Un an après l’attaque contre Colonial Pipeline, l’ Administration de la sécurité des pipelines et des matières dangereuses du ministère des transports américain (PHMSA) demande à la société de payer près d’un million de dollars, au motif que le plan d’urgence en cas de ransomware n’était pas suffisant.

Colonial Pipeline confirms it paid $4.4m ransom to hacker gang after attack | Cybercrime | The Guardian

Le groupe Colonial transporte de l’essence, du diesel et du carburéacteur du Texas jusqu’à New York. On estime que 45 % de tout le carburant consommé sur la côte est des États-Unis passe par son réseau de pipelines. Entre les 6 et 7 mai 2021, ils ont subi une cyberattaque de type ransomware qui a utilisé les identifiants de connexion VPN d’un ancien utilisateur comme vecteur d’entrée. L’attaque a été menée par le groupe DarkSide, et l’entreprise a payé une rançon de 4,4 millions USD, dont elle a pu récupérer environ 2,3 millions USD.

L’ampleur de l’attaque a paralysé l’ensemble du système informatique de Colonial, incitant le président Joe Biden à déclarer l’état d’urgence le 9 mai. Dans cette déclaration, il a supprimé les limites imposées au transport de carburant par la route, afin d’essayer d’atténuer toute pénurie potentielle résultant de la fermeture des pipelines.

Une mauvaise planification face aux ransomwares

Un an plus tard, l’entreprise doit faire face à un autre paiement, mais cette fois sous la forme d’une amende civile de 986 400 dollars. Cette proposition d’amende de la PHMSA est le résultat d’une enquête menée entre janvier et novembre 2020, soit des mois avant la cyberattaque. Cette enquête a révélé « une incapacité probable à planifier et à préparer de manière adéquate l’arrêt et le redémarrage manuels de son réseau de pipelines ». Elle allègue en outre qu’elle a par conséquent « contribué aux impacts nationaux lorsque le pipeline est resté hors service après la cyberattaque de mai 2021 ».

Le rapport de la PHMSA énumère sept problèmes, tous associés à la gestion de la salle de contrôle. Cet atout serait l’équivalent du centre d’exploitation du réseau d’un département informatique. Les problèmes sont largement résumés dans les cinq points suivants :

  • Le fait de ne pas tenir des registres adéquats des tests opérationnels passés.
  • Le fait de ne pas tester et vérifier le fonctionnement des détecteurs d’alarme et d’anomalie.
  • Absence d’un plan préalable de récupération et de fonctionnement manuel en cas de défaillance du système.
  • Absence de vérification des processus et procédures de sauvegarde.
  • Absence de notification des contrôles de sécurité manquants ou temporairement supprimés.

Les incidents liés aux ransomwares ont continué à être une tendance ces dernières années. Selon un rapport d’Unit 42, le coût des ransomwares a plus que doublé en 2021 par rapport à 2020, plus de la moitié des entreprises déclarant finir par payer la rançon.

Comparaison de la demande/du paiement moyen de ransomware en 2020 et 2021.

En conclusion, une mauvaise politique de sécurité dans un environnement d’entreprise peut non seulement conduire au détournement d’informations sensibles de l’entreprise, mais aussi à des sanctions administratives dans des secteurs critiques.

Plus d’information:
https://www.phmsa.dot.gov/news/phmsa-issues-proposed-civil-penalty-nearly-1-million-colonial-pipeline-company-control-room
https://nakedsecurity.sophos.com/2022/05/10/colonial-pipeline-facing-1000000-fine-for-poor-recovery-plans/