Une autre usine victime d’une cyberattaque

Depuis 2020, le nombre de cybermenaces entrainant des conséquences physiques qui affectent le secteur industriel augmente exponentiellement. Waterfall Security prévoit que, si la tendance se maintient, une cyberattaque paralysera quinze mille sites industriels en 2027.

Les entreprises du secteur industriel ont beaucoup d’employés et une infrastructure complexe. Par conséquent, elles doivent assurer la continuité des opérations et ne peuvent pas se permettre des arrêts forcés. Toutefois, elles pourraient prévenir ou mieux gérer les arrêts causés par des incidents.

Chez CM365, plusieurs de nos clients sont des entreprises du secteur industriel qui désirent mieux gérer leurs TI et les risques auxquels ils font face. Afin de les accompagner dans leur réflexion sur la gestion de leur informatique, nous aimons leur poser quelques questions.

Quel est votre plan d’action en cas de cyberattaque?

En effet, en cas de bris matériel ou d’incidents de sécurité affectant votre système informatique :

• En combien de temps pouvez-vous remédier à la situation et reprendre vos activités ?
• Avez-vous un plan d’action établi pour assurer cette reprise ?
• Est-ce que les employés connaissent bien la marche à suivre s’il y a un cas d’incident ?
• Combien de temps d’inactivité pouvez-vous vous permettre ?
• Avez-vous des sauvegardes à jour et complètes ?

Pour nous aider à répondre à ces questions, étudions en détail le déroulement typique d’une cyberattaque.

Étape 1 : Infiltration

Un employé responsable des comptes payables de votre usine reçoit un courriel apparemment légitime d’un fournisseur avisant d’un retard dans le paiement d’une facture. L’expéditeur du courriel avise l’employé que des frais de retard seront appliqués si la facture en pièce jointe n’est pas payée d’ici 48 heures. L’employé, sans se méfier, ouvre la pièce jointe intitulée « Relevé de compte – Mai 2024 ». Or, cette pièce jointe contient un rançongiciel.

Étape 2 : Propagation

Le rançongiciel se propage rapidement à travers le réseau de l’usine. Il infecte les serveurs, les postes de travail et les systèmes de contrôle industriel (SCADA). Les opérations de production sont perturbées, les machines s’arrêtent et les employés ne peuvent plus accéder aux données essentielles.

Étape 3 : Chiffrement des fichiers

Par la suite, le rançongiciel chiffre tous les fichiers sur les serveurs et les postes de travail. Les données de production, les plans, les schémas, les rapports de maintenance, tout est verrouillé. Un message s’affiche sur tous les écrans, exigeant une rançon pour les débloquer.

Étape 4 : Demande de rançon

La même journée, les attaquants laissent une note exigeant une rançon de 500 000 $ en Bitcoin pour restaurer les données. Ils menacent de détruire les données si la rançon n’est pas payée dans les 72 heures.

Étape 5 : Panique et négociations

La direction de l’usine est en état de panique. La production est à l’arrêt et les pertes financières s’accumulent. Face à la situation, ils engagent des experts en cybersécurité pour négocier avec les attaquants et tenter de réduire la rançon. Après des négociations difficiles, l’usine paie une partie de la rançon en cryptomonnaie. Les attaquants fournissent une clé de déchiffrement, permettant de restaurer les fichiers. Cependant, l’usine subit des pertes financières importantes et sa réputation est entachée.

Dans ce scénario désastreux, nous trouvons quelques points à souligner. Premièrement, cette fâcheuse situation aurait pu être évitée grâce à une meilleure formation des employés sur les risques à la sécurité. Deuxièmement, des protections plus efficaces contre ce type de menaces auraient pu être mises en place. Troisièmement, une entreprise bien préparée à répondre à un incident y répond plus efficacement. C’est pourquoi nous voulons vous aider à mettre aux points vos réponses aux questions posées plus haut. Effectivement, une organisation qui a élaboré une réponse adaptée à sa situation particulière en collaboration avec son partenaire TI pourrait vivre la crise autrement.

Étape 5, version améliorée : Mettre le plan en action

L’équipe de gestion de crise prend en charge la situation grâce au plan d’action préétabli. Votre expert en cybersécurité est avisé afin de vous aider à gérer la situation grâce à la ligne d’urgence en place. Ainsi, la situation est rétablie plus rapidement et avec moins de pertes financières.

En conclusion

Le dernier rapport d’IBM sur les brèches de données montre que la préparation aux incidents permet une meilleure résolution des problèmes. Dans les faits, mettre en place un plan de continuité des affaires, une équipe de gestion de crise et de les tester réduit les pertes financières en lien avec les brèches et le temps nécessaire pour les contenir. Par ailleurs, si plus de cyberattaques menacent le secteur industriel, il est possible de miser sur une bonne gestion de crise, une sécurité renforcée et la formation des employés pour minimiser les risques.

Besoin d’aide pour mettre en place votre plan de continuité des affaires ? Nous nous en occupons. De plus, chez CM365, nous proposons des forfaits de maintenance et sécurité pour veiller à votre protection et des simulations d’hameçonnage afin de cultiver la vigilance de vos employés. Contactez-nous pour obtenir plus d’informations.

Sources :

https://www.ibm.com/reports/data-breach

https://waterfall-security.com/wp-content/uploads/2023/05/2023-Threat-Report-Final.pdf