Au-delà du protocole 802.1x : Contrôle et sécurité des réseaux

Depuis des décennies, l'industrie utilise la technologie IP pour optimiser les systèmes de contrôle. Mais à mesure que l'intégration numérique progresse, ces solutions isolées deviennent de plus en plus contrôlables par Internet.

Dans la pratique, cela conduit à une fusion des technologies de l'information (IT) et des technologies opérationnelles (OT). Cette frontière peu visible entre IT et OT peut poser de grands défis pour la sécurité des entreprises.

Aujourd’hui, la segmentation par listes noires (blacklisting) ou pare-feu ne suffit plus car le nombre de terminaux ne cesse d'augmenter. Aussi, pour que l’industrie soit la plus sécurisée possible, les terminaux doivent être détectés, segmentés et gérés de manière dynamique, et indépendamment de l'utilisation de technologies OT ou IT. Cependant, les caractéristiques différentes des deux domaines et les exigences auxquelles ils doivent répondre représentent un potentiel de risque important pour le secteur.

Dans ce contexte, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) a publié un ensemble de recommandations, à l’été 2018, pour apporter aux entreprises un premier niveau de réponse en matière de contrôle et de sécurité d’accès à leur réseau.
Face aux nouvelles menaces, comment être assuré d’une protection complète des réseaux locaux dédiés à la gestion des technologies OT et IT ?

Les entrepreneurs acceptent les lacunes en matière de sécurité par crainte de perdre des revenus

La charge de travail quotidienne des entreprises impose des exigences différentes en matière d’OT et d’IT. La technologie opérationnelle doit avant tout fournir des performances fiables afin de garantir la productivité et de générer des revenus. L'informatique, quant à elle, doit être capable de réagir avec souplesse aux changements et aux nouvelles menaces. Alors que le cycle de vie des solutions informatiques est relativement court et donc sujet à des changements constants, la durée de vie des appareils OT est beaucoup plus longue.

Par conséquent, à défaut de mise à jour des technologies OT, les mesures de protection interne sont souvent aussi anciennes que leur mise en service. Cela pose alors de sérieux problèmes/failles de sécurité au sein des entreprises. Leur âge peut parfois atteindre plusieurs décennies, de sorte qu'une protection adéquate de l'appareil n'est plus garantie. En outre, une mise à jour de ces normes de sécurité n'est souvent pas effectuée délibérément en fonction de la défaillance temporaire qu’elle pourrait entraîner. Afin d'installer de nouvelles normes de protection, l'appareil OT doit en effet être mis hors service pendant un certain temps.

Ainsi, de nombreuses entreprises ne sont pas prêtes à stopper/mettre en suspens leur productivité au risque d’une perte potentielle de revenus. Elles ont davantage tendance à forcer les mécanismes de sécurité de leurs appareils à devenir obsolètes. Ce faisant, ils exposent leur propre sécurité réseau à des dangers inutiles. Pour preuve, 71 % des appareils Android fonctionnaient, l’an passé, avec des correctifs de sécurité obsolètes[1], ayant au moins deux mois. A noter également, la détermination exacte de l'état de mise à jour dans les environnements de production est souvent entravée par le grand nombre de fabricants de machines et d'applications existants.

Les environnements OT sont exposés à des dangers constants

Le risque pour les environnements de technologie opérationnelle est réel : en raison de leurs mécanismes de sécurité souvent obsolètes, ils peuvent facilement être piratés de l'extérieur.

Et les conséquences d'une attaque réussie sont multiples. Au-delà d’infliger des dommages pouvant être irréversibles, elle peut impacter/stopper le fonctionnement de l’entreprise et c’est sans parler de la perte de données associées. Attardons-nous un peu plus sur ces risques. Dès lors qu'un tiers non autorisé a accès aux appareils OT, il peut régler leurs paramètres pour qu'ils surchauffent ou s'usent plus rapidement générant ainsi des dégâts importants sur les composants de la chaîne de travail. De plus, si les réglages d'un appareil piraté sont modifiés de telle sorte qu'il n'exécute pas certaines étapes de travail ou ne les exécute pas correctement, le produit devient défectueux et, dans le pire des cas, dangereux pour l'utilisateur final. L’entreprise voit alors son produit perdre en qualité et sa production possiblement freinée. Les appareils de technologie opérationnelle transmettent des données, dont ils ont besoin pour fonctionner. En cas d’attaque, de telles données souvent sensibles, sont très prisées par les pirates informatiques. Un dispositif compromis peut également servir de point d'entrée dans le réseau d'où d'autres attaques peuvent être lancées.

La visibilité du réseau pour améliorer la sécurité OT

De telles failles démontrent l'importance de la visibilité des appareils dans les réseaux. Une simple solution de contrôle d'accès au réseau, telle qu'utilisée par de nombreuses entreprises de l'industrie de l’OT n'est souvent pas suffisante car elle ne peut détecter tous les appareils connectés à un réseau.

Pour disposer d’une visibilité en temps réel des dispositifs qui se connectent sur leur réseau, les entreprises doivent s’appuyer sur une plateforme sécurisée qui détecte et gère automatiquement chaque connexion de périphérique sur le réseau. En outre, les outils existants devraient être invités à vérifier automatiquement les points d'extrémité après la connexion.

Face au risque cyber, il faut non seulement augmenter la sécurité du réseau, mais aussi la productivité en coordonnant les systèmes de sécurité qui se bloquent mutuellement. La solution mise en place pour l’entreprise doit être capable de détecter les périphériques du réseau, qu'ils supportent ou non les agents logiciels. Cela comprend les dispositifs dont les agents sont désactivés ou dont les ressources sont insuffisantes pour communiquer adéquatement avec les mesures de sécurité. Une solution sûre pour une sécurité d’entreprise à toute épreuve : quand on sait que les entreprises ont perdu en moyenne 400 000 euros à cause d’une attaque informatique en 2017[2]. Dans ce contexte, à elles de dépasser la mise en place d’un unique réseau 802.1X. Car si l’intégration du protocole apporte "plusieurs fonctions de sécurité, dont une traçabilité précise des accès réseau effectués, elle ne permet pas de protéger le système d’information contre toutes les menaces envisageables"[3]. Les entreprises sont bien les seules maîtresses de leur sécurité réseau.