Environ 100 000 systèmes de contrôle industriel (ICS) ont été découverts sur le Web public, exposés à des attaquants qui les testaient à la recherche de vulnérabilités et risquaient d’être accessibles sans autorisation. Parmi eux figurent les réseaux électriques, les systèmes de feux de circulation, les systèmes de sécurité et d’eau.

Les ICS exposés comprennent des unités (capteurs, actionneurs, commutateurs, systèmes de gestion de bâtiment et jauges automatiques de réservoir) pour les systèmes d’infrastructures critiques.

La société de cybersécurité BitSight a alerté de la menace après avoir identifié le problème dans plusieurs secteurs et touché de nombreuses entreprises Fortune 1000 dans 96 pays.

Bitsight a déclaré à BleepingComputer que ses analystes pouvaient extraire des données d’analyses à grande échelle de l’ensemble de l’espace d’adressage IP et des journaux produits à partir de celui-ci, leur permettant d’identifier plusieurs protocoles et de déterminer le type de système à chaque adresse.

Bitsight affirme traiter quotidiennement environ 400 milliards d’événements de sécurité et surveiller activement plus de 40 millions d’organisations dans le monde, avec sa vaste collection d’ensembles de données remontant à plusieurs années.

Ampleur du problème

Rapports BitSight que ses données montrent que les choses se sont améliorées d’année en année, le nombre d’appareils exposés ayant diminué depuis 2019.

Les pays les plus exposés en termes de nombre d’organisations disposant d’au moins un ICS exposé sont :

• États-Unis
• Canada
• Italie
• Royaume-Uni
• France
• Pays-Bas
• Allemagne
• Espagne
• Pologne
• Suède

En ce qui concerne les secteurs les moins sécurisés en matière de sécurité ICS, Bitsight affirme que l’éducation, la technologie, le gouvernement, les services aux entreprises, la fabrication, les services publics, l’immobilier, l’énergie, l’hôtellerie et la finance se démarquent.

BitSight a également créé le diagramme suivant pour corréler les pays, les secteurs et les protocoles exposés.

Évaluation du risque

Les systèmes industriels ne sont pas exempts de vulnérabilités critiques, qui peuvent impacter un large éventail de ICS ainsi que des outils plus spécifiques mais largement utilisés.

Kaspersky avait précédemment estimé qu’environ 20 % de tous les ICS déployés étaient vulnérables à des failles de gravité critique.

Les cas d’infections par des logiciels malveillants par des pirates informatiques parrainés par l’État ou de cyberattaques par des acteurs opportunistes ciblant les ICS sont nombreux, et les autorités américaines ont émis à plusieurs reprises des avertissements pertinents, exhortant les administrateurs système à sécuriser les infrastructures critiques sous leur contrôle.

Cependant, sur la base des seules données de Bitsight, il est difficile d’estimer combien des 100 000 ICS exposés sont exploitables et le niveau de dégâts que les pirates peuvent subir en cas d’attaque.

Pour un accès à distance sécurisé aux systèmes de contrôle industriel (ICS), les organisations doivent mettre en œuvre au moins des mesures de sécurité de base telles que l’accès VPN, l’authentification multifacteur (MFA), le contrôle d’accès basé sur les rôles (RBAC) et la segmentation du réseau.