Infrastructures critiques (KRITIS) dans le cadre des cyberattaques : toutes les mesures de protection sont-elles conformes à la nouvelle loi sur la sécurité informatique 2.0 ? La loi sur la sécurité informatique 2.0 a entraîné des ajustements importants pour les opérateurs d'infrastructures critiques.
Les producteurs et les services publics dans les domaines de l'énergie, de l'eau, de la finance et de la santé ainsi que les entreprises industrielles sont de plus en plus ciblés par les attaquants. Le résultat : des pertes de production valant des millions et des goulots d'étranglement de l'approvisionnement, pouvant aller jusqu'à la mise en danger de la vie humaine. Des exemples récents incluent des attaques contre le plus grand pipeline des États-Unis, l'autorité sanitaire irlandaise, et un incident dans une sous-station croate qui a amené l'Europe au bord d'une panne d'électricité.
Les attaques KRITIS nécessitent une action
Les cyberattaques contre les administrations municipales allemandes, comme à Anhalt-Bitterfeld, Schwerin et Witten, ont également mis en évidence la vulnérabilité des autorités allemandes, où de grandes parties des systèmes informatiques sont tombées en panne ou ont dû être arrêtées en cas d'urgence. La rapidité avec laquelle la production alimentaire peut s'arrêter a été mise en évidence par la cyberattaque contre la troisième plus grande laiterie autrichienne, dans laquelle tous les domaines de l'entreprise ont été touchés, de la production à la logistique et à la communication.
De plus, l'attaque contre l'usine de traitement des eaux souterraines d'Oldsmar en Floride a démontré les conséquences potentiellement mortelles d'une infrastructure critique compromise. Les assaillants ont pénétré avec succès le système informatique qui contrôlait l'usine de traitement de l'eau et ont manipulé à distance un ordinateur pour modifier l'équilibre chimique de l'approvisionnement en eau, ce qui aurait pu causer de graves dommages humains.
Cyberguerre : Quand le partenaire de négociation fait défaut
Dans le contexte de ce nombre croissant d'attaques, les opérateurs d'infrastructures critiques et les entreprises d'une importance économique particulière doivent donc non seulement faire face aux tentatives de chantage, mais aussi au sujet de la cyberguerre. Parce que si les cybercriminels ne demandent qu'une rançon, les organisations peuvent au moins mettre en œuvre des directives d'action appropriées à l'avance si, par exemple, une attaque de ransomware réussie se produit.
Cependant, si une cyberattaque est purement politique et que l'organisation n'a été choisie que par un État-nation hostile comme victime aléatoire pour donner l'exemple, il n'y a pas de partenaire de négociation et les dommages peuvent non seulement avoir un impact massif sur la capacité de l'entreprise, mais prennent également des dimensions pour la société dans son ensemble.
Guerre hybride avec attaques numériques
Cette nouvelle guerre hybride est évidente dans le conflit Ukraine-Russie, dans lequel les attaques numériques ont précédé les attaques militaires et pourraient continuer à le faire à l'avenir. Dès 2015, la Russie a réussi à paralyser une partie du réseau électrique ukrainien avec une cyberattaque majeure, laissant un quart de million d'Ukrainiens sans électricité en hiver. Un mois avant le début de la guerre en janvier 2022, Microsoft a découvert des logiciels malveillants d'effacement destructeurs dans des dizaines de systèmes critiques d'agences et d'organisations gouvernementales ukrainiennes. Selon le gouvernement ukrainien, il y a des indications claires que la Russie est derrière ces attaques. En outre, il ne peut être exclu que de tels incidents puissent s'étendre bien au-delà des frontières nationales de l'Ukraine. Les autorités de sécurité allemandes ont déjà appelé les opérateurs d'infrastructures critiques notamment à s'armer contre d'éventuelles cyberattaques.
Il est donc fondamental dans le domaine KRITIS de mettre en œuvre un concept de sécurité cohérent et intégré pour l'infrastructure informatique et OT, en tant que solution de bout en bout, non seulement en raison d'attaques à motivation monétaire, mais aussi en ce qui concerne la sécurité nationale comprend des produits , processus et spécialistes de la sécurité qualifiés dans tous les domaines.
Nouveau cadre juridique pour les infrastructures critiques
Le législateur a réagi aux nouveaux enjeux numériques. En conséquence, les opérateurs d'infrastructures critiques et les entreprises d'intérêt public particulier sont confrontés à des défis majeurs non seulement en raison du nombre croissant de cybermenaces, mais également en raison de la mise à jour du cadre juridique au niveau allemand et européen.
