sont également peu coûteuses pour les organisations de toutes tailles, y compris celles disposant de ressources limitées.
Le gestionnaire de mots de passe de Dashlane aide à veiller au respect des meilleures pratiques en la matière, et fournit également les outils nécessaires pour comprendre et améliorer l’hygiène de votre organisation en matière de mots de passe au fil du temps. Découvrez pourquoi les mots de passe sont le maillon faible, et comment une simple solution peut faire une énorme différence.