Comment faire face aux risques croissants de cyberattaques ?

Le secteur des transports était traditionnellement épargné par les attaquants. Ce n’est toutefois plus le cas.

Qu’est-ce qui a changé ?

D'abord, le nombre d'attaquants actifs n’a cessé d’augmenter. La cybercriminalité est devenue une profession criminelle alléchante. Le faible risque d'arrestation et la forte profitabilité des attaques virtuelles sont parmi les facteurs qui attirent les criminels. Il faut donc comprendre qu’il y a plus d’attaquants qu’auparavant, et naturellement ils ont une force de frappe beaucoup plus grande.

Le nombre d’organisations vulnérables croît aussi à un rythme sans précédent. Beaucoup d’entreprises qui ne sont pas fondamentalement des entreprises technologiques sont aujourd’hui contraintes de mettre en place des systèmes interconnectés, ouvrant des portes d'entrée pour les cybercriminels. Comme ce si n’était pas assez, la multiplication des vulnérabilités exploitables dans les logiciels et dans le matériel connecté augmente la fragilité des entreprises qui les déploient.

On assiste donc à une tempête parfaite : il y a plus d’attaquants, il y a plus de victimes potentielles, et ces dernières déploient des technologies qui les exposent toujours plus.
Les attaquants sont si nombreux qu’ils doivent se spécialiser et se perfectionner dans des domaines particuliers et développer une expertise en profondeur.

Certains cybercriminels se spécialisent dans l’obtention et la revente d’accès RPV (VPN) d’entreprises compromises, ce qui fait en sorte qu’il est possible d’acheter des comptes RPV d’une entreprise « précompromise » pour aussi peu que 100$. D’autres attaquants se spécialisent dans la découverte et la revente de vulnérabilités. Les criminels ont créé toute une économie du « crime-as-a-service » leur permettant de rejoindre d’autres attaquants intéressés par leurs services. Grâce à cet écosystème, une cyberattaque met à profit les spécialisations de plusieurs attaquants distincts, résultant en une cyberattaque beaucoup plus sophistiquée, qui est perpétrée par plusieurs attaquants qui fonctionnent comme une chaîne de production bien rodée. Sur le terrain, on constate alors des cyberattaques toujours plus sophistiquées, alors que le niveau de connaissance requis pour les perpétrer, lui, diminue.

Cette sophistication arrive au même moment qu’un type de cyberattaque qui a révolutionné toute la cybercriminalité : le rançongiciel. Fondée sur le principe de l’extorsion, cette attaque vise à exfiltrer de l’information sensible et provoquer de l’indisponibilité chez l’organisation victime, à défaut de payer une rançon. Les rançongiciels se sont avérés extrêmement profitables ces dernières années, mais surtout, ils se sont avérés efficaces contre tout type d’entreprise, des organismes sans but lucratif (OSBL) jusqu’aux entreprises œuvrant dans les secteurs critiques.

Le secteur des transports, évidemment, est particulièrement touché par ce fléau.

Le défi de sécurisation des données

Le secteur des transports fait face à plusieurs défis dans son ensemble. Le premier défi est de protéger l’énorme quantité de données qu’il produit et consomme.

Les données sont au cœur des grandes innovations dans le domaine. Les systèmes de transport utilisent des capteurs, des objets connectés, des applications mobiles et l’intelligence artificielle pour améliorer l'expérience des voyageurs, optimiser les itinéraires et les horaires. Les systèmes de gestion de la circulation utilisent des capteurs et des caméras pour collecter des données sur les conditions de circulation en temps réel et les utilisent pour optimiser les itinéraires, réguler les feux de circulation et réduire les embouteillages. Les véhicules autonomes (voitures, trains, métros) conduisent des passagers et de marchandise en se basant exclusivement sur des données et des capteurs.

Une attention particulière doit être portée à la protection de ces données, notamment pour protéger leur disponibilité et leur intégrité. Contrairement à d’autres industries où la protection de la confidentialité est le principal enjeu, le secteur des transports doit surtout protéger la disponibilité et l’intégrité des données, dont l’atteinte aurait des impacts catastrophiques.
Les données sont difficiles à protéger dans la mesure où elles doivent être surveillées et protégées à plusieurs endroits : dans le système source, en transit et ensuite dans le système de destination. Les données sont considérées autant sécurisées que la sécurité du maillon le plus faible.