Selon la loi allemande BSI, les organisations sont des opérateurs d'infrastructures critiques si elles appartiennent à l'un des sept secteurs de l'énergie, de la santé, des technologies de l'information et des télécommunications, des transports et du trafic, de l'eau, des finances et des assurances et de l'alimentation, fournissent des services critiques et, en ce faisant, se conformer à la réglementation BSI -KRITIS dépassement des seuils.
Exigences légales supplémentaires pour les opérateurs KRITIS en 2022
En Allemagne, la deuxième loi visant à renforcer la sécurité des systèmes informatiques - en abrégé : la loi sur la sécurité informatique 2021 - est entrée en vigueur en mai 2.0 en complément de la loi BSI. Cela a élargi le groupe d'infrastructures essentielles pour inclure le secteur de l'élimination des déchets municipaux. En outre, d'autres entreprises dites "d'intérêt public particulier", telles que des fabricants d'armement ou des entreprises d'une importance économique particulièrement importante, devront également mettre en œuvre certaines mesures de sécurité informatique à l'avenir.
La loi sur la sécurité informatique 2.0 a entraîné des ajustements importants pour les entreprises et dans certains cas également pour les exploitants d'infrastructures critiques :
Les opérateurs d'infrastructures critiques doivent mettre en place des systèmes de détection d'attaques au plus tard le 1er mai 2023.
En outre, les opérateurs doivent informer le ministère fédéral de l'Intérieur de l'utilisation initiale prévue de composants critiques, par exemple si le fabricant est contrôlé par un pays tiers ou contredit les objectifs de la politique de sécurité du gouvernement fédéral allemand, de l'UE ou de l'OTAN.
Les entreprises d'intérêt public particulier sont tenues de déposer régulièrement une auto-déclaration. Ils doivent expliquer quelles certifications dans le domaine de la sécurité informatique ont été réalisées au cours des deux dernières années et comment leurs systèmes informatiques ont été sécurisés.
En outre, la Commission européenne a présenté une proposition de réforme de la directive européenne NIS (NIS-2) et une « directive sur la résilience des installations critiques » pour améliorer la résilience numérique et physique des installations et des réseaux critiques. L'objectif de ces propositions est de minimiser les risques actuels et futurs. La mise en œuvre de ces lignes directrices européennes peut donc se traduire par une nouvelle révision de la loi sur la sécurité informatique 2.0.
À quoi ressemble la protection intégrée des infrastructures critiques ?
Les producteurs et fournisseurs des secteurs de l'énergie, de l'eau et de la santé, ainsi que les entreprises industrielles qui doivent protéger leur technologie informatique et de contrôle contre les cyberattaques, ont besoin de solutions intégrées conformes à la loi sur la sécurité informatique 2.0/loi BSI et à la norme ISO 27000 normes pour l'état de la sécurité de l'information. Du côté de la technologie, les compétences suivantes doivent donc être liées afin de former un réseau de sécurité étanche contre les attaques :
Des modules de sécurité pour protéger les infrastructures critiques
- Analyse des données de journal (LDA) : L'analyse des données de journal, également connue sous le nom de gestion des informations et des événements de sécurité (SIEM), est la collecte, l'analyse et la corrélation de journaux provenant d'une grande variété de sources. Cela se traduit par des alertes pour les problèmes de sécurité ou les risques potentiels.
- Gestion des vulnérabilités et conformité (VMC) : La gestion des vulnérabilités permet une analyse continue des vulnérabilités internes et externes avec une détection complète, des contrôles de conformité et des tests pour une couverture complète. Dans le cadre de la conformité des logiciels, l'utilisation autorisée des logiciels pour chaque serveur ou groupe de serveurs est déterminée à l'aide d'un ensemble de règles et d'une analyse continue. Les logiciels manipulés peuvent être reconnus rapidement.
- Surveillance de l'état du réseau (module OT) : Ceci est utilisé pour signaler les communications en temps réel qui indiquent une interruption du fonctionnement sans erreur. Les conditions de surcharge technique, les dommages physiques, les erreurs de configuration et la détérioration des performances du réseau sont ainsi immédiatement reconnus et les sources d'erreur sont identifiées directement.
- Analyse du comportement du réseau (NBA) : Grâce à l'analyse du comportement du réseau, la détection de logiciels malveillants dangereux, d'anomalies et d'autres risques dans le trafic réseau est possible sur la base de moteurs de détection basés sur les signatures et le comportement.
- Détection et réponse aux points finaux : Endpoint Detection and Response signifie l'analyse, la surveillance et la détection des anomalies sur les ordinateurs (hôtes). Avec EDR, des actions de protection actives et des alertes instantanées sont fournies.
