Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Rechercher Ressource - BlogRessource - WebinaireRessource - RapportRessource - Événementicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner
  • Twitter
  • Facebook
  • LinkedIn

Les professionnels de la cyber-sécurité font face à d'importants défis en matière de sécurité OT - Rapport Ponemon

Les professionnels de la cyber-sécurité font face à d'importants défis en matière de sécurité OT - Rapport Ponemon

D'après un rapport du Ponemon Institute et de Tenable, 62 % des entreprises des secteurs utilisant les technologies opérationnelles ont subi au moins deux cyber-attaques ayant des répercussions sur leur activité au cours des 24 derniers mois.

Si, comme nous, vous suivez les actualités relatives à la cyber-sécurité de près, vous savez déjà que les systèmes de contrôle industriels constituant la base d'infrastructures critiques sont vulnérables et font l'objet d'attaques. Mais quelle est la gravité de la situation ? Tenable a chargé le Ponemon Institute de répondre à cette question et de fournir des éclairages sur les événements passés, l'état de préparation actuel et les priorités à l'avenir. Les réponses collectées auprès de 701 personnes travaillant dans des secteurs utilisant les infrastructures OT sont présentées dans le rapport intitulé Cyber-sécurité et technologies opérationnelles : 7 informations à savoir. Cet article explore certains des enseignements de cette enquête.

L'OT n'est pas défendu comme il faut et les vulnérabilités pullulent

La visibilité sur la surface d'attaque est insuffisante. Seules 20 % des personnes interrogées étaient d'accord ou tout à fait d'accord pour dire qu'elles disposent d'une visibilité suffisante sur la surface d'attaque de leur entreprise. C'est un résultat très préoccupant, car tous les contrôles et processus de sécurité dépendent de la visibilité conférée par un inventaire complet des assets. Si vous n'avez aucune visibilité sur vos assets, vous ne pouvez pas les gérer ni les sécuriser.

Le manque de personnel et l'utilisation de processus manuels limitent la gestion des vulnérabilités. La pénurie de professionnels en cyber-sécurité est un phénomène bien connu. En 2017, Forbes publiait que l'ISACA (IS Audit and Control Association) prévoyait une pénurie mondiale de 2 millions de professionnels de la cyber-sécurité d'ici 2019. Nous sommes maintenant en 2019 et je n'ai vu aucune donnée contredire les prévisions de l'ISACA. La pénurie de compétences en cyber-sécurité, largement médiatisée, est exacerbée par le recours à des processus manuels pour évaluer et corriger les vulnérabilités.

Principaux obstacles à une gestion efficace des vulnérabilités

Sur une échelle de 1 à 5 allant de Tout à fait d'accord à Pas du tout d'accord, le pourcentage suivant de personnes interrogées est d'accord ou tout à fait d'accord avec les affirmations ci-dessous.

Affirmation

D'accord/Tout à fait d'accord

Le service de sécurité de notre entreprise a suffisamment de personnel pour scanner les vulnérabilités en temps voulu.

39 %

L'utilisation de processus manuels entrave la capacité de notre entreprise à réagir face aux vulnérabilités.

53 %

Les équipes de sécurité consacrent plus de temps aux différents processus manuels qu'à la gestion des vulnérabilités, ce qui se traduit par une accumulation de tâches à traiter.

55 %

Source : Cyber-sécurité et technologies opérationnelles : 7 informations à savoir, Ponemon Institute et Tenable, avril 2019.

Les vulnérabilités continuent de se multiplier. Il est essentiel de pouvoir évaluer et corriger les vulnérabilités en temps voulu. Au cours des 45 premiers jours de 2019, l'équipe ICS-CERT (Industrial Control System-Computer Emergency Response Team) a publié 45 alertes de vulnérabilités touchant des systèmes de contrôle industriels.1 Ces vulnérabilités concernent les produits des principaux fabricants de systèmes de contrôle, notamment ABB, AVEVA, Mitsubishi, Omron, Rockwell, Schneider Electric, Siemens et Yokogawa. Ce nombre de vulnérabilités est faible comparé aux 405 vulnérabilités IT découvertes au cours de la même période. Cependant, le personnel responsable de la sécurité OT ne peut pas se mettre des œillères et se concentrer uniquement sur les vulnérabilités OT car, compte tenu de la convergence IT/OT, les vulnérabilités des systèmes ICS et IT peuvent être exploitées pour attaquer les infrastructures critiques. Il est très difficile pour de nombreuses entreprises d'évaluer et de corriger un total de 450 vulnérabilités OT et IT en 45 jours. Cette fréquence faiblira peut-être en cours d'année, mais même si elle diminue de moitié, le nombre de vulnérabilités sera toujours difficile à gérer sans processus automatisé.

