Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Maison670 vulnérabilités ICS divulguées par la CISA au premier semestre 2023 : analyse
CISA a divulgué 670 vulnérabilités ICS au cours du premier semestre 2023, mais environ un tiers ne disposent d'aucun correctif ou atténuation de la part du fournisseur.
Par
Tableau à feuilles mobiles
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a divulgué 670 vulnérabilités affectant les systèmes de contrôle industriel (ICS) et d'autres produits de technologie opérationnelle (OT) au premier semestre 2023, selon la société de surveillance des actifs industriels et des réseaux SynSaber.
L'analyse de SynSaber, menée en collaboration avec l'ICS Advisory Project, montre que la CISA a publié 185 avis ICS au premier semestre 2023, contre 205 au premier semestre 2022. Le nombre de vulnérabilités couvertes dans ces avis a chuté de 1,6 % au premier semestre. 2023 par rapport au S1 2022.
Plus de 40 % des failles impactent les logiciels et 26 % affectent les firmwares. Les constructeurs OEM ont continué à signaler la plupart de ces vulnérabilités (plus de 50 %), suivis par les fournisseurs de sécurité (28 %) et les chercheurs indépendants (9 %).
L’industrie manufacturière critique et l’énergie sont les secteurs d’infrastructures critiques les plus susceptibles d’être touchés par les CVE signalés au premier semestre 2023.
Parmi les CVE divulgués au premier semestre 2023, 88 ont été classés « critiques » et 349 ont été classés « de haute gravité ». Plus de 100 failles nécessitent à la fois un accès local/physique au système ciblé et une interaction de l'utilisateur, et 163 nécessitent un certain type d'interaction de l'utilisateur, quelle que soit la disponibilité du réseau.
Trente-quatre pour cent des vulnérabilités signalées ne disposent pas de correctif ou de solution corrective disponible auprès du fournisseur, contre 13 % au premier semestre 2022, mais à peu près le même qu'au second semestre 2022.
L'augmentation au premier semestre 2023 est en partie due à un avis de Siemens qui couvre plus de 100 CVE affectant le noyau Linux, pour lesquels les correctifs n'ont pas encore été publiés par le géant industriel. De plus, de nombreuses vulnérabilités qui ne recevront pas de correctif affectent les produits non pris en charge.
Le rapport SynSaber fournit également des informations qui peuvent aider les organisations à prioriser les vulnérabilités en fonction de divers facteurs.
« Chaque environnement OT est unique et spécialement conçu pour une mission spécifique », a déclaré Jori VanAntwerp, co-fondateur et PDG de SynSaber. « En conséquence, la probabilité d’exploitation et d’impact variera considérablement d’une organisation à l’autre. Une chose est sûre : le nombre de CVE signalés va probablement continuer à augmenter au fil du temps ou du moins rester stable. Nous espérons que cette recherche aidera les propriétaires d’actifs à prioriser quand et comment atténuer les vulnérabilités en fonction de leur propre environnement.
En rapport: Compter les vulnérabilités ICS : examen des variations des chiffres signalés par les entreprises de sécurité
En rapport: Siemens est à l'origine de l'augmentation des vulnérabilités ICS découvertes en 2022 : rapport
Eduard Kovacs (@EduardKovacs) est rédacteur en chef chez SecurityWeek. Il a travaillé comme professeur d'informatique au lycée pendant deux ans avant de commencer une carrière dans le journalisme en tant que journaliste de sécurité pour Softpedia. Eduard est titulaire d'un baccalauréat en informatique industrielle et d'une maîtrise en techniques informatiques appliquées au génie électrique.
Abonnez-vous au briefing par e-mail SecurityWeek pour rester informé des dernières menaces, tendances et technologies, ainsi que des chroniques perspicaces d'experts du secteur.
Rejoignez des experts en sécurité pour discuter du potentiel inexploité de ZTNA en matière de réduction des cyber-risques et de responsabilisation de l'entreprise.
Rejoignez Microsoft et Finite State pour un webinaire qui présentera une nouvelle stratégie de sécurisation de la chaîne d'approvisionnement logicielle.
Même si les attaques quantiques sont encore à venir, les organisations doivent réfléchir à la manière de défendre les données en transit lorsque le chiffrement ne fonctionne plus. (Marie Hattar)
Tout comme une équipe de football professionnelle a besoin de coordination, de stratégie et d’adaptabilité pour remporter la victoire sur le terrain, une stratégie de cybersécurité complète doit répondre à des défis et à des menaces spécifiques. (Matt Wilson)