Blog WatchGuard

Les clés USB constituent toujours un vecteur majeur de menaces

L’an dernier, l’utilisation des clés USB a progressé de 30 % dans les entreprises industrielles. Les pirates informatiques ont noté cette tendance et n’ont pas tardé à doubler le nombre de menaces conçues pour être déployées en mettant à profit ces périphériques : 79 % d’entre elles pourraient toucher des installations et des équipements. Telles sont les principales conclusions d’une étude publiée récemment par un spécialiste du secteur.

La faute à la pandémie

Le rapport désigne la pandémie comme responsable de l’augmentation de ces risques. Le télétravail a également fait peser une pression sur la cybersécurité des entreprises mais il existe des différences si l’on compare avec les entreprises du secteur tertiaire. De nombreux systèmes de « technologie opérationnelle » (c’est-à-dire, les équipements industriels et les usines) sont isolés de tout réseau informatique, ce qui signifie que leur réseau est isolé de toute connectivité Internet ou d’autres réseaux considérés comme non sécurisés. C’est ainsi que des employés devant travailler depuis leur domicile ont été amenés à connecter beaucoup plus fréquemment des clés USB sur le matériel de leur lieu de travail afin de stocker leurs données et les emmener chez eux pour travailler.

Les pirates informatiques en ont pris conscience et, parmi tous les malwares détectés, 76 % étaient des chevaux de Troie avec possibilité de contrôle à distance. Nous avons également observé une évolution des techniques utilisées par rapport aux années précédentes. Les malwares apparaissant dans des documents infectés (Excel pour la plupart) étaient complexes et contenaient du code malveillant intégré dans des scripts et des macros.

Des tendances inquiétantes

Les tendances mises en évidence dans ce rapport sont toutefois inquiétantes pour plusieurs raisons.

Tout d’abord, certaines entreprises disposant d’installations industrielles sont considérées comme des infrastructures critiques c’est-à-dire qu’elles proposent à la société des services indispensables, tels que l’alimentation en énergie, et une interruption de leurs services aurait des conséquences directes pour la population. Le dernier incident majeur est celui ayant mis à mal l’usine de traitement des eaux d’Oldsmar en Floride, où le pirate informatique a réussi à modifier à distance les niveaux de sodium dans la conduite d’alimentation.

Ensuite, cela nous rappelle que les cyberattaques industrielles ayant généré les plus grands préjudices par le passé impliquaient des clés USB. C’est notamment le cas de Stuxnet, qui a paralysé le fonctionnement d’une centrale nucléaire en Iran lorsqu’un employé, recruté comme informateur par une agence de renseignements, a introduit un malware par le biais d’une connexion USB.

Et enfin, l’utilisation de malwares par le biais de clés USB avait diminué en raison d’un ralentissement de leur utilisation, mais la pandémie a renversé cette tendance. Tandis que l’utilisation de ces périphériques devient plus sporadique puisqu’ils sont peu à peu remplacés par le stockage dans le Cloud, les clés USB restent très utilisées dans les entreprises industrielles en raison de leur isolation de tout réseau informatique.

Stratégies d’utilisation et protection complète des terminaux

La première étape visant à minimiser les risques de menaces consiste à disposer d’une stratégie stricte comportant des recommandations claires concernant l’utilisation de clés USB au sein de l’entreprise. Ces pratiques devraient inclure les équipements industriels auxquels ils sont connectés, les niveaux des différents rôles et les autorisations basées sur les profils des employés, en utilisant uniquement des périphériques fournis et vérifiés par le service informatique de l’entreprise ou le fournisseur de services managés (MSP) et ne pouvant être utilisés que sur des ordinateurs fournis par l’entreprise et dûment sécurisés.

Néanmoins, ces recommandations ne sont pas suffisantes face à la dangerosité des menaces actuelles. Si les installations représentent des infrastructures critiques, elles peuvent être la cible de groupes APT en lien avec l’état, qui exploitent des outils et des malwares extrêmement sophistiqués capables de contourner les mesures de sécurité mises en œuvre. Dans ces conditions, les entreprises doivent disposer de la meilleure sécurité des terminaux qui soit et d’une totale visibilité de son activité, y compris de sa connectivité USB.

WatchGuard Endpoint Security, désormais disponible dans WatchGuard Cloud, répond à ce besoin. Le service Zero-Trust Application disponible dans WatchGuard EDR et les solutions WatchGuard EPDR classent tout d’abord les processus en deux catégories, malware ou de confiance, avant de n’autoriser que les processus de confiance à exécuter sur chaque poste de travail. Les risques qu’un malware présent sur une clé USB ne soit pas détecté et infiltre une machine sont ainsi considérablement réduits. Les options qui s’offrent aux cybercriminels lorsqu’ils ciblent des sites industriels sont donc en l’occurrence bien moins nombreuses.