Lorsque nous considérons la cybersécurité, nous considérons normalement les dommages qui peuvent être causés à des entreprises spécifiques par une cyberattaque. Mais cela ne tient pas compte de la menace peut-être plus grande d’une cyberattaque malveillante sur les composants des installations critiques d’un pays – routes, rail, électricité, eau, gouvernement fédéral, soins de santé, services d’urgence et plus encore. Si l’un d’entre eux est frappé par une cyberattaque importante, les retombées pourraient être vastes et terribles.
Nous s’est entretenu avec Deryck Mitchelson, Field CISO chez Check Point, une société mondiale de services de cybersécurité, pour parler des risques potentiels d’être pris au dépourvu face à un risque de cybersécurité par rapport à des installations cruciales – en particulier au Royaume-Uni, qui a, par exemple, un réseau national service de santé comme cible supplémentaire.
THQ :
La vulnérabilité aux cyberattaques est vitale installations? Quelle est l’ampleur du problème que nous traitons ici ?
DM :
C’est vraiment sensible. Mais c’est une erreur de traiter tous les CNI (Installations Nationales Critiques) comme également susceptibles. La santé est la partie la plus vulnérable du CNI. Cela ne fait aucun doute. Je pense que les services publics assis en dessous sont les plus vulnérables, car a) nous avons vu des attaques contre les services publics, et b) comme les soins de santé, ils ont normalement sous-investi et extrêmement peu sur la sécurité. Les sociétés énergétiques sont peut-être les mieux placées en ce qui concerne le CNI. Encore une fois, si vous regardez dans toute l’Europe, il y a eu des cyberattaques efficaces contre des organisations énergétiques. Ce n’est pas qu’ils n’ont pas de soucis.
Oui, c’est très, très sensible. Je suis heureux de voir la mise à jour des politiques NIS (réseaux et systèmes d’information) qui va sortir, où les réglementations seront renforcées autour de la chaîne d’approvisionnement des infrastructures nationales critiques. C’est un bon point de départ, mais ce n’est certainement pas aussi robuste qu’il devrait l’être. Cela donne certaines assurances, mais nous devons en faire beaucoup plus. Et potentiellement, il pourrait y avoir une énorme attaque de génération V dans des installations nationales cruciales qui ne supprimerait pas simplement les soins de santé, elle pourrait supprimer les soins de santé, les services d’urgence, elle pourrait se pencher sur les services publics. Cela pourrait avoir un effet paralysant sur le pays.
Nous restons aujourd’hui dans un domaine que les stars du risque adorent. Nous avons en fait des troubles géopolitiques, nous avons en fait un ralentissement économique. Au Royaume-Uni, nous avons en fait une pénurie de cybercompétences pour gérer toute attaque. Nous avons en fait la tempête parfaite qui se prépare. Cela ne fait aucun doute.
Durées de vulnérabilité vitales.
THQ :
Et bonnes vacances à vous aussi ! Le point est valable cependant– si vous deviez choisir une heure, c’est pratiquement maintenant, n’est-ce pas ?
DM :
Ça l’est. Je recommande le gouvernement écossais sur les problèmes de cybersécurité, et je l’ai déclaré il y a deux semaines lors d’une réunion que j’ai eue avec eux. En fait, je leur ai dit « S’il vous plaît, s’il vous plaît, s’il vous plaît, pouvons-nous envoyer des messages à toutes nos entreprises critiques pour qu’elles ne détournent pas les yeux pendant la période des vacances ? » C’est à ce moment-là que vous avez tendance à avoir une grande partie de ce qui se passe. C’est une tempête idéale.
Nous passons également dans ce mode où nous avons des équipes squelettiques qui surveillent, et ce n’est jamais par hasard que beaucoup de ces attaques se produisent lorsque la garde est légèrement baissée. Et oui, c’est malheureusement là où nous en sommes.
J’ai fait une interview à la BBC plus tôt dans l’année, pendant la saison estivale. Ils étaient impatients de discuter des problèmes de santé et de la chaîne d’approvisionnement. Je leur ai alors dit que le NHS allait avoir une énorme attaque de la chaîne d’approvisionnement.
Et quelques semaines plus tard… c’est arrivé. Il était évident que cela allait arriver, et il était évident que les services publics tels que l’eau allaient également être affectés.
Nous ne sommes pas au meilleur de notre forme. Absolument pas. Et je crois que les dirigeants politiques doivent également faire attention au niveau d’assurance qu’ils obtiennent. Obtiennent-ils le bon niveau de garantie ? S’agit-il davantage d’une assurance par case à cocher plutôt que d’une assurance par les entraînements de l’équipe rouge qui sont réellement disponibles et qui examinent les contrôles et ce qui se passe ? Je soupçonne que c’est tout à fait la variété de cases à cocher de garantie. Ce qui va constamment entraîner des problèmes.
Points faibles importants.
THQ :
Pourquoi les infrastructures importantes sont-elles plus menacées que les entreprises de base par les menaces de cybersécurité ?
DM :
Il y a plusieurs facteurs à cela. Les informations et les PII (détails personnellement reconnaissables) que CNI détient sont des détails extrêmement importants, et partout où vous avez des détails extrêmement précieux, cela va être une cible. Incluez cela au degré de tradition qu’ils ont, où les systèmes ne sont pas toujours connectés et cela signifie qu’ils ont en fait une surface d’attaque substantielle où les cybercriminels peuvent pénétrer.
Il existe également des organisations qui sont essayant de faire leur voyage d’amélioration numérique. Et quelques-uns d’entre eux se sont peut-être en fait abstenus de le faire trop rapidement, alors que nous essayions tous de travailler à partir d’un autre endroit ou de mettre des services en ligne. Donc, encore une fois, vous les regardez et ils ne sont pas ce que vous appelleriez les entreprises numériques modernes que nous espérons qu’elles sont. Ils utilisent toujours des appareils, des logiciels et une sécurité traditionnels aux côtés de certaines des nouvelles infrastructures modernes. Il est tellement difficile de protéger un système comme celui-ci de bout en bout.
Ensuite, vous générez de l’IoT (appareils Web des objets) et ils ajoutent une menace totalement différente. Nous avons vu que avec l’affaire Colonial Pipeline aux États-Unis, où ils ne savaient pas en fait si le côté OT de l’entreprise avait réellement été piraté, ou s’il s’agissait uniquement du côté informatique de l’entreprise.
C’est le point — Les infrastructures critiques n’ont pas de surveillance de bout en bout sur place pour tout. Et ils n’ont certainement pas non plus de trace de ce qui est partagé entre les entreprises. Ainsi, lorsque quelque chose comme l’attaque Adastra se produit, cela réduit les services en Angleterre, en Écosse, en Irlande du Nord et au Pays de Galles, mais il n’y a pas de couche intégrée qui se trouve là-dedans et assure la sécurité autour de ces systèmes. Nous travaillons de la même manière dans les énergies, nous travaillons de la même manière dans l’énergie également, et de même dans l’aviation, ce sont tous des silos individuels qui tentent de faire des choses similaires, mais tous travaillent séparément pour re- inventer la roue.
La chose idéale, dès que.
J’ai en fait toujours été un grand partisan de faire la bonne chose, dès que, dans une méthode standardisée, plutôt que de continuer à réinvestir et à le faire à l’anglaise, à l’écossaise, à la méthode nord-irlandaise et à la méthode de l’aviation. Il y a une façon qui est la bonne. Faites-le de cette manière dans tous les domaines, avec une certaine normalisation, et après cela, vous comprendrez que vous pouvez recycler.
Nous avons en fait déclaré qu’il y avait aussi une pénurie de cybercompétences. Chaque fois que la roue est réinventée, ce n’est pas toujours fait par les personnes les plus expérimentées, car la rareté des cybercompétences dans les infrastructures importantes est motivée par des salaires inférieurs à ceux des fintechs – de sorte que les compétences les plus élevées vont aux plus rémunérateurs secteurs.
Vous obtenez donc une situation dans une infrastructure vitale où vous avez beaucoup d’informations extrêmement importantes, beaucoup d’équipements hérités et un système qu’il est vraiment difficile de protéger de bout en bout, beaucoup de travail similaire étant fait pour réinventer quelque chose qui existe déjà, mais avec des failles potentiellement uniques, insérées accidentellement par des individus qui n’ont pas toujours les compétences informatiques pour en faire le meilleur travail.
Cela rend les aspects vitaux des installations très , très vulnérable aux cyberattaques – et en plus de cela, comme nous l’avons dit, au Royaume-Uni en ce moment, il y a des éléments géopolitiques, des facteurs financiers et des éléments de sous-investissement pour faire des installations cruciales du Royaume-Uni des fruits particulièrement à portée de main pour cybera ttackers.
Dans la partie 2 de cet article, nous nous concentrerons sur la manière de réduire les risques de cybersécurité pour les installations cruciales.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur