À l’approche de NIS2, comment les organisations peuvent-elles atténuer les cyberattaques potentiellement mortelles ?

NIS2 sera transposé dans la loi dans tous les États membres de l’UE dans trois mois. Il exige une sécurité de base renforcée, une réponse aux incidents, une sécurité de la chaîne d'approvisionnement et bien plus encore pour rendre les opérateurs de services essentiels plus résilients en matière de cybersécurité. Si les organisations ont des doutes sur la nécessité de telles réglementations, ne cherchez pas plus loin que la dernière catastrophe liée aux ransomwares du NHS.

Heureusement, les meilleures pratiques du secteur peuvent grandement contribuer à rationaliser la conformité à NIS 2 et à réduire les risques de cyber-incidents potentiellement mortels.

La santé sous le feu

En fin de compte, l'attaque de ransomware qui a eu un impact si catastrophique sur les patients du NHS a visé un fournisseur de services de pathologie peu connu et, au moment de la rédaction de cet article, elle avait entraîné l'annulation de plus de 800 opérations planifiées et de 700 rendez-vous ambulatoires. réorganisés, y compris certaines procédures potentiellement vitales. Ces chiffres concernent les deux NHS Trusts les plus touchés – le King's College Hospital NHS Foundation Trust et le Guy's and St Thomas' NHS Foundation Trust – et uniquement pour la période du 3 au 9 juin, de sorte que les perturbations réelles seront probablement encore plus importantes.

En plus des annulations, le NHS a été obligé de faire appel pour les donneurs de sang et les bénévoles à la suite de l'incident. Bien que le fournisseur en question, Synnovis, envisage de restaurer certaines fonctionnalités informatiques « dans les semaines à venir », il a prévenu qu’une « restauration technique complète » prendrait plus de temps et qu’une interruption serait probable pendant « des mois ».

Les acteurs des ransomwares ciblent les soins de santé de plus en plus fréquemment, et chaque fois qu'ils le font, il existe un risque d'interruption des services pouvant avoir un impact potentiellement mortel sur les patients. En Alabama en 2021, la mère d'un enfant de neuf mois a porté plainte contre l'hôpital où sa fille est née, affirmant qu'il n'avait pas révélé qu'il avait alors subi une attaque de ransomware. Parce que la cyberattaque a perturbé les appareils technologiques opérationnels (OT) critiques, les médecins n'ont pas été en mesure de surveiller correctement l'état de l'enfant, selon la mère. Malheureusement, elle a subi de graves lésions cérébrales et est décédée neuf mois plus tard.

Un risque de décès de 25 %

Bien entendu, le secteur de la santé n’est qu’un des nombreux secteurs d’infrastructures nationales critiques (CNI) où les cyberattaques pourraient avoir des répercussions fatales. Le rapport gouvernemental National Risk Register 2023 estime qu'une cyberattaque grave contre CNI a 5 à 25 % de chances de se produire au cours des deux années suivantes. Il réclame que cela pourrait entraîner jusqu'à 1000 2000 morts et XNUMX XNUMX victimes.

Dans bon nombre de ces organisations, c’est l’utilisation des technologies OT et IoT qui pourrait les exposer à des attaques aux effets cinétiques dangereux. Cela peut être observé dans l'industrie du traitement de l'eau, où un L'attaque de 2016 a abouti Les auteurs de la menace ont modifié le niveau de produits chimiques dans l'eau potable à quatre reprises avant que l'attaque ne soit signalée.

Selon Anton Shipulin, évangéliste en cybersécurité chez le spécialiste de la sécurité OT Réseaux Nozomi, mener des cyberattaques ciblées mettant la vie en danger est difficile mais réalisable.

"Cela nécessite plusieurs conditions pour l'acteur malveillant, notamment la connaissance des processus, du temps, de l'argent, du personnel et une cible vulnérable", a-t-il déclaré à ISMS.online.

