Le dernier rapport de Vectra montre que les cyberattaques contre le secteur de l’énergie ciblent davantage le système d’information plutôt que les systèmes de contrôle industriels.

Vectra, acteur majeur de la détection des cyberattaques et de la neutralisation des menaces basées sur l'intelligence artificielle, révèle que si même si les systèmes de contrôle industriels restent dans la ligne de mire des cybercriminels, la plupart des cyberattaques qui ciblent les acteurs du secteur de l’énergie touchent le système d’information, et non les systèmes de contrôle industriels.

Les cybercriminels lancent des campagnes d'attaques soigneusement orchestrées contre les fournisseurs et les distributeurs d’énergie (eau, gaz, nucléaire, …). Ces missions de reconnaissance silencieuses qui durent souvent plusieurs mois, impliquent l'observation du comportement des opérateurs et l'élaboration d'un plan d'attaque unique.

"Lorsque les cybercriminels se déplacent latéralement à l'intérieur d'un réseau, cela leur donne une plus grande surface d'attaque et augmente le risque de vol de données", explique Branndon Kelley, DSI de l’American Municipal Power, un générateur électrique qui dessert les municipalités dans 9 états américains qui possèdent leur propre système électrique. 

"Il est impératif de surveiller tout le trafic réseau pour détecter ce type de comportements ou d'autres, au plus tôt et régulièrement."

Les cybercriminels externes ciblent les acteurs du secteur de l’énergie en introduisant des logiciels malveillants et en effectuant du spear-phishing pour disposer des droits d’administration. 

Une fois à l'intérieur du système, ils utilisent des connexions et des protocoles administratifs pour effectuer des reconnaissances et se déplacer latéralement à la recherche de données confidentielles sur les systèmes de contrôle industriels.

Autres conclusions clés du rapport Spotlight sur l’industrie de l’énergie de Vectra - 2018 :

 Lors de la phase « Command and Control » de l'attaque, 194 accès à distance malveillants ont été détectés sur 10 000 terminaux.

 314 comportements malveillants par mouvement latéral ont été détectés sur 10 000 terminaux.

 Au cours de la phase d'exfiltration des données, 293 vols de données ont été observés sur 10 000 terminaux.

Le rapport Spotlight Vectra 2018 est basé sur les observations et les données de l'édition 2018 de la Black Hat Conference - Attacker Behavior Industry Report, qui révèle les comportements des cybercriminels et les tendances de plus de 250 entreprises du secteur de l'énergie, ainsi que de 8 autres industries.

De janvier à juin 2018, la plate-forme de détection des menaces Cognito de Vectra a surveillé le trafic réseau et recueilli les métadonnées de plus de 4 millions d'appareils dans les environnements cloud, data center et entreprise de ses clients. 

L'analyse de ces métadonnées permet de mieux comprendre les comportements et tendances des cybercriminels ainsi que les risques business.

La plate-forme Cognito de Vectra permet aux entreprises de détecter automatiquement et de contrer les cyberattaques en temps réel. 

Cognito utilise l'intelligence artificielle pour détecter les menaces de manière automatisée et sans interruption grâce à des modèles comportementaux qui permettent de trouver rapidement et efficacement les cybercriminels cachés et inconnus avant qu'ils ne causent des dégâts.

Cognito offre une visibilité totale sur les comportements des cyberattaquants depuis le cloud et les data centers jusqu'aux terminaux utilisateur et IoT, laissant les attaquants nulle part où se cacher.

Cognito Detect et son homologue AI, Cognito Recall, sont les fondements de la plate-forme Cognito. Cognito Detect automatise la détection en temps réel des attaquants cachés tout en donnant à Cognito Recall un point de départ logique pour effectuer une chasse aux menaces assistée par l’IA et mener des enquêtes concluantes sur les incidents.