La convergence des réseaux IT et OT est une réalité qui s’est accélérée avec la crise sanitaire. Sécuriser cette réalité n’est pourtant pas une mince affaire. Une première étape consiste à offrir à son réseau OT une visibilité à la hauteur du réseau IT. La deuxième consiste à être en mesure d’identifier les cyber-menaces qui pèsent sur l’OT.

Par Galina Antova, spécialiste de la sécurité des environnements OT, co-fondatrice et Chief Business Development de Claroty

Le précédent billet consacré à la sécurité des environnements industriels montrait pourquoi il est essentiel de disposer d’une visibilité granulaire en temps réel sur les actifs, les réseaux et les processus opérationnels (OT) pour espérer pouvoir identifier les cyber-menaces qui pèsent sur les environnements industriels et s’en protéger.

Mais la visibilité n’est que la première étape : une fois que l’on peut « voir » le terrain, encore faut-il être en mesure d’identifier rapidement et précisément les menaces qui s’y cachent !

Et dans ce domaine encore, tout comme pour la visibilité, les équipes de sécurité informatique sont souvent confrontées à des défis propres à l’OT lorsqu’elles doivent détecter les menaces dans ces environnements industriels.

Incompatibilité avec les outils traditionnels

Un obstacle important à une détection précise des menaces dans les environnements industriels est l’utilisation par les équipements en charge de gérer les réseaux OT de protocoles propriétaires, propres à chaque fournisseur, qui ne peuvent être aisément déchiffrés et analysés par les outils traditionnels de détection des menaces. Néanmoins, de nombreuses organisations persistent à croire que leurs outils traditionnels de détection des menaces informatiques vont fonctionner dans les environnements OT.

Hélas, les équipes de sécurité qui tentent d’utiliser ces outils traditionnels ont tendance à finir par être inondées de faux positifs et négatifs, ce qui exacerbe les difficultés bien connues de la supervision (lassitude face à trop d’alertes notamment), tout en ne contribuant guère à la protection de l’environnement d’OT et — ce qui est plus grave — en donnant une fausse impression sécurité.

Taille et complexité des environnements d’OT

S’il est bien sûr essentiel de définir un profil d’usage normal pour tous les actifs et les processus OT, afin d’être en mesure d’identifier le moment venu les anomalies susceptibles d’indiquer la présence d’une menace, il s’agit en réalité d’une opération généralement très gourmande en ressources, principalement à cause de la taille importante des réseaux OT, leur hétérogénéité et des questions de visibilité déjà abordées dans le billet précédent.

Et pour compliquer encore les choses, les actifs OT peuvent avoir une durée de vie de plusieurs décennies. Cela fait qu’à moins d’avoir été renouvelés récemment, la plupart des équipements OT en service aujourd’hui ne présentent pas les caractéristiques de sécurité que nous considérons comme acquises pour les équipements d’informatique de gestion traditionnelle.

Convergence IT-OT

La transformation numérique des infrastructures industrielles a conduit à une inter-connectivité accrue entre les environnements informatiques traditionnels et OT. Et bien que cette convergence apporte de nombreux avantages, notamment en termes d’efficacité, elle expose dans le même temps les systèmes OT, historiquement isolés, à des menaces très dynamiques et jusqu’à présent inconnues de ces environnements, pour lesquelles ils n’ont jamais été conçus

Et de fait, souvent en raison d’une mauvaise segmentation entre les environnements informatiques de gestion et industriels, on a pu constater ces dernières années une augmentation notable des incidents au cours desquels des logiciels malveillants se propagent aisément aux réseaux OT après avoir infecté le réseau informatique d’une entreprise.

Des adversaires sophistiqués

Compte tenu de leur importance économique ou stratégique d’une part et de leur prédisposition à une sécurité insuffisante d’autre part, les réseaux OT ont tendance à être des cibles privilégiées des États-nations ou des groupes de pirates avancés (APT). Tous deux sont notamment réputés pour leur capacité à tirer parti de vulnérabilités dites « zero-day » (inconnues de la communauté et donc plus difficiles à détecter avec des signatures) afin de mener des attaques ciblées perfectionnées.

Les réseaux OT sont donc essentiels, précieux et potentiellement ciblés par des adversaires très compétents aux ressources importantes. Mais en face, de quoi disposent donc les défenseurs ? Comme la plupart des solutions de détection des menaces traditionnelles ne sont pas capables de disséquer — et donc de comprendre — les protocoles propriétaires des environnements OT, ces adversaires perfectionnés peuvent potentiellement lancer des attaques parfaitement capables de passer sous le radar.

Renseignement sur la menace limité

Le renseignement sur les menaces est essentiel dans la détection des menaces OT, comme d’ailleurs pour tout type d’environnement. Mais la grande majorité des flux de Threat Intelligence actuels concerne les réseaux informatiques traditionnels : les signatures et les IoCs spécifiques aux menaces OT sont rares. Et inutile d’espérer « recycler » des flux destinés à l’informatique traditionnelle : les différences entre les deux environnements sont telles qu’ils seront quasiment inutilisables. Ainsi l’accès rapide aux renseignements sur les menaces OT est difficile, et cela handicape la prise de mesures efficace et en temps court pour la défense des réseaux industriels.

Critères de détection des menaces OT

Toutes ces limitations militent pour l’établissement de critères de détection spécifiques aux environnements OT. Voici quelques pistes de réflexion pour améliorer la protection des environnements informatiques industriels :

Être en capacité de détecter des anomalies d’usage. Pour cela, il est nécessaire de pouvoir traiter les protocoles spécifiques au monde OT pour identifier tout type de comportement inhabituel sur ces réseaux, qu’il s’agisse des changements de fonctions utilisées par les interfaces homme-machine (IHM) ou des noms de balises spécifiques. Et cela vaut aussi pour le versant opérationnel (téléchargement/chargement de configuration, changement d’état des clés, mise à jour des microprogrammes…)

Disposer d’une base de comportements malveillants dédiée à l’OT. Cela permettra d’identifier les techniques connues qui ont été utilisées par les attaquants spécifiquement dans des environnements OT (tels que le scan TAG/adresse ou les attaques de type man-in-the-middle entre équipements OT. En plus des modèles de sécurité connus de l’informatique traditionnelle, bien entendu.

Disposer d’une base de menaces OT connues. Il est bien entendu possible d’utiliser SNORT et des règles YARA dans les environnements OT. Mais il faut s’assurer au préalable de pouvoir les alimenter avec des bases données de signatures et d’indicateurs de compromission spécifiques aux attaques OT.

La spécificité des réseaux industriels ne peut désormais plus les protéger des cyber-attaques, maintenant qu’ils sont largement interconnectés au reste du monde. Pire : si seuls les attaquants en maîtrisent les rouages et les vulnérabilités, les organisations sont à risque de perdre le contrôle de ces réseaux souvent critiques !
Il est donc temps d’appliquer aux réseaux OT la même expertise et le même niveau de sécurité que ce que l’on connaît pour l’informatique de gestion.