« Cependant, lorsque des processus vitaux ou dangereux dépendent fortement des technologies numériques, même des attaques non ciblées ou des dysfonctionnements technologiques peuvent mettre en péril ces systèmes, provoquant potentiellement des morts ou des blessures. Cela est particulièrement vrai dans des secteurs tels que la santé, la robotique industrielle et la chimie.

Sean Tufts, associé directeur des infrastructures critiques chez Optiv, convient que les ransomwares restent la menace la plus puissante pour CNI, compte tenu du grand nombre de groupes dans leur ensemble et de la facilité avec laquelle nombre d'entre eux peuvent exploiter les lacunes de la protection.

« Un hacker qui fait exploser une sous-station ou une raffinerie n’est pas impossible, mais c’est très difficile. Vous auriez besoin d’une organisation de piratage très avancée combinée à une équipe qui sait comment fonctionnent les centrales électriques », explique-t-il à ISMS.online.

« Le scénario le plus probable est qu’un pirate informatique de bas niveau installe un package de ransomware de base sur un système et arrête un processus physique. Si ce processus est un tapis roulant, une pompe à huile, un disjoncteur électrique ou un système de contrôle de montagnes russes, les choses peuvent littéralement devenir incontrôlables. La devise actuelle de notre industrie est « la cybersécurité est la sécurité ». La sécurité est cybersécurisée. Nous voulons que l'équipement situé entre les doigts de nos techniciens soit sous leur contrôle.

Repousser les menaces et sauver des vies

Tous ces facteurs augmentent considérablement les enjeux pour les leaders de la cybersécurité opérant dans ces secteurs. La question est alors de savoir comment peuvent-ils améliorer la cyber-résilience au point où le risque pour la vie est géré de manière adéquate ?

« Les RSSI devraient réfléchir à la manière dont ils pourraient continuer à fournir des services d'urgence en cas de panne prolongée du réseau et intégrer cela dans un plan de réponse aux incidents », conseille James Tytler, associé de S-RM pour la réponse aux incidents.

"Ils devraient également organiser régulièrement des exercices de simulation pour s'assurer que toutes les parties concernées sont conscientes à l'avance de leurs rôles et responsabilités", a-t-il déclaré à ISMS.online.

Selon Tufts d'Optiv, NIS 2 fournira un ensemble utile de meilleures pratiques de sécurité sur lesquelles travailler.

« L'accent mis par NIS2 sur l'établissement d'une base de référence en matière de cybersécurité dans laquelle les entreprises peuvent se développer est d'une importance vitale pour libérer le budget des entreprises à marge historiquement faible », affirme-t-il.

Cependant, compte tenu du départ du Royaume-Uni de l'UE, le règlement ne s'appliquera pas à toutes les organisations. Pourtant, NIS2 n'est pas le seul jeu en ville, selon Shipulin de Nozomi Networks.

« Presque toutes les industries d'infrastructures critiques qui utilisent des systèmes cyber-physiques sont régies par des réglementations locales ou des normes internationales traitant de la sécurité de ces systèmes », explique-t-il. « Par conséquent, la meilleure approche consiste à commencer par examiner les lignes directrices en matière de cybersécurité fournies par le régulateur du secteur ou par des associations internationales spécifiques à un secteur. »

Normes de bonnes pratiques comme ISO27001 et la CEI 62443 peuvent également aider. Le premier atténuera les problèmes de sécurité des systèmes informatiques qui pourraient être exploités par des acteurs de ransomware, et le second est particulièrement utile car il est conçu spécifiquement pour les environnements OT tels que les systèmes de contrôle industriel.

« Cette norme a été élaborée par des praticiens et non par des régulateurs. Son applicabilité est très élevée et adaptée aux besoins de notre industrie », déclare Tufts d'Optiv.

Face à des enjeux aussi importants, les RSSI des secteurs CNI doivent reprendre le dessus.