Points clés
- Les systèmes critiques ne fonctionnent jamais de manière isolée : ils s'inscrivent dans des chaînes de dépendances que les incidents révèlent dans toute leur complexité.
- Ces dépendances croisées entre systèmes IT, OT et processus métiers sont rarement documentées dans leur intégralité.
- NotPetya a compromis Maersk via un logiciel comptable ukrainien, illustrant une dépendance tierce non identifiée comme critique.
- La cyberattaque contre le réseau électrique ukrainien en 2015 a exploité la dépendance entre le SCADA et le réseau bureautique.
- DORA impose une cartographie des dépendances ICT critiques incluant les prestataires tiers et les chaînes de sous-traitance.
La complexité des systèmes d'information modernes crée des dépendances que même les équipes techniques n'ont pas toujours cartographiées. Un système critique n'est pas une île : il reçoit des données d'un autre système, utilise des identités gérées par un annuaire, s'appuie sur une infrastructure réseau partagée, et fait appel à des services tiers pour certaines de ses fonctions. Chacun de ces liens est un vecteur de propagation d'un incident.
Pour la direction, comprendre ces dépendances invisibles est une condition de la prise de décision éclairée. Les plans de continuité, les scénarios de crise et les budgets de résilience doivent refléter la réalité de ces chaînes de dépendances, non un modèle simplifié qui ne résistera pas au premier incident réel.
Les dépendances IT/OT
La convergence des systèmes d'information (IT) et des systèmes opérationnels (OT) a créé des dépendances nouvelles entre des environnements conçus pour fonctionner de manière séparée. Les systèmes SCADA, automates industriels (PLC), et systèmes de contrôle de processus sont de plus en plus connectés aux réseaux d'entreprise pour permettre la supervision à distance et l'intégration des données de production dans les ERP.
Cette convergence crée des chemins d'attaque depuis le réseau bureautique vers les environnements OT. NIST SP 800-82 et IEC 62443 documentent ces vecteurs et les mesures de segmentation nécessaires. La cartographie des dépendances IT/OT est une exigence de conformité pour les opérateurs d'infrastructures critiques sous NIS2.
Les dépendances via les prestataires tiers
La dépendance à des fournisseurs tiers pour des fonctions critiques est l'une des surfaces d'attaque les plus exploitées par les groupes APT avancés. Target (2013), SolarWinds (2020), Kaseya (2021), 3CX (2023) — chacun de ces incidents illustre un chemin d'attaque qui passe par un prestataire tiers pour atteindre une cible principale.
DORA impose aux entités financières de documenter ces dépendances dans un registre des prestataires ICT critiques, d'exiger des clauses contractuelles spécifiques et de réaliser des audits de sécurité chez les prestataires dont la défaillance affecterait des fonctions critiques ou importantes. Cette exigence reconnaît formellement que les dépendances tierces sont une dimension de risque à part entière.
Les dépendances de données
Un système critique peut également dépendre de la qualité et de l'intégrité des données produites par d'autres systèmes. Un système de scoring de crédit dépend des données produites par le système de gestion des comptes. Un système de détection de fraude dépend des flux transactionnels en temps réel. La compromission ou l'altération de ces flux amont peut paralyser ou corrompre les décisions produites par le système critique aval, sans que ce dernier ne soit directement attaqué.
Cette dimension de dépendance de données est souvent absente des cartographies de risque. MITRE ATT&CK for ICS (T0832 — Manipulate I/O Image) et MITRE ATT&CK Enterprise (T1565 — Data Manipulation) documentent ces techniques d'altération de données comme vecteurs d'attaque contre les infrastructures critiques.
L'intrusion dans les systèmes de paiement de Target a commencé par la compromission de Fazio Mechanical, un prestataire de maintenance HVAC qui avait un accès réseau à Target pour la télésurveillance de ses équipements. Cet accès, destiné à une fonction non critique, était connecté au même réseau que les systèmes de point de vente. La dépendance entre l'accès réseau du prestataire HVAC et les systèmes de paiement n'avait pas été identifiée ni contrôlée.
L'attaque BlackEnergy contre le réseau électrique ukrainien a exploité la dépendance entre le système SCADA de contrôle du réseau et le réseau bureautique des opérateurs d'énergie. Les attaquants ont d'abord compromis le réseau bureautique via un spear phishing, puis se sont déplacés latéralement vers le SCADA, documentant les procédures avant de déclencher l'attaque. 225 000 clients ont été privés d'électricité. Cette attaque a directement influencé les exigences de segmentation IT/OT de NIS2.
LockerGoga a paralysé Norsk Hydro, l'un des plus grands producteurs d'aluminium mondiaux, en chiffrant des systèmes dans 170 sites à travers 40 pays. La propagation a été facilitée par les dépendances entre le réseau d'entreprise mondial et les systèmes de contrôle des fonderies. Norsk Hydro a dû basculer manuellement plusieurs fonderies en mode opération manuelle. Le coût total dépasse 71 millions de dollars. L'entreprise a documenté publiquement sa reconstruction, qui a servi de référence pour de nombreuses organisations industrielles mondiales.