Emmanuel Le Bohec, Directeur France de Claroty, spécialiste de la cybersécurité industrielle, revient sur six mesures concrètes à mettre en place pour renforcer drastiquement la cybersécurité de ces environnements sensibles.

Au cours des deux dernières années, plusieurs évènements majeurs ont mis en évidence la forte exposition aux cyberattaques de nombreuses opérations et infrastructures essentielles et critiques notamment au sein d’entreprises industrielles ou de santé (constituées de réseaux OT) ou encore en lien avec l’Internet étendu des objets (XIoT) :

• La transformation numérique s’est accélérée : La connectivité – de l’OT (technologies opérationnelles) à l’IT et jusqu’au Cloud – permettant aux entreprises de gagner en efficacité et en rentabilité a fait un bond en avant. Mais cette hyperconnectivité a créé une surface d’attaque bien plus vaste et expose des vulnérabilités qui sont une aubaine pour les cybercriminels.
• Les ransomwares s’en prennent désormais aux entreprises : Les cybercriminels ne se contentent plus de verrouiller les données personnelles et l’ordinateur portable d’un individu, ils aspirent désormais à la mise à l’arrêt d’usines ou de réseaux de transport d’énergie comme nous avons pu le voir aux États-Unis avec l’attaque contre Colonial Pipeline. L’absence de réponse forte de la part des États a tendance à enhardir les pirates informatiques, les encourageant à déplacer la ligne qu’ils sont prêts à franchir encore un peu plus loin dans la mauvaise direction.
• Les États redoublent de créativité : La vague d’attaques ciblant les chaines d’approvisionnement (Supply chain) qui ont visé des entreprises telles que SolarWinds, Accellion et Kaseya, pour n’en citer que quelques-unes, a eu des répercussions sur des millions d’utilisateurs. Par leur ampleur et leur nature furtive, ces attaques ont mis au jour les capacités avancées et les portes dérobées utilisées par des groupes d’attaquants suspectés d’être sponsorisés par des États, et elles nous ont fait prendre conscience de nombreuses défaillances graves en matière de cybersécurité.
• La cyberguerre sur les infrastructures essentielles est ouverte : Alors que la guerre entre la Russie et l’Ukraine s’est installée dans la durée, les services de renseignement indiquent que les entreprises qui gèrent des infrastructures essentielles doivent se prépareren prévision d’attaques potentiellement perturbatrices voire destructrices contre les réseaux OT. En conséquence, plusieurs gouvernements lancent des initiatives et promulguent des lois visant à mieux sécuriser les infrastructures essentielles.

Le principal avantage détenu par ceux qui doivent se défendre contre ces attaques est qu’ils connaissent mieux leurs réseaux que l’adversaire… L’état d’alerte dans lequel nous nous trouvons doit inciter les entreprises à travailler rapidement – si ça n’est pas déjà fait – à l’amélioration de leur posture de sécurité et de mettre en place des mesures d’urgence en cas d’incident.

Pour les RSSI et responsables de la sécurité OT dans leur tâche, voici 6 mesures concrètes à mettre en place pour parvenir à des opérations plus sûres et plus intelligentes.

A lire aussi : Réutilisation des données, altruisme, intermédiation… Le Data Act approuvé

• Visibilité contextualisée des actifs et des risques :

Disposer d’une visibilité sur tous les actifs, avec des données de contexte qui permettent de comprendre sa position de risque, est un excellent premier pas pour se préparer de manière proactive et se concentrer sur les voies d’attaque probables. Cet examen va des vulnérabilités aux erreurs de configuration, en passant par une mauvaise « hygiène de sécurité », des mécanismes d’accès à distance non fiables et des dispositifs connectés dont nous n’aurions pas connaissance ou qui ne seraient pas surveillés.

Action : Déploiement d’un système de détection d’intrusion passif permettant une cartographie intégrant une évaluation des risques, conforme à la norme IEC 62443 (l’un des seuls standards dédiés aux environnements industriels).

• Définition de stratégie et d’un programme de cybersécurité des OT

Les équipes IT et OT accordent une priorité différente aux principes de la triade CID (CIA en anglais), modèle de sécurité incontournable composé de trois principes indispensables à la protection de l’information à savoir la Confidentialité, l’Intégrité et la Disponibilité. Le respect des priorités, l’identification d’outils et de processus permettant de répondre aux objectifs des différentes équipes et la centralisation des responsabilités entre les mains du RSSI sont autant de bonnes pratiques destinées à favoriser l’alignement entre les parties prenantes du service informatique, de l’entreprise et des OT.

Action : Élaboration d’une stratégie de sécurité et conception architecturale du programme OT, comprenant également la définition du système de gestion de la cybersécurité (CSMS) et de cadre de gouvernance.

• Évaluation des menaces OT

Une évaluation de la posture de sécurité permet d’apprécier le niveau de sécurité de son réseau OT et l’écart par rapport à la situation souhaitée pour atténuer le risque. La mise en corrélation des résultats avec des actions et l’échange avec les principales parties prenantes, y compris le conseil d’administration, aideront l’organisation à aborder des initiatives telles que le télétravail, la télémaintenance, l’utilisation des appareils XIoT et l’environnement OT lui-même, afin d’atteindre les résultats commerciaux stratégiques en toute sécurité. 

Action : Évaluation du risque commercial et financier, spécifique à son organisation, en adéquation avec les principaux facteurs commerciaux.

• Préparation de la réponse aux incidents :

Idéalement, les responsables IT/OT ont pris des mesures proactives pour protéger les systèmes les plus importants et les processus critiques contre les principales menaces. Mais même la stratégie de cyberdéfense la plus efficace ne peut éliminer totalement le risque. Il est donc indispensable de toujours se préparer de manière proactive à un incident afin de connaître toutes les mesures qui seront prises, ainsi que les personnes, les processus et les technologies impliqués dans la réponse. 

Action : Développement de guides à suivre et test des capacités de réponse.

• Accès à distance sécurisé et segmentation du réseau

De nouveaux vecteurs d’attaque apparaissent car de nombreux systèmes et dispositifs qui permettent aux processus et aux applications métier de communiquer entre les environnements n’ont pas nécessairement été conçus pour coexister et interagir en toute sécurité. Les organisations doivent être en mesure d’identifier les appareils connectés, de contrôler l’accès des utilisateurs aux appareils et aux processus de manière granulaire et d’être alertées des communications et des comportements non fiables sur le réseau afin de raccourcir le temps de réponse. 

Action : Mise en œuvre de contrôles de sécurité significatifs et hiérarchisés, tels que l’accès à distance sécurisé (SRA), la gestion des accès privilégiés (PAM) et la segmentation virtuelle, en s’appuyant sur un cadre Zero-Trust.

• Sécurité intégrée et gérée

Pour rester efficaces, la détection et la surveillance des menaces doivent être traitées comme un processus continu : il ne suffit pas de tout paramétrer, puis de ne plus y penser. Il faut également un écosystème d’intégrations favorisant une connectivité transparente entre les programmes de sécurité OT et IT, ce qui permet aux RSSI d’exécuter plus efficacement une stratégie complète de gestion des risques à l’échelle de l’entreprise. 

Action : Identification et mise en place de services de sécurité gérés robustes et reproductibles, pour une surveillance et des alertes permanentes alignées sur le programme de gestion des menaces. Les intégrations sont un élément essentiel pour des opérations sûres et intelligentes.