Les environnements OT sont la cible d'attaques

Selon le rapport sur la cyber-sécurité et les technologies opérationnelles, les processus manuels de gestion des vulnérabilités entraînent une protection insuffisante contre les cyber-attaques. Le rapport révèle que la plupart des entreprises des secteurs équipés d'infrastructures OT ont connu plusieurs cyber-attaques ayant entraîné des fuites de données et des perturbations/temps d'arrêt importants touchant les opérations, la production et le matériel d'exploitation. Au cours des 24 derniers mois :

  • 90 % des entreprises ont connu au moins une cyber-attaque préjudiciable et 62 % en ont connu deux ou plus. Ces données concernent toutes les attaques préjudiciables, pas seulement les attaques contre les infrastructures OT. Les attaques IT sont incluses, car les attaquants peuvent parfois utiliser l'environnement IT pour pénétrer l'environnement OT.
  • 50 % des entreprises ont subi une attaque contre leur infrastructure OT qui a entraîné des temps d'arrêt pour la production et/ou le matériel d'exploitation.
  • 23 % ont connu une attaque commanditée par un État-nation. Près du quart des entreprises ont pu attribuer une attaque à un État-nation. Cette situation est très préoccupante car les États-nations sont en mesure d'engager un niveau élevé d'expertise et de financement dans ces attaques. Les attaquants qui travaillent pour eux ne sont pas des hackers du dimanche.

Quelles mesures prendre ?

L'enquête révèle que 70 % des personnes interrogées considèrent que « Communiquer davantage avec l'équipe dirigeante et le conseil d'administration au sujet des cybermenaces auxquelles notre entreprise est exposée » est l'une de leurs priorités en matière de gouvernance pour 2019. Si vous êtes du même avis, vous pouvez faire référence aux données de cette enquête lors de vos échanges avec la direction au sujet de la posture de sécurité de l'entreprise et des attaques OT.

À propos de cette étude

Le rapport est basé sur une enquête menée auprès de 710 experts IT et Sécurité IT des secteurs suivants : énergie et services publics, santé et produits pharmaceutiques, industrie et fabrication, et transport. Les personnes interrogées sont basées aux États-Unis, au Royaume-Uni, en Allemagne, en Australie, au Mexique et au Japon, et toutes ont un rôle dans l'évaluation et/ou la gestion des investissements engagés par leur entreprise dans les solutions de cyber-sécurité. Ce rapport présente les enseignements tirés de cette enquête. Téléchargez-le gratuitement ici.

1 Tenable Research a découvert une vulnérabilité d'exécution de code à distance dans InduSoft Web Studio, un outil d'automatisation des interfaces homme-machine et des systèmes SCADA.

Articles connexes

Êtes-vous à la merci des derniers exploits ?

Indiquez votre adresse e-mail pour recevoir les dernières alertes de Cyber Exposure.

Essayer gratuitement Acheter dès maintenant
Tenable.io ESSAI GRATUIT PENDANT 30 JOURS

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Abonnez-vous dès maintenant.

Tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant
Essayer gratuitement Acheter dès maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Acheter Nessus Professional

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24, 7 j/7 à une assistance par téléphone, via la communauté et via le chat. Cliquez ici pour plus d'informations.

Essayer gratuitement Acheter dès maintenant

Essayer Tenable.io Web Application Scanning

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à notre nouvelle offre Web Application Scanning conçue pour les applications modernes et s'intégrant à la plateforme Tenable.io. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Acheter Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer gratuitement Contacter le service commercial

Essayer Tenable.io Container Security

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à la seule offre de sécurité des conteneurs intégrée dans une plateforme de gestion des vulnérabilités. Surveillez les images de conteneur pour détecter d'éventuelles vulnérabilités, malwares ou violations des politiques. Intégrez la solution aux systèmes d'intégration et de déploiement continus (CI/CD) pour soutenir votre démarche DevOps, renforcer la sécurité et assurer la conformité aux politiques de l'entreprise.

Acheter Tenable.io Container Security

Tenable.io Container Security permet la mise en œuvre sécurisée et fluide de processus DevOps en fournissant une visibilité sur l'état de sécurité des images de conteneur, notamment en ce qui concerne les vulnérabilités, malwares et violations des politiques, par le biais d'une intégration au processus de compilation.

Essayer gratuitement Contacter le service commercial

Essayer Tenable Lumin

GRATUIT PENDANT 30 JOURS

Visualisez et explorez votre Cyber Exposure, suivez la réduction des risques au fil du temps et comparez-vous à vos pairs grâce à Tenable Lumin.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous aider à obtenir une visibilité sur l'ensemble de votre entreprise et à gérer votre cyber-risque.