Systèmes de contrôle industriel exposés : le Centre canadien signale des attaques récentes

Le Centre canadien pour la cybersécurité alerte les responsables de la sécurité des systèmes d’information (RSSI) : des systèmes de contrôle industriel (ICS) accessibles depuis Internet ont été exploités récemment, perturbant des installations dans les secteurs de l’eau, du pétrole et gaz et de l’agriculture. L’agence souligne que, même si ces entreprises ne sont pas nécessairement des cibles premières, elles peuvent devenir des victimes occasionnelles de hacktivistes ou de groupes soutenus par des États.

Incidents rapportés

Le Centre canadien décrit plusieurs cas concrets :

• Approvisionnement en eau : des pirates ont modifié des valeurs de pression sur un système de contrôle d’une compagnie des eaux, altérant le service aux clients. Ces faits rappellent des attaques passées aux Etats-Unis, notamment en 2023 contre la Municipal Water Authority of Aliquippa (groupe Cyber Av3ngers) et en 2021 à Oldsmar, Floride, où un intrus avait tenté d’augmenter la concentration d’hydroxyde de sodium dans le traitement de l’eau. Ces intrusions ont été détectées avant des conséquences sanitaires majeures.
• Pétrole et gaz : une jauge de réservoir automatisée (Automated Tank Gauge, ATG) exposée sur Internet, appartenant à une société canadienne, a été manipulée pour déclencher de fausses alarmes. Les ATG mesurent le niveau, la pression et la temperature des réservoirs et détectent les fuites. L’an dernier, des chercheurs ont identifié des vulnérabilités critiques dans six modèles d’ATG fournis par cinq fabricants et ont noté plus de 6 000 appareils directement exposés à Internet.
• Agroalimentaire : des équipements contrôlant la temperature et l’humidite d’un silo de séchage de cereals ont été compromis. Une manipulation non détectée aurait pu créer des conditions dangereuses pour la marchandise et pour la securite.

Quels systèmes sont concernés ?

Le Centre canadien rappelle que l’exposition directe sur Internet concerne un large ensemble d’équipements et de systèmes opérationnels, notamment :

• automates programmables industriels (PLC)
• unités terminales distantes (RTU)
• systèmes SCADA (Supervisory Control and Data Acquisition)
• interfaces homme-machine (IHM)
• systèmes instrumentés de securite (SIS)
• systèmes de gestion technique des bâtiments (BMS)
• dispositifs de l’Internet industriel des objets (IIoT)

Recommandations et mesures

L’agence insiste sur la necessite de gerer et de surveiller a distance ces systemes via des protocoles securises et controles plutot que d’exposer directement les interfaces de controle au reseau public. Parmi les mesures preconisees :

• utiliser des VPN avec authentification multifactorielle pour les acces distants
• mettre a jour et patcher regulierement les equipements et logiciels ICS
• segmenter les reseaux OT et IT pour limiter les ponts d’intrusion
• inventorier et documenter tous les services et equipements exposables
• appliquer des controles d’acces et une surveillance continue des journaux

Le Centre canadien encourage egalement une coordination entre gouvernements provinciaux, territoriaux, municipalites et entreprises pour s’assurer que les services non couverts par la surveillance reglementaire, comme l’eau, l’alimentation ou la fabrication, soient repertories et proteges. L’alerte comporte des renvois vers des guides et ressources de securite specifiques aux ICS.

Conclusion

Ces incidents illustrent la diversite des secteurs touches et le risque que represente l’exposition non controlee des systemes de controle industriel. Pour reduire la probabilite d’intrusions et leurs consequences, les proprietaires d’actifs OT doivent adopter des pratiques de securite robustes et privilegier des acces distants securises et verifies.