Au cours du mois dernier, plusieurs incidents de cybersécurité ont touché des infrastructures critiques, y compris des établissements de santé, à travers le monde. Il est particulièrement intéressant que les assaillants aient déclaré qu’ils « ne voulaient causer aucun dégât ».

Que s’est-il exactement passé et pourquoi est-ce pertinent ?

Une brève définition pour classer le sujet : Les infrastructures critiques sont l’ensemble des systèmes, réseaux et installations si importants que leur fonctionnement continu est nécessaire pour assurer la sécurité d’une nation particulière, de son économie et de la santé et/ou de la sécurité du public (TechTarget).

L’année dernière, nous avions déjà fait rapport sur l’impact des cyberattaques sur les infrastructures critiques. Comme déjà décrit à l’époque, une attaque contre une infrastructure critique peut avoir des conséquences fatales. Il y a eu de nouveaux incidents récemment. Les attaques contre le pipeline colonial américain, contre les systèmes de santé irlandais et néo-zélandais, ainsi que contre 150 organisations gouvernementales différentes aux États-Unis, ont particulièrement marqué.

Les attaques contre le pipeline américain, qui fournit près de 50 % du carburant sur la côte Est des États-Unis, ont conduit à l’arrêt de ses activités et de nombreuses stations-service ont dû imposer des restrictions de 20 $ par personne pour éviter les pénuries. Malgré cela, 7 % des stations-service sont tombées complètement en panne de carburant. Pour restaurer la fonctionnalité, le PDG de Colonial Pipeline a décidé de verser la rançon exigée de 4,4 millions de dollars aux assaillants. Après avoir reçu le paiement, les assaillants ont déclaré que leurs actions n’avaient aucun contexte politique et qu’ils n’avaient pas l’intention de causer de problèmes à la société. DarkSide, un opérateur de ransomware en tant que service (RaaS), serait apparemment responsable de l’attaque. Il s’agit d’une solution cyber où l’équipe centrale de DarkSide perçoit 20 à 30 % d’une rançon et le reste revient au partenaire ayant mené l’attaque. Début mai, la société allemande de distribution chimique Brenntag a également versé une rançon de 4,4 millions de dollars au gang de ransomware DarkSide afin d’obtenir un décrypteur pour les fichiers chiffrés et d’empêcher les acteurs malveillants de rendre publiques les données volées.

Ciblage des systèmes de santé

En Irlande, les assaillants ont ciblé le système de santé. La cyberattaque a entraîné le blocage de l’accès à toutes les données médicales des patients. Plusieurs contrôles de santé et tests de laboratoire durent être effectués manuellement et les résultats consignés au stylo et au papier. L’incident a été décrit comme une « grande catastrophe ». Dans ce cas, les assaillants ont exigé 20 millions de dollars américains. Finalement, cependant, les criminels ont publié gratuitement l’outil logiciel. Le gouvernement irlandais est actuellement en train de tester cet outil. Il souligne explicitement que le gouvernement n’a pas respecté la demande de rançon des hackers et ne le fera pas.

En Nouvelle-Zélande, le système de santé a également été attaqué, ce qui a provoqué sa fermeture. Même après deux semaines, la situation n’est pas encore totalement normalisée.

Une autre attaque contre les infrastructures critiques a eu lieu il y a seulement quelques jours aux États-Unis. On dit que c’est une attaque contre les organisations gouvernementales. Au moment où j’écris ce billet de blog, les détails restent inconnus. Dès que plus de détails seront annoncés, nous vous informerons ici.

Que faire dans de telles situations ? 

Dans les cas décrits ci-dessus, les incidents se sont relativement bien terminés, mais il est important de se rappeler que la plupart des attaques ne se soldent pas par une compréhension, des excuses auprès des victimes et la réparation de leurs systèmes. Les coûts énormes doivent également être pris en compte. Puisque les attaques contre les infrastructures critiques peuvent affecter personnellement chaque civil, il vaut la peine de voir quelles leçons nous pouvons en tirer. Même si les petites et moyennes entreprises ne sont souvent qu’une partie de la chaîne, elles peuvent jouer un rôle important dans le déroulement de la cyberattaque et entraîner l’effondrement d’infrastructures entières.

Nous recommandons :

1. Les employés jouent un rôle crucial dans la prévention des cybermenaces. Par conséquent, une politique de prévention appropriée et la formation des employés sont essentielles.
2. Une mauvaise configuration du système et de ses vulnérabilités est comme des portes ouvertes pour les attaquants. N’hésitez pas à demander l’aide d’experts pour configurer votre système sécurisé.
3. Si vous êtes victime d’une attaque, annoncez-la immédiatement. Si vous gardez l’information secrète, les attaquants peuvent poursuivre leurs activités. Exposer l’attaque peut protéger d’autres parties de la « chaîne d’approvisionnement » ainsi que vos clients.
4. Suivez les mises à jour de Persée, et si vous avez des questions, n’hésitez pas à nous contacter.