Les entreprises ont compris le potentiel business de l'IoT, beaucoup moins l'ampleur des cyber risques

Avec l'accélération de la transformation numérique et la convergence des systèmes d'information d'entreprise et des systèmes industriels, les appareils connectés IoT et IIoT sont devenus des outils essentiels pour les entreprises de nombreux secteurs industriels. Mais la sécurité n'est pas toujours prise en compte à la hauteur de ce qui serait nécessaire.

Avec l’accélération de la transformation numérique et la convergence des systèmes d’information d’entreprise (IT) et des systèmes industriels (OT pour technologies opérationnelles), les appareils connectés IoT (Internet des objets) et IIoT (IoT industriel) sont devenus des outils essentiels pour les entreprises de nombreux secteurs : du pétrole et du gaz, de l’énergie, des services publics, de la fabrication des produits pharmaceutiques ou encore de l’agro-alimentaire. En optimisant les processus individuels et plus globalement les usines dans leur globalité (et d’autres écosystèmes d’infrastructures critiques) ces outils IoT et IIoT permettent de renforcer l’efficacité de la production, et d’améliorer la fiabilité, la réactivité, la qualité et la livraison.

Ces outils s’imposent de plus en plus vite et facilement dans les entreprises, généralement sans prise en compte d’un élément essentiel : la sécurité… Lors de leur conception, les appareils IIoT n'ont pas intégré d’exigences sécuritaires, ce qui de fait introduit des risques de cybersécurité dans les environnements où ils s’installent. 

Il y a environ quatre ans, le ransomware NotPetya a touché un grand nombre de multinationales dans des secteurs comme la santé, l’énergie et le transport, et a mis au point mort les opérations, entraînant des dommages estimés à plus de 10 milliards de dollars ! Mais les exemples d’attaques ne manquent pas. Encore dernièrement, c’est une usine de traitement d’eau en Floride qui a été victime d’une cyberattaque de son réseau, dont les conséquences auraient pu être désastreuses… 

Il n’est en effet pas difficile d'imaginer aujourd’hui des cyberattaques perturbant la production de grandes entreprises pharmaceutiques pour créer des pénuries ou endommager la qualité des produits des groupes agro-alimentaires. Parmi les dernières menaces qui pèsent sur les infrastructures critiques figure le siegeware, par lequel un pirate informatique compromet un système indispensable dans l’exécution de l’infrastructure de bureau de toutes les activités : éclairage, ascenseurs, climatisation et chauffage, et systèmes de sécurité physique. Autre exemple : l’usurpation de GPS permet aux cybercriminels de porter atteinte aux systèmes de navigation et de tromper les opérateurs de véhicules pour qu’ils dévient de leur trajectoire. Il existe plusieurs moyens d’exploiter les appareils connectés pour effectuer des actions malveillantes ou des actions de fonds visant à impacter l’activité économique d’une entreprise, voire pire encore, causer des dommages physiques. Il est important d’insister sur le fait que le risque est bien réel.

Dans une analyse, le cabinet Gartner prévoit que les incidents impliquant des systèmes cyber-physiques (définis comme des systèmes réalisant des fonctions informatiques et interagissant avec des humains, tels que les robots, IoT, IIoT, etc.) vont fortement croître dans les prochaines années, "en raison d’un manque d’attention et de dépenses de sécurité". Le Gartner va même jusqu’à estimer que l’impact financier des attaques mortelles contre les systèmes cyber-physiques dépassera les 50 milliards de dollars dans le monde d’ici à 2023, et que 75% des PDG verront leur responsabilité engagée d’ici 2024 à cause d’incidents de sécurité cyber-physiques !    

Comment atténuer les risques ? Par où faut-il commencer ?

Les entreprises d’infrastructures critiques doivent pouvoir identifier et suivre les menaces issues des appareils IoT/IIoT qui vont au-delà des limites IT et OT. Mais en réalité, les réseaux OT sont, depuis des dizaines d’années, un angle mort pour les professionnels de la sécurité informatique. À mesure que davantage d’actifs OT sont connectés à Internet, et que les entreprises industrielles ajoutent des appareils connectés à leurs environnements afin de renforcer l’automatisation et la modernisation, le défi d’atténuation des risques ne cessera de s’intensifier. En raison d’un manque de visibilité et de télémesure, les équipes de sécurité IT et OT ignorent souvent les risques et n’ont pas connaissance des systèmes cyber-physiques déjà déployés au sein de leur environnement, ni de leur comportement.

Une gestion proactive du risque nécessite la capacité d’examiner et de traiter le risque sous des perspectives différentes mais complémentaires. L’objectif est de contextualiser la sécurité globale d’un environnement OT. Pour y parvenir, il est essentiel de comprendre parfaitement la posture des actifs et le trafic du réseau vis-à-vis du risque.

La compréhension de la position de risque des actifs commence par la visibilité sur les réseaux du système de contrôle industriel (ICS) et les endpoints, ainsi que par la centralisation des informations sur les actifs IT, OT, IoT et IIoT, sans avoir besoin d’une connectivité supplémentaire. De cette façon, les interfaces homme-machine, les postes de travail industriels, etc. peuvent être enrichis d'informations sur les menaces et les vulnérabilités informatiques, ce qui améliore la sécurité de ces actifs sans avoir d'impact sur la productivité et sans interruption du service.

Les informations de sécurité contextuelles liées au trafic réseau sont également essentielles pour identifier et suivre les menaces qui vont au-delà de la frontière IT/OT. De nombreuses attaques qui touchent les environnements OT commencent sur le réseau informatique. Les défenseurs ont donc besoin de signatures de menaces pour les terminaux ICS et les réseaux OT, en plus de celles conçues pour les systèmes IT. Disposer d'une technologie qui sécurise les CPS, sans nécessiter la reconfiguration d'une signature ou de mises à jour manuelles, accélère la détection et la réponse.

Les dispositifs IIoT deviennent rapidement une caractéristique clé des environnements OT modernes et sont un vrai atout pour démontrer la capacité de l’entreprise à innover et à se démarquer de ses concurrents. Mais attention, sans une prise en compte de la composante sécurité et une vraie analyse des risques, l’avantage concurrentiel peut vite se transformer en catastrophe industrielle…