My IBM Se connecter
Éviter les attaques de logiciels rançonneurs et de logiciels malveillants

Éviter les attaques de logiciels rançonneurs et de logiciels malveillants
Une compagnie maritime internationale déploie la sécurité automatisée des terminaux de ses navires dont la connexion par satellite est limitée
Vue aérienne d’un cargo en mer transportant des conteneurs

Une compagnie maritime internationale gère une importante flotte de navires, qui se retrouvent régulièrement hors ligne ou avec une connexion satellite limitée. La compagnie, dont l’équipage a accès aux ordinateurs des bateaux, cherchait un moyen de lutter rapidement contre les logiciels malveillants et autres risques de sécurité, même lorsque les navires se trouvent en mer sans aucune connexion, afin d’éviter la perte de données internes.

Le défi

  • La solution habituellement utilisée avait échoué à plusieurs reprises à détecter les logiciels malveillants et les ransomware.
  • Les signatures de la solution habituellement utilisée n’avaient presque jamais été mises à jour, en raison d’une bande passante et d’une connexion restreintes.
  • Impossibilité d’effectuer une surveillance 24h/24 et 7j/7 à cause de l’absence de connexion internet.
  • Pas de personnel de cybersécurité à bord et un équipage non formé.
  • Des appareils non autorisés étaient souvent branchés sur les ordinateurs des navires.

Les navires représentent un environnement unique, car ils peuvent rester en mer durant des mois. La connexion internet est intermittente et la bande passante reste souvent limitée et coûteuse. Les équipages n’ont souvent aucune formation en cybersécurité et peuvent être amenés à embarquer des appareils dangereux et non sécurisés contenant des logiciels malveillants et des ransomware. En raison des processus internes existants, il n’est pas possible de bloquer les appareils externes sans créer de nouveaux problèmes. Ces équipements sont de plus essentiels au fonctionnement normal et peuvent être remplacés à tout moment en cas d’imprévu. En cas d’infection par un logiciel malveillant ou un ransomware, le temps de réponse est critique, mais l’accès en temps réel est rarement disponible car les navires naviguent souvent dans des conditions défavorables ou dans des zones isolées.

Sécurité renforcée

 

Sur trois mois, IBM® Security QRadar EDR a permis à la compagnie de bloquer 24 attaques de ransomware

Une solution efficace

 

Des pertes de données ont été évitées en repérant et en éliminant des dizaines d’autres attaques
Détection et élimination

Détection et élimination

La solution

  • Installation d'IBM® Security QRadar EDR sur les terminaux de tous les navires.
  • Le faible débit des données permet aux équipes à terre de surveiller les navires en temps réel et de réagir lorsqu’une connexion est possible.
  • La riposte et l’élimination automatisées permettent de supprimer les menaces lorsqu’une connexion internet est impossible.

Après une série d’attaques par ransomware ayant causé de graves problèmes sur les navires, la société d’expédition a demandé à IBM® de sécuriser son infrastructure. Un premier contrôle de la sécurité a montré qu’un grand nombre de navires étaient déjà infectés par divers logiciels malveillants, notamment des chevaux de Troie, parfois en accès à distance, et des reverse shells.Toutes les infections identifiées ont été analysées et supprimées, puis le logiciel IBM® Security QRadar EDR a été reconfiguré pour s’aligner sur les spécifications de la compagnie : le risque pour la poursuite des activités devait être minimisé tout en garantissant qu’il n’y ait pas de perte de données lorsque la connexion internet serait impossible. Le transfert de données devait également être réduit pour éviter de saturer la connexion par satellite, essentielle aux opérations quotidiennes.

 

Contrôle de la sécurité

Après le déploiement initial, QRadar EDR a immédiatement signalé une série de comportements anormaux et les a rapidement traités puis éliminés. La majorité des logiciels malveillants avaient été embarqués par des membres d’équipage, tandis que d’autres provenaient de contenus téléchargés à partir de terminaux connectés à internet. Une campagne de traque des menaces a été lancée et a révélé quelques cas de logiciels malveillants « dormants » attendant qu’un opérateur se connecte pour prendre le contrôle à distance. Ils ont eux aussi été éliminés et une période d’observation de sept jours a suivi. Après avoir confirmé l’absence d’autres anomalies, IBM® a reconfiguré la plateforme pour qu’elle fonctionne selon les paramètres de la compagnie, à savoir une utilisation optimale des données et un risque limité d’interruption des activités.