Le défi des sécurisations des réseaux TO

Le second défi dans le secteur des transports est que les environnements opérationnels comprennent souvent des éléments hérités qui ont été conçus à une époque où la cybersécurité n’était pas une considération. C’est notamment le cas dans les systèmes industriels et des objets connectés. Toute leur cybersécurité reposait sur la ségrégation logique ou physique de ces systèmes, mais la convergence des systèmes TI et TO vient tranquillement retirer cette barrière aux attaquants. Ces systèmes, qui contrôlent souvent la sécurité du public, se retrouvent donc de plus en plus exposés aux cyberattaques.

Pour protéger ces systèmes, il faut alors sécuriser leur périmètre et effectuer une surveillance accrue pour chaque point d’interconnexion. Il faut aussi redoubler d’efforts et minutieusement analyser chaque changement et chaque intégration afin de s’assurer qu’elle n’ouvre pas la porte à un attaquant. En dehors des évolutions et des changements prévus, des audits de vulnérabilités doivent être réalisés périodiquement afin de s’assurer que l’infrastructure ne se retrouve pas exposée par inadvertance. Si vous ne réalisez pas ces audits, les attaquants le feront pour vous.

Le défi de la main-d’œuvre cybersécurité

Le troisième défi est le manque de ressources en cybersécurité pour accompagner les organisations dans la sécurisation de leurs opérations. Ce manque de ressource n’est toutefois pas unique au secteur des transports. Bien qu’il soit recommandé d’avoir recours à de l’aide extérieure pour effectuer les analyses plus spécialisées, telles des audits de vulnérabilités et tests d’intrusions, il demeure essentiel d’avoir du personnel résidant et formé, veillant à assurer la cybersécurité au quotidien et se tenir à l’affût des derniers développements dans le domaine.
CIMA+ se spécialise dans la cybersécurité pour le secteur des transports. Nous pouvons vous aider à protéger vos données et vos systèmes contre les cybermenaces. Nous vous invitons à communiquer avec nous.

L’union fait la force

Les attaquants ont compris qu’ils devaient collaborer entre eux. De la même façon, l’industrie des transports doit s’unir pour mieux se défendre. Il existe plusieurs ressources à cette fin.

Au Canada, Sécurité Publique offre le « Programme d'évaluation de la résilience régionale (PERR)» comprenant une évaluation de la résilience et un audit de vulnérabilité pour les propriétaires et exploitants d'installations d'infrastructures essentielles. Vous pouvez bénéficier de ce programme via le portail de Sécurité Publique : https://www.securitepublique.gc.ca/cnt/ntnl-scrt/crtcl-nfrstrctr/crtcl-nfrstrtr-rrap-fr.aspx

Une autre chose à faire est de consommer le matériel fourni par le ISAC couvrant votre sous-secteur. Les ISACs (Information Sharing and Analysis Centers) sont des organisations nord-américaines sans but lucratif qui agissent comme guichet unique livrant de l’information sur les cybermenaces propres à un secteur. Ils diffusent les bulletins de cybersécurité provenant des agences de sécurité publique et des firmes spécialisées, et fournissent à leurs membres le matériel de formation et sensibilisation approprié. Les ISACs agissent également comme entité neutre, permettant aux membres de partager anonymement leurs cyberattaques et de faire profiter des leçons apprises à la suite de ces attaques.

Dans le secteur des transports, trois ISAC sont disponibles :

  • Surface Transportation ISAC (ST-ISAC)
  • Over The Road Bus ISAC (OTRB-ISAC)
  • Public Transportation ISAC (PT-ISAC)

L’adhésion est offerte pour toute organisation œuvrant dans le secteur, et se fait à travers le portail : https://surfacetransportationisac.org/.

De plus, aux États-Unis, le TSA a développé le « Surface Transportation Cybersecurity Toolkit », qui est un portail centralisant du matériel éducatif allant du matériel de sensibilisation, des considérations de cybersécurité selon le secteur, jusqu’aux bulletins spéciaux publiés par le U.S. Department of Homeland Security (DHS).

En somme, le secteur des transports innove rapidement et s’expose de plus en plus aux cyberattaques. Mais c’est aussi un bon moment pour intégrer la cybersécurité lors de vos projets, dès les premières phases.

Inclure des considérations de cybersécurité dès le début de vos projets représente le plus grand avantage que vous aurez sur les attaquants.

Les défis de cybersécurité sont communs à toutes les entreprises du secteur et il faut utiliser les leçons apprises de nos pairs ainsi que des spécialistes en cybersécurité œuvrant dans notre domaine pour mieux intégrer les principes de cybersécurité. En cybersécurité, l’union fait la force !

 

Pour accéder à l'article original ainsi qu'à la revue complète, consultez le site de l'AQTr ici: https://aqtr.com/association/bibliotheque/revue-routes-transport-edition-printemps-2023-repenser-securite-demain

Aller au contenu principal