Cloud

Comprendre les freins à une bonne visibilité sur les réseaux industriels

Par La rédaction, publié le 16 septembre 2020

La convergence des réseaux IT et OT est une réalité qui s’est accélérée avec la crise sanitaire. Sécuriser cette réalité n’est pourtant pas une mince affaire. Une étape clé consiste à offrir à son réseau OT une visibilité à la hauteur de ce que les entreprises peuvent aujourd’hui obtenir avec leur IT. Mais les freins sont nombreux et parfois différents de ceux auxquels les RSSI et les DSI sont habitués…

Par Galina Antova, spécialiste de la sécurité des environnements OT, co-fondatrice et Chief Business Development de Claroty

Comme dans tous les domaines de la cybersécurité, une cybersécurité industrielle efficace se résume fondamentalement à la mise en œuvre de contrôles qui réduisent les risques. Facile, non ?

Mais une fois que c’est dit… par où commencer ? Là aussi la réponse semble évidente : dresser un inventaire complet du réseau, avec moult détails sur l’ensemble des actifs, leurs canaux de communications et les processus attachés.

Mais bien que tout cela paraisse assez simple, la réalité est tout autre : l’un des défis fondamentaux auquel font face les RSSI en la matière est que la visibilité sur les réseaux de technologie OT (technologie dite « opérationnelle », ou industrielle) est particulièrement difficile à obtenir en raison d’une multitude de facteurs.

Voici donc les principaux obstacles à une bonne visibilité sur les réseaux informatiques industriels…

Technologie non standardisée

Contrairement aux logiciels et au matériel informatique, le matériel d’OT peut avoir une durée de vie de plusieurs décennies. Ainsi, au fil des ans les entreprises ont tendance à accumuler un ensemble d’actifs industriels extrêmement variés sur leurs différents sites de production. Dans de nombreux cas, elles exploitent même un mélange de matériel (très) ancien et (un peu plus) nouveau, provenant de différents fournisseurs. Et pour compliquer encore les choses, tout cet environnement informatique est parfois largement réparti sur des dizaines, voire des centaines, de sites ou d’usines.

Protocoles propriétaires

Les équipements d’OT communiquent bien souvent en utilisant les protocoles propriétaires du vendeur qui les fabrique, et ceux-ci ne peuvent pas être déchiffrés en utilisant les outils de sécurité informatique traditionnels, qui ne sont capables que d’analyser les protocoles informatiques ouverts traditionnels. Ainsi, l’idée d’utiliser des outils de surveillance de la sécurité informatique traditionnelle pour gagner en visibilité sur les réseaux OT pourrait conduire à un faux sentiment de sécurité, ce qui est presque pire en termes de gestion des risques !

Coût des perturbations potentielles

Comme les réseaux d’OT ont tendance à être fragiles avec une bande passante limitée, l’utilisation de systèmes d’analyse de vulnérabilité traditionnels conçus pour les réseaux informatiques plus robustes et mieux desservis peut entraîner la défaillance des dispositifs industriels et conduire, dans certains cas extrêmes, à la mise hors service d’usines entières. Étant donné que de nombreux environnements de production dépendent de la continuité opérationnelle pour assurer leur rentabilité, le coût d’un inventaire complet de l’OT est ainsi souvent jugé prohibitif. D’un autre côté, comme le coût potentiel de l’ignorance des menaces sur ces équipements l’est tout autant aux yeux du RSSI, cette dynamique pose un véritable dilemme à de nombreuses organisations !

Accès à distance

Les connexions à distance sont couramment utilisées par les équipes du support technique ou par des fournisseurs tiers pour assurer la maintenance des actifs informatiques traditionnels. Dans ce contexte, une bonne visibilité sur ces sessions à distance est essentielle pour l’audit, la gestion du changement et l’évaluation des risques. Mais hélas, les solutions traditionnelles d’accès à distance aux réseaux bureautique ne sont pas adaptées aux environnements industriels.

Manque de données granulaires

Afin d’identifier et d’évaluer avec précision les menaces et les vulnérabilités, les équipes de sécurité informatique ont besoin d’une visibilité granulaire sur des attributs très variés tels que le modèle exact, la version du micrologiciel ou la configuration précise afin de faire correspondre les actifs aux CVE issues des bases de vulnérabilités, et ainsi identifier rapidement les plus vulnérables. Et bien qu’il y ait de nombreuses solutions d’inventaire dédiées à l’informatique industrielle, la plupart ne peuvent identifier les actifs que par des attributs de base. Ainsi, les RSSI ne devraient pas supposer qu’un fournisseur offre une visibilité significative sur leurs actifs industriels sans examiner les attributs spécifiques que la solution est capable d’identifier.

La visibilité doit être granulaire !

Ce dernier point est particulièrement important. Car pour surveiller et se défendre efficacement contre les menaces qui pèsent sur les environnements industriels, les équipes de sécurité ont besoin d’une visibilité fortement granulaire, en temps réel et en trois dimensions intégrales :

1- Visibilité des actifs

Pour identifier et évaluer avec précision les vulnérabilités, il est essentiel de disposer d’une visibilité détaillée de tous les appareils d’un réseau d’OT, couvrant des attributs étendus, tels que le numéro de modèle, la version du micrologiciel, les emplacements de la carte réseau, etc.

2- Visibilité du réseau

L’équipe sécurité a également besoin d’une visibilité et d’une surveillance approfondies de la bande passante, des actions et des changements effectués pendant toutes les sessions actives et passées qui ont lieu sur le réseau OT. Cette visibilité permet de détecter rapidement les erreurs de configuration, les surcharges de trafic et d’autres problèmes qui peuvent présenter des risques pour la fiabilité, la disponibilité et la sécurité des équipements (et en matière d’équipements industriels, dont une défaillance peut avoir des conséquences graves pour l’environnement ou le personnel, la rapidité d’identification des dysfonctionnements est un critère essentiel !)

3- Visibilité des processus

Être en mesure de suivre les opérations d’OT en détail jusque dans leur code (par exemple détecter les changements de section de code ou les valeurs des balises), est également crucial pour identifier les changements anormaux des processus d’OT ou les comportements inhabituels. Car cela peut alors indiquer une attaque précoce, des problèmes de fiabilité opérationnelle ou d’autres risques potentiels dans l’environnement industriel, qu’il convient de traiter au plus vite.

Ainsi, il est clair que si la visibilité est un facteur indispensable pour la sécurité des systèmes d’information traditionnels, elle ne l’est pas moins en matière d’informatique industrielle. Mais pour de trop nombreuses organisations encore, les spécificités des matériels et des réseaux de l’informatique industrielle ne sont pas suffisamment prises en compte par les solutions de sécurité génériques. La granularité dans la connaissance des configurations, des protocoles et configurations, notamment, n’est pas suffisante pour permettre de garantir le même niveau de sécurité que sur les réseaux de l’informatique bureautique.

Dans l'actualité