Une compagnie maritime internationale gère une importante flotte de navires, qui se retrouvent régulièrement hors ligne ou avec une connexion satellite limitée. La compagnie, dont l’équipage a accès aux ordinateurs des bateaux, cherchait un moyen de lutter rapidement contre les logiciels malveillants et autres risques de sécurité, même lorsque les navires se trouvent en mer sans aucune connexion, afin d’éviter la perte de données internes.
Le défi
- La solution habituellement utilisée avait échoué à plusieurs reprises à détecter les logiciels malveillants et les ransomware.
- Les signatures de la solution habituellement utilisée n’avaient presque jamais été mises à jour, en raison d’une bande passante et d’une connexion restreintes.
- Impossibilité d’effectuer une surveillance 24h/24 et 7j/7 à cause de l’absence de connexion internet.
- Pas de personnel de cybersécurité à bord et un équipage non formé.
- Des appareils non autorisés étaient souvent branchés sur les ordinateurs des navires.
Les navires représentent un environnement unique, car ils peuvent rester en mer durant des mois. La connexion internet est intermittente et la bande passante reste souvent limitée et coûteuse. Les équipages n’ont souvent aucune formation en cybersécurité et peuvent être amenés à embarquer des appareils dangereux et non sécurisés contenant des logiciels malveillants et des ransomware. En raison des processus internes existants, il n’est pas possible de bloquer les appareils externes sans créer de nouveaux problèmes. Ces équipements sont de plus essentiels au fonctionnement normal et peuvent être remplacés à tout moment en cas d’imprévu. En cas d’infection par un logiciel malveillant ou un ransomware, le temps de réponse est critique, mais l’accès en temps réel est rarement disponible car les navires naviguent souvent dans des conditions défavorables ou dans des zones isolées.
Sécurité renforcée
Sur trois mois, IBM® Security QRadar EDR a permis à la compagnie de bloquer 24 attaques de ransomware
Une solution efficace
Des pertes de données ont été évitées en repérant et en éliminant des dizaines d’autres attaques
La solution
- Installation d'IBM® Security QRadar EDR sur les terminaux de tous les navires.
- Le faible débit des données permet aux équipes à terre de surveiller les navires en temps réel et de réagir lorsqu’une connexion est possible.
- La riposte et l’élimination automatisées permettent de supprimer les menaces lorsqu’une connexion internet est impossible.
Après une série d’attaques par ransomware ayant causé de graves problèmes sur les navires, la société d’expédition a demandé à IBM® de sécuriser son infrastructure. Un premier contrôle de la sécurité a montré qu’un grand nombre de navires étaient déjà infectés par divers logiciels malveillants, notamment des chevaux de Troie, parfois en accès à distance, et des reverse shells.Toutes les infections identifiées ont été analysées et supprimées, puis le logiciel IBM® Security QRadar EDR a été reconfiguré pour s’aligner sur les spécifications de la compagnie : le risque pour la poursuite des activités devait être minimisé tout en garantissant qu’il n’y ait pas de perte de données lorsque la connexion internet serait impossible. Le transfert de données devait également être réduit pour éviter de saturer la connexion par satellite, essentielle aux opérations quotidiennes.
Contrôle de la sécurité
Après le déploiement initial, QRadar EDR a immédiatement signalé une série de comportements anormaux et les a rapidement traités puis éliminés. La majorité des logiciels malveillants avaient été embarqués par des membres d’équipage, tandis que d’autres provenaient de contenus téléchargés à partir de terminaux connectés à internet. Une campagne de traque des menaces a été lancée et a révélé quelques cas de logiciels malveillants « dormants » attendant qu’un opérateur se connecte pour prendre le contrôle à distance. Ils ont eux aussi été éliminés et une période d’observation de sept jours a suivi. Après avoir confirmé l’absence d’autres anomalies, IBM® a reconfiguré la plateforme pour qu’elle fonctionne selon les paramètres de la compagnie, à savoir une utilisation optimale des données et un risque limité d’interruption des activités.
Gestion quotidienne
Pour centraliser la gestion des bateaux, IBM® et la compagnie maritime ont installé un tableau de bord de sécurité dans la base principale de l’entreprise. Sur les navires, où les réseaux de bord sont unifiés et où un seul terminal est connecté à internet, IBM® a créé un canal sécurisé pour permettre à tous les terminaux, y compris ceux de l’équipage, de transmettre les données QRadar EDR (et uniquement celles-là) à la base principale, où une équipe d’analystes surveille et réagit aux incidents éventuels.
Lorsqu’il est prévu qu’un navire se retrouve hors ligne, la compagnie maritime active la fonction de protection contre les ransomwares de QRadar EDR, les ransomwares étant les seuls vecteurs malveillants susceptibles de mettre en danger les données. Une infection par un cheval de Troie, à distance ou non, n’aurait eu aucun effet immédiat, en raison de l’absence de connexion. Tous les autres phénomènes sont surveillés et les données de suivi sont archivées localement, afin d’être transmises dès que l’accès au réseau est à nouveau disponible.
Au cours des trois mois suivants, la compagnie de transport maritime a utilisé QRadar EDR pour empêcher 24 attaques de ransomware, repérer et éliminer plusieurs douzaines de menaces différentes (principalement par cheval de Troie d’accès à distance, « RAT »), et empêcher la perte de données. Sans cette solution, le fonctionnement des navires aurait été menacé et des données vitales auraient été indisponibles pour l’équipage dans les moments difficiles, créant des retards de livraisons et nécessitant de coûteuses opérations d’intervention d’urgence.
Aspects juridiques
© Copyright IBM Corporation 2023. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Produit aux Etats-Unis, juillet 2023.
IBM®, le logo IBM®, IBM® Security et QRadar sont des marques d’International Business Machines Corporation, déposées dans de nombreux pays. Les autres noms de produits et de services peuvent être des marques d’IBM® ou d’autres sociétés. La liste actualisée de toutes les marques d’IBM® est disponible sur ibm.com/trademark.
Les informations contenues dans le présent document sont à jour à la date de publication initiale et peuvent être modifiées sans préavis par IBM. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.
Toutes les références clients mentionnées ou décrites illustrent la façon dont certains clients ont utilisé les produits IBM et précisent les résultats qu'ils ont pu obtenir. Les chiffres réels en termes de coûts environnementaux et de performances peuvent varier d'un client à l'autre en fonction de la configuration et des conditions de fonctionnement. En général, les résultats attendus ne peuvent pas être garantis, car les résultats de chaque client dépendent entièrement des systèmes du client et des services commandés. LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L'ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET TOUTE GARANTIE OU CONDITION D'ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.
Déclaration sur les bonnes pratiques de sécurité : aucun système ou produit informatique ne doit être complètement sécurisé, et aucun produit, service ou mesure de sécurité ne peut être totalement efficace pour empêcher une utilisation ou un accès non autorisé. IBM ne garantit pas qu’un système, produit ou service, quel qu’il soit, est à l’abri, ou mettra votre entreprise à l’abri, de la conduite malveillante ou illégale de quelque partie que ce soit.