Points clés
- Un environnement critique insuffisamment sécurisé produit des signaux détectables avant tout incident majeur.
- Ces signaux incluent des vulnérabilités non traitées, des accès non contrôlés, une supervision absente et des dépendances non documentées.
- L'attaque Shamoon contre Saudi Aramco (2012) a exploité une architecture où les stations de travail administratives étaient accessibles depuis Internet sans protection adéquate.
- MOVEit (2023) a révélé que des milliers d'organisations utilisaient un système de transfert de fichiers critique sans avoir appliqué les correctifs disponibles.
- ENISA Threat Landscape 2023 identifie les systèmes critiques exposés comme première cible des groupes APT étatiques.
Les incidents majeurs touchant des systèmes critiques ne surgissent pas sans avertissement. Ils sont précédés d'une accumulation de signaux que les audits de sécurité, les tests d'intrusion et les revues d'architecture permettent de détecter. La question n'est pas de savoir si ces signaux existent, mais si l'organisation dispose des processus pour les identifier, les escalader et les traiter.
Pour la direction, la détection précoce des signaux de vulnérabilité dans les environnements critiques est une responsabilité de gouvernance. Elle passe par des programmes d'audit réguliers, une revue formelle des résultats de tests de sécurité et un mécanisme d'escalade vers le niveau décisionnel approprié.
Les signaux techniques les plus communs
Plusieurs indicateurs techniques signalent un environnement critique insuffisamment protégé. La présence de systèmes non patchés exposés au réseau est le signal le plus fréquent : les rapports Qualys et Tenable publiés annuellement montrent que les CVE critiques restent non corrigées pendant en moyenne 60 à 80 jours sur les systèmes de production. Les ports de gestion exposés sur Internet — SSH, RDP, SNMP — constituent un autre signal majeur, exploité dans la quasi-totalité des intrusions récentes sur des infrastructures critiques.
La présence de comptes de service avec des droits excessifs, l'absence de journalisation sur les systèmes critiques et les règles de firewall trop permissives entre zones complètent la liste des signaux que tout audit de sécurité de base doit identifier.
Les signaux organisationnels
Au-delà du technique, plusieurs signaux organisationnels indiquent une protection insuffisante des systèmes critiques. L'absence de classification formelle des actifs est le premier : si l'organisation ne sait pas quels systèmes sont critiques, elle ne peut pas les protéger différemment. L'absence de tests de continuité sur ces systèmes est un second signal : une organisation qui n'a pas testé la restauration de ses systèmes critiques depuis plus d'un an ne sait pas si ses plans fonctionnent.
La dépendance à des fournisseurs tiers pour des systèmes critiques sans clauses contractuelles de sécurité (DORA impose des exigences précises sur ce point) et l'absence de plan de réponse aux incidents spécifique aux environnements critiques sont des signaux que la direction doit exiger de voir traités.
La leçon SolarWinds
L'attaque SolarWinds de 2020 a compromis la plateforme de supervision Orion utilisée par 18 000 organisations, dont des agences gouvernementales américaines et des entreprises du CAC 40. Le signal préalable existait : la plateforme était mise à jour via un pipeline de build non sécurisé, sans vérification de l'intégrité des binaires produits. Un audit de sécurité de la chaîne de build aurait identifié cette vulnérabilité. Ce signal n'a pas été détecté parce qu'aucun processus ne le cherchait.
La vulnérabilité SQL injection dans MOVEit Transfer a été exploitée par le groupe Cl0p contre plus de 2 500 organisations dans le monde. MOVEit était utilisé comme système critique de transfert de fichiers dans des chaînes de traitement de données sensibles (paie, données de santé, données financières). Le signal : la vulnérabilité était connue depuis plusieurs mois avant une exploitation massive. Les organisations qui avaient un processus de surveillance des CVE sur leurs systèmes critiques ont pu patcher avant l'exploitation.
Le maliciel Shamoon a détruit 35 000 postes de travail d'Aramco en une nuit. L'investigation post-incident a révélé que le réseau administratif d'Aramco présentait plusieurs signaux préalables : des stations de travail accessibles depuis des réseaux partenaires sans authentification forte, des politiques de mot de passe laxistes et une absence de segmentation entre le réseau bureautique et les systèmes de gestion opérationnelle. Ces signaux étaient présents mais non formellement documentés comme risques critiques.
La centrale nucléaire de Kudankulam en Inde a confirmé une infection par le maliciel Dtrack sur son réseau administratif. Le signal préalable : des connexions Internet non autorisées avaient été identifiées sur le réseau administratif plusieurs mois avant l'incident, sans escalade formelle. La Nuclear Power Corporation of India a reconnu que le système de détection d'intrusion n'était pas opérationnel sur ce segment. L'incident a conduit à une révision nationale des politiques de sécurité des infrastructures nucléaires civiles.