Cybersécurité des réseaux OT : l'équilibre délicat entre approche passive et active

La convergence IT/OT fait des réseaux OT une cible privilégiée des hackers. Pour les sécuriser, les stratégies doivent être complètes, et intégrer en particulier une surveillance active et passive.

La convergence IT/OT transforme le fonctionnement des entreprises et s’accompagne d’importants défis en matière de cybersécurité. L'augmentation des cyberattaques contre les systèmes opérationnells (OT) - plus de 70% des organisations industrielles déclarent avoir subi des cyberattaques au cours de l'année écoulée selon certaines études - souligne l'urgence de mettre en place des mesures robustes. Les bénéfices opérationnels de la convergence ne sauraient se faire en exposant les réseaux informatiques à de nouveaux risques ciblant les processus industriels critiques. Un risque accru aussi bien par les tensions géopolitiques qu’amplifié par la prolifération des dispositifs IoT et IIoT. Souvent plus vulnérables que les systèmes informatiques traditionnels, ces équipements constituent des points d'accès faciles pour les cybercriminels. Et l'utilisation généralisée de bibliothèques logicielles open-source potentiellement peu sûres dans ces appareils rajoute un risque supplémentaire.

Ransomware, détournement de session et menaces persistantes avancées (APT)

Particulièrement ciblée, l'industrie manufacturière représente une part importante des incidents liés aux ransomwares, qui exploitent des vulnérabilités inédites de type « zero-day » et des vulnérabilités connues non corrigées, pour paralyser les opérations industrielles et les chaines d’approvisionnement.

Le détournement de session représente une autre menace importante pour les réseaux OT. Les hackers exploitent les protocoles de session à distance tels que RDP, ICA et SSH pour accéder à des données et aux systèmes sensibles. Leurs attaques parviennent à abuser les fonctionnalités des protocoles de session à distance, ce qui les rend difficiles à détecter et à contrôler. La seule contre-mesure efficace reste une forte isolation par le biais d'une séparation physique ou virtuelle.

Enfin, les APT constituent un nouveau défi de sécurité sophistiqué à relever. Les échanges de données et l’interconnectivité avec environnements IT et Cloud agrandissent la surface d’attaque des réseaux OT. Ce risque est accru par la complexité croissante de la convergence des systèmes IT et OT, ainsi que la rareté des professionnels de la cybersécurité disposant des compétences spécifiques en OT. Au niveau mondial, on a recensé près de 9 000 vulnérabilités au cours du seul premier trimestre 2022, soit une augmentation de 25 % par rapport à l'année précédente.

Dans le monde entier, les gouvernements et les entreprises privées de sécurité informatique sont désormais pleinement engagés dans la réduction de ces risques, notamment à travers le développement de contre-mesures ciblant les APT, qui sont connus pour développer des outils personnalisés pour compromettre et contrôler les dispositifs ICS/SCADA (Systèmes de Contrôles Industriels / Systèmes de Contrôle et d’Acquisitions de Données)

Comprendre et réunir les approches actives et passives

La cybersécurité des réseaux OT exigera désormais une approche proactive à multiples facettes pour répondre aux menaces listées juste avant. Les organisations doivent adopter des mesures de sécurité complètes, regroupant une surveillance continue, des stratégies d'isolement solides et une approche proactive de la gestion des vulnérabilités, afin d'atténuer ces risques de manière efficace. A ce titre, il est essentiel de faire la distinction entre la surveillance active et la surveillance passive. La première, grâce à des contrôles réguliers initiés par la solution de surveillance sur les équipements et services du réseau permet de disposer d’avertissements précoces et d’anticiper la dégradation des performances. A l’inverse, la « surveillance passive » implique que des applications externes effectuent des contrôles, principalement en gérant les signaux générés par des dispositifs de réseau tels que les routeurs et les commutateurs. Cette forme de surveillance asynchrone attend de l'équipement qu’il envoie des messages indiquant des changements ou des problèmes, afin de pouvoir les résoudre plus rapidement après une alerte.

Si l’approche passive est privilégiée dans les environnements OT, où l’objectif reste avant tout de maintenir l’intégrité et la fiabilité du système, sans avoir à sonder le réseau de manière intrusive, une politique de sécurité efficace s’appuiera sur un équilibre entre les deux approches.

Surveillance des réseaux OT : 5 points clés à prendre en compte

Afin de s’assurer que la solution envisagée répond à vos besoins spécifiques, voici cinq points clés à considérer dans toute stratégie :

  •  Surveillance de l'utilisation des supports amovibles, tels que les clés USB : facteurs de risque fréquent dans les cyberattaques contre les systèmes de contrôle industriels, leur utilisation doit être surveillée dans le cadre d’une stratégie de cybersécurité OT efficace.
  •  Surveillance des fichiers critiques sur les postes de travail : dans les systèmes OT, l'intégrité des échanges de fichiers, en particulier ceux qui impliquent des DCS (Systèmes de Contrôle Distribués) et des PLC (Contrôleurs Logiques Programmables), est cruciale. La surveillance de ces fichiers critiques permet d'identifier et d'atténuer divers risques de cybersécurité.
  • · Déterminer la version du système d'exploitation et l'état des correctifs installés afin de comprendre les vulnérabilités potentielles et prendre les mesures pour atténuer les risques.
  •   Méthodes de surveillance des terminaux : déterminer si la solution doit surveiller les terminaux à l'aide de méthodes actives et/ou passives, cette dernière étant moins susceptible d’interférer avec les fonctions réseau.
  •  Authentification sécurisée de l'utilisateur : une authentification correcte des utilisateurs, y compris l'authentification multifactorielle (MFA), sera toujours vitale dans les environnements OT. Une solution de cybersécurité appropriée doit être capable de détecter les mécanismes d'authentification des terminaux, comblant ainsi les lacunes de protocoles tels que Modbus qui manquent généralement d'authentification des appareils.

Plus complexe que jamais, le paysage actuel, et futur, de la cybersécurité pour les réseaux de technologies opérationnelles (OT) exige une vigilance accrue et une approche proactive.

L'intégration de solutions de surveillance robustes et de mesures stratégiques de cybersécurité est essentielle pour protéger les systèmes critiques contre les menaces en constante évolution auxquelles ils sont quotidiennement confrontés.