 

Gestion quotidienne

Pour centraliser la gestion des bateaux, IBM® et la compagnie maritime ont installé un tableau de bord de sécurité dans la base principale de l’entreprise. Sur les navires, où les réseaux de bord sont unifiés et où un seul terminal est connecté à internet, IBM® a créé un canal sécurisé pour permettre à tous les terminaux, y compris ceux de l’équipage, de transmettre les données QRadar EDR (et uniquement celles-là) à la base principale, où une équipe d’analystes surveille et réagit aux incidents éventuels.

Lorsqu’il est prévu qu’un navire se retrouve hors ligne, la compagnie maritime active la fonction de protection contre les ransomwares de QRadar EDR, les ransomwares étant les seuls vecteurs malveillants susceptibles de mettre en danger les données. Une infection par un cheval de Troie, à distance ou non, n’aurait eu aucun effet immédiat, en raison de l’absence de connexion. Tous les autres phénomènes sont surveillés et les données de suivi sont archivées localement, afin d’être transmises dès que l’accès au réseau est à nouveau disponible.
Éviter la perte de données

Éviter la perte de données

Au cours des trois mois suivants, la compagnie de transport maritime a utilisé QRadar EDR pour empêcher 24 attaques de ransomware, repérer et éliminer plusieurs douzaines de menaces différentes (principalement par cheval de Troie d’accès à distance, « RAT »), et empêcher la perte de données. Sans cette solution, le fonctionnement des navires aurait été menacé et des données vitales auraient été indisponibles pour l’équipage dans les moments difficiles, créant des retards de livraisons et nécessitant de coûteuses opérations d’intervention d’urgence.
A propos de la compagnie maritime internationale

A propos de la compagnie maritime internationale

Cette importante compagnie maritime internationale gère plus de 200 navires qui transportent des marchandises dans le monde entier.

 

 Composant de la solution IBM Security QRadar EDR
À suivre :
Voir l’étude de cas PDF Abonnez-vous à la newsletter IBM Un grand aéroport international

Recherche de logiciels malveillants au sein d’un réseau de type air-gap à l’aide d’IBM Security QRadar EDR

Lire l’étude de cas Infrastructure critique

Suivi d’une attaque très sophistiquée contre la chaîne d’approvisionnement d’une station d’épuration des eaux

 Lire l’étude de cas
Aspects juridiques

© Copyright IBM Corporation 2023. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504

Produit aux Etats-Unis, juillet 2023.

IBM®, le logo IBM®, IBM® Security et QRadar sont des marques d’International Business Machines Corporation, déposées dans de nombreux pays. Les autres noms de produits et de services peuvent être des marques d’IBM® ou d’autres sociétés. La liste actualisée de toutes les marques d’IBM® est disponible sur ibm.com/trademark.

Les informations contenues dans le présent document sont à jour à la date de publication initiale et peuvent être modifiées sans préavis par IBM. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.

Toutes les références clients mentionnées ou décrites illustrent la façon dont certains clients ont utilisé les produits IBM et précisent les résultats qu'ils ont pu obtenir. Les chiffres réels en termes de coûts environnementaux et de performances peuvent varier d'un client à l'autre en fonction de la configuration et des conditions de fonctionnement. En général, les résultats attendus ne peuvent pas être garantis, car les résultats de chaque client dépendent entièrement des systèmes du client et des services commandés. LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L'ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET TOUTE GARANTIE OU CONDITION D'ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.

 Déclaration sur les bonnes pratiques de sécurité : aucun système ou produit informatique ne doit être complètement sécurisé, et aucun produit, service ou mesure de sécurité ne peut être totalement efficace pour empêcher une utilisation ou un accès non autorisé.  IBM ne garantit pas qu’un système, produit ou service, quel qu’il soit, est à l’abri, ou mettra votre entreprise à l’abri, de la conduite malveillante ou illégale de quelque partie que ce soit.

 
Produits Essais gratuits de logiciels IBM Réductions et offres spéciales Services Secteurs d'activité Études de cas Financement Nos partenaires stratégiques Rechercher un partenaire commercial Partenaires commerciaux - IBM Partner Plus Devenir partenaire - IBM Partner Plus Se connecter à IBM Partner Plus IBM Consulting IBM Research Développeurs Support À propos d'IBM Contacter IBM Carrières et emplois Evénements IBM Innovation Studio Relation investisseurs Newsroom LinkedIn Youtube Podcasts en français Podcasts en anglais Blogs IBM TechXchange Community Recevoir les toutes dernières actualités L'expérience utilisateur IBM France — Français Contact Données personnelles Conditions d'utilisation Accessibilité