Comment gérer la sécurité de l’entreprise dans un environnement où l’IT et l’OT convergent ?

Par le passé, les réseaux IT étaient séparés des réseaux OT (technologies industrielles), isolant ces derniers de tout risque sur la cybersécurité. Les réseaux OT étaient préservés des cyberattaques en partie par la difficulté à développer des attaques sur des protocoles propriétaires ou sur des technologies datées. Ce n'est plus le cas aujourd'hui.

Au cours de ces dernières années, l’OT s’est trouvé de plus en plus exposé à des risques extérieurs via des capteurs à distance récupérant des données, ou des contrôles opérés par Wi-Fi, ou encore via des connections utilisées pour des mises à jour logicielles. De plus, de nombreux fournisseurs ont commencé à mettre sur le marché des plateformes basées sur le cloud. Cette nouvelle exposition et la criticité de ces supports font des réseaux OT de nouvelles cibles privilégiées par les cyberattaquants.
De ce fait, les entreprises prennent peu à peu conscience de l’importance d’un management unifié de la sécurité, incluant désormais les réseaux OT dans les programmes de cybersécurité pour l’IT.

Des systèmes OT datés et donc peu sécurisés
Si l’IT repose sur 3 critères clés qui sont la confidentialité, l’intégrité et la disponibilité, l’OT a été fondé sur la disponibilité uniquement en laissant de côté l’aspect sécurité. Ainsi la valeur ajoutée des contrôles de sécurité n’était pas suffisante ou les mesures à prendre trop coûteuses. Mais les temps ont changé, les industries OT ont pris conscience de la nécessité de ces contrôles et de leur rôle dans le maintien de la continuité d’activité et de la disponibilité des services.
Toutefois, les réseaux OT sont encore basés sur du matériel daté, installé depuis plusieurs années qui avait pour vocation d’être utilisé sur le long terme, et d’avoir une durée de vie plus longue que celle des PC par exemple. Ces systèmes, conçus avant que les problématiques de cybersécurité ne prennent toute leur ampleur, sont souvent obsolètes et les équipes techniques et opérationnelles sont aujourd’hui confrontées à de nombreux challenges :

  • Une technologie héritée : l’OT est une technologie vieille de plusieurs décennies qui a été conçue bien avant les mesures de sécurité désormais courantes, telles que le cryptage ou la protection par mot de passe. Il en résulte de mauvaises pratiques en matière de sécurité, telles que l’utilisation de mots de passe à faible niveau de protection qui sont bien souvent intégrés au niveau du micrologiciel et ce de manière non modifiable. Les activités techniques et commerciales de l’entreprise sont donc mises en danger.
  • Des systèmes obsolètes : le micrologiciel lui-même peut être obsolète, comme pour les API, sans processus de mise à jour en place, il devient vulnérable. Lorsque des mesures de sécurité sont installées sur des appareils IT dans un réseau OT, ces actifs IT deviennent obsolètes à cause de vulnérabilités connues, qui peuvent ou non être réparées par le fournisseur; comme de vieilles machines Windows qui ne sont plus prises en charge par Microsoft, par exemple.
  • Des connexions non sécurisées : pour transférer facilement des données ou utiliser de nouvelles applications, les appareils OT communiquent avec le réseau IT, avec des ordinateurs portables ou via USB. Mais il arrive que cette communication se fasse via une connexion Wi-Fi non cryptée, les rendant donc vulnérables à des attaques HDM (homme-du-milieu).
  • Une maigre visibilité de la surface d’attaque : il existe des solutions pour obtenir une visibilité sur l’IT ou sur l’OT, mais rarement sur les deux en même temps. Les protocoles propriétaires dans l’OT rendent difficile voire impossible pour les solutions IT de cartographier la surface d’attaque. Les solutions de sécurité informatique, pour la plupart, ne sont pas adaptées aux environnements OT. Par exemple, le scan du réseau OT n’est généralement pas autorisé, rendant celui-ci vulnérable, et peu propice à une protection proactive contre les menaces.

Un Challenge organisationnel
Alors que les systèmes OT deviennent plus intelligents et compatibles avec l’IT, les ingénieurs OT doivent monter en compétences et en expertise dans la sécurité, en plus de leur charge de travail initiale. Et vice-versa : les équipes IT ne sont pas familières des systèmes OT et de leurs protocoles. Dans ce contexte, les défis sont nombreux. L’IT et l’OT disposent d’équipes différentes, de technologies différentes, leurs objectifs et activités ne sont pas les mêmes, ces équipes ne parlent pas la même langue. Il est donc difficile de créer et de maintenir la sécurité de l’entreprise tout en satisfaisant les besoