"Aujourd’hui, les infrastructures critiques américaines ne sont plus isolées du monde extérieur comme elles l’étaient autrefois. L’interconnexion de ces actifs, dispositifs et systèmes avec des tiers tout au long de la chaîne d’approvisionnement en logiciels et au sein d’un écosystème de services rend l’identification des voies d’attaque plus difficile que jamais. À cela s’ajoute le fait que tout conflit entre deux États-nations peut désormais avoir des répercussions cybernétiques sur tous les autres pays, comme cela a été le cas avec les attaques contre Unitronics soutenues par l’Iran.
Ce terrible avertissement devrait envoyer un signal immédiat aux opérateurs de systèmes de fabrication et de contrôle industriel - dans les secteurs public et privé - pour leur dire qu’il est temps d’évaluer activement leur position en matière de risques et de rechercher les vulnérabilités qui ne demandent qu’à être révélées. Il n’est pas acceptable que des adversaires aient une meilleure connaissance des actifs d’une installation que les défenseurs. Cette situation peut être résolue avec les personnes, les processus et la technologie actuels.
L’OT et l’IoT sont partout dans notre surface d’attaque moderne, et les mauvais acteurs comprennent que la compromission d’un seul actif faisant face à l’extérieur ou d’une identité mal configurée (comme ce fut le cas lors de la récente violation des systèmes de messagerie interne de Microsoft par Midnight Blizzard) pourrait leur donner un accès illimité afin qu’ils puissent se mettre à l’affût pour lancer des attaques. Les récentes attaques contre Colonial Pipeline et nos usines de traitement des eaux prouvent que les acteurs malveillants ne sont qu’à quelques clics d’avoir un impact sur le monde réel".