En raison de la complexité, le traitement ultérieur des informations relatives à la sécurité de ces modules est effectué par des spécialistes de la sécurité. Vous évaluez et hiérarchisez automatiquement les connaissances acquises. C'est la base pour lancer les bonnes contre-mesures. Enfin, les experts en sécurité rendent toutes les informations disponibles de manière claire dans un portail central auquel les parties prenantes concernées - y compris les équipes opérationnelles IT et OT, mais aussi la direction - ont accès ou à partir duquel ils reçoivent régulièrement des rapports personnalisés qu'ils peuvent comprendre.
Technologies de sécurité européennes
Bien que l'utilisation des technologies de sécurité européennes ne soit pas ancrée dans la loi BSI, elle est recommandée aux opérateurs KRITIS et aux entreprises d'intérêt public particulier afin de pouvoir répondre facilement aux exigences légales suivantes :
Respect du Règlement Général sur la Protection des Données ainsi que l'intégrité, l'authenticité et la confidentialité des systèmes informatiques
Les opérateurs de KRITIS, comme les entreprises de tous les autres secteurs, sont soumis aux exigences du Règlement général sur la protection des données (RGPD) de l'UE et doivent s'y conformer à tout moment et les sécuriser en conséquence.
En outre, la loi BSI (§ 8a alinéa 1 BSIG) impose aux exploitants d'infrastructures critiques de fournir au BSI la preuve appropriée de leurs précautions pour éviter les perturbations de la disponibilité, de l'intégrité, de l'authenticité et de la confidentialité de leurs systèmes, composants ou processus informatiques qui sont essentielles à la fonctionnalité des infrastructures critiques qu'elles exploitent sont pertinentes.
Ali Carl Gülerman, PDG et directeur général de Radar Cyber Security (Image: Radar Cyber Security).
Avec les fournisseurs de sécurité européens, dont les services reposent sur une technologie propriétaire développée en Europe, le respect des exigences ci-dessus est facile à mettre en œuvre, car ils sont soumis aux normes de protection des données les plus élevées. Outre l'origine du fournisseur de cybersécurité, les sociétés KRITIS doivent également prêter attention à la manière dont le logiciel de sécurité est configuré et à la collecte des données de sécurité. Pour garantir la meilleure sécurité des données possible, nous vous recommandons de configurer des solutions sur site comme forme de déploiement la plus sécurisée. Même si la tendance est de plus en plus vers le cloud, cela doit être considéré d'un œil critique au vu de la grande sensibilité des données dans le domaine de KRITIS.
Composants critiques : Spécifications pour les fabricants utilisés
L'utilisation de la technologie de sécurité européenne facilite également le test des composants critiques par le BSI conformément au § 9b BSIG. Par exemple, le BSI peut interdire l'utilisation initiale d'un composant critique si
- Le fabricant est directement ou indirectement contrôlé par le gouvernement, y compris d'autres agences gouvernementales ou forces armées, d'un pays tiers,
- Le fabricant a été ou est déjà impliqué dans des activités qui ont eu des effets néfastes sur l'ordre public ou la sécurité en République fédérale d'Allemagne ou dans un autre État membre de l'Union européenne, de l'Association européenne de libre-échange ou du Traité de l'Atlantique Nord ou sur leurs institutions,
- L'utilisation du composant critique n'est pas conforme aux objectifs de la politique de sécurité de la République fédérale d'Allemagne, de l'Union européenne ou du Traité de l'Atlantique Nord.
Une forte cyber-résilience fondamentale pour les organisations KRITIS
Les attaques contre les infrastructures critiques sont lucratives pour les cybercriminels. En même temps, ils recèlent un potentiel particulièrement élevé de dommages à la communauté : par ex.
Il est donc essentiel pour les organisations KRITIS de sélectionner des prestataires de sécurité pour leurs mesures de défense qui répondent pleinement aux exigences de la BSI et des normes ISO 27000 tout en adhérant aux normes européennes de protection des données les plus élevées. Le principe ne devrait pas seulement être d'éviter les amendes, mais surtout d'assurer une protection efficace et durable des systèmes IT et OT. Cependant, une cyber-résilience forte contre les attaques ne repose jamais uniquement sur des technologies de sécurité, mais inclut toujours les bons processus et des spécialistes qualifiés. Ce n'est qu'à travers cette triade de produits, de processus et d'experts qu'il est possible d'avoir une vue à 360 degrés de l'ensemble de l'infrastructure d'une organisation afin d'assurer une détection précoce globale et une réponse rapide aux cybermenaces.
Plus sur RadarCS.com
À propos de Radar Cyber Security Radar Cyber Security exploite l'un des plus grands centres de cyberdéfense d'Europe au cœur de Vienne, basé sur la technologie propriétaire Cyber Detection Platform. Poussée par la forte combinaison d'expertise et d'expérience humaines, associée aux derniers développements technologiques issus de dix années de travail de recherche et développement, la société combine des solutions complètes pour les défis liés à la sécurité informatique et OT dans ses produits RADAR Services et RADAR Solutions.