Le nombre de CVE signalés via les avis ICS a augmenté chaque année, 2020-2021 ayant enregistré une augmentation de 67,3 % des CVE ICS CISA, tandis que 2021-2022 a enregistré une augmentation de 2 %, selon un nouveau rapport de SynSaber.
Le volume croissant de vulnérabilités met en évidence les efforts continus pour sécuriser les systèmes ICS essentiels à l’infrastructure d’énergie, de fabrication, d’eau et de transport d’un pays. L’accent est également mis de plus en plus sur la réglementation, ce qui signifie que les opérateurs d’infrastructures critiques sont soumis à une pression accrue pour analyser, atténuer et signaler les vulnérabilités nouvelles et existantes
“Le volume de vulnérabilités ICS signalées augmente à un rythme exponentiel, créant plus de fatigue d’alerte et d’apathie potentielle au sein de l’écosystème ICS/OT », déclare Jori VanAntwerp, co-fondateur et PDG de SynSaber.”Ce rapport met en évidence l’excellent travail accompli par les fabricants, la CISA, les chercheurs et les fournisseurs pour divulguer les vulnérabilités, tout en reconnaissant la nécessité de plus de contexte autour de ces CVE pour déterminer ce qui doit être corrigé et corrigé afin de protéger notre sécurité nationale et notre infrastructure.”
Au cours de la période de trois ans à partir de 2020, 21,2 % des CVE signalés n’ont actuellement aucun correctif ou correction disponible. Exiger qu’un utilisateur interagisse pour exploiter la vulnérabilité est présent dans en moyenne un quart de tous les CVE publiés depuis 2020 (22 % en 2020, 35 % en 2021, 29 % en 2022).
“Il est essentiel de se rappeler qu’il ne suffit pas de patcher ICS. En plus des barrières opérationnelles à l’entrée, il existe un certain nombre de défis pratiques à la mise à jour des systèmes industriels. ICS a non seulement des composants logiciels à mettre à jour, mais aussi des micrologiciels d’appareils et des défis architecturaux qui peut impliquer la mise à jour de protocoles entiers », déclare Ron Fabela, co-fondateur et CTO de SynSaber.”Chacune présente un niveau de risque qui doit être pris en compte lors de la hiérarchisation des activités. Par exemple, la mise à niveau du micrologiciel de l’appareil peut s’accompagner d’un risque important de”briquetage”du système, qui pourrait être difficile à récupérer.”
Le le rapport complet est disponible sur le site de SynSaber.
Crédit image : Gorodenkoff/Shutterstock