Une autre usine victime d’une cyberattaque

Depuis 2020, le nombre de cybermenaces entrainant des conséquences physiques qui affectent le secteur industriel augmente exponentiellement. Si la tendance se maintient, Waterfall Security prévoit que 15 000 sites industriels seront paralysés par une cyberattaque en 2027.

Avec un nombre d’employés important, une infrastructure complexe et un impératif d’assurer la continuité des opérations, les entreprises du secteur industriel n’ont pas le luxe de se permettre des arrêts forcés. Surtout que ces arrêts causés par des incidents pourraient être prévenus ou, pour le moins, mieux gérer.

Chez CM365, plusieurs de nos clients sont des entreprises du secteur industriel qui désirent mieux gérer leurs TI et les risques auxquels ils font face. Afin de les accompagner dans leur réflexion sur la gestion de leur informatique, nous aimons leur poser quelques questions.

Quel est votre plan d’action en cas de cyberattaque?

En cas de cyberattaque, de bris matériel ou d’incidents de sécurité en lien avec votre système informatique :

  • En combien de temps pouvez-vous remédier à la situation et reprendre vos activités ?
  • Avez-vous un plan d’action en place pour assurer cette reprise ?
  • Est-ce que les employés connaissent bien la marche à suivre en cas d’incident ?
  • Combien de temps d’inactivité pouvez-vous vous permettre ?
  • Avez-vous des sauvegardes à jour et complètes ?

Pour nous aider à répondre à ces questions, aidons-nous d’une mise en situation.

Étape 1 : Infiltration
  • Un employé responsable des comptes payables de votre usine reçoit un courriel apparemment légitime d’un fournisseur avisant d’un retard dans le paiement d’une facture. L’expéditeur du courriel avise l’employé que des frais de retard seront appliqués si la facture en pièce jointe n’est pas payée d’ici 48 heures.
  • L’employé, sans se méfier, ouvre la pièce jointe intitulée « Relevé de compte – Mai 2024 », qui contient un rançongiciel.
Étape 2 : Propagation
  • Le rançongiciel se propage rapidement à travers le réseau de l’usine. Il infecte les serveurs, les postes de travail et les systèmes de contrôle industriel (SCADA).
  • Les opérations de production sont perturbées, les machines s’arrêtent et les employés ne peuvent plus accéder aux données essentielles.
Étape 3 : Chiffrement des fichiers
  • Le rançongiciel chiffre tous les fichiers sur les serveurs et les postes de travail. Les données de production, les plans, les schémas, les rapports de maintenance, tout est verrouillé.
  • Un message s’affiche sur tous les écrans, exigeant une rançon pour les débloquer.
Étape 4 : Demande de rançon
  • Les attaquants laissent une note exigeant une rançon de 500 000 $ en Bitcoin pour restaurer les données.
  • Ils menacent de détruire les données si la rançon n’est pas payée dans les 72 heures.
Étape 5 : Panique et négociations
  • La direction de l’usine est en état de panique. La production est à l’arrêt, les pertes financières s’accumulent.
  • Ils engagent des experts en cybersécurité pour négocier avec les attaquants et tenter de réduire la rançon.
  • Après des négociations difficiles, l’usine paie une partie de la rançon en cryptomonnaie.
  • Les attaquants fournissent une clé de déchiffrement, permettant de restaurer les fichiers.
  • Cependant, l’usine subit des pertes financières importantes et sa réputation est entachée.

Ici, quelques points à souligner. Premièrement, cette fâcheuse situation aurait pu être évitée grâce à une meilleure formation des employés sur les risques à la sécurité. Deuxièmement, des protections plus efficaces contre ce type de menaces auraient pu être mises en place. Troisièement, une entreprise bien préparée à répondre à un incident y répond plus efficacement. C’est pourquoi nous voulons vous aider à mettre aux points vos réponses aux questions posées plus haut. En effet, une organisation qui a élaboré une réponse adaptée à sa situation particulière en collaboration avec son partenaire TI pourrait vivre la crise autrement.

Étape 5, version améliorée : Mettre le plan en action
  • L’équipe de gestion de crise prend en charge la situation grâce au plan d’action préétabli.
  • Votre expert en cybersécurité est avisé afin de vous aider à gérer la situation grâce à la ligne d’urgence en place.
  • La situation est rétablie plus rapidement et avec moins de pertes financières.

Selon le dernier rapport d’IBM sur les brèches de données, la préparation aux incidents permet une meilleure résolution du problème. Effectivement, le fait de mettre en place un plan de continuité des affaires, une équipe de gestion de crise et de les tester réduit les pertes financières en lien avec les brèches et le temps nécessaire pour les contenir.

De ce fait, si plus de cyberattaques menacent le secteur industriel, il est possible de miser sur une bonne gestion de crise, une sécurité renforcée et la formation des employés pour minimiser les risques.

Besoin d’aide pour mettre en place votre plan de continuité des affaires ? Nous nous en occupons. Chez CM365, nous proposons également des forfaits de maintenance et sécurité pour veiller à votre protection et des simulations d’hameçonnage afin de cultiver la vigilance de vos employés. Contactez-nous pour obtenir plus d’informations.

Sources :

https://www.ibm.com/reports/data-breach

https://waterfall-security.com/wp-content/uploads/2023/05/2023-Threat-Report-Final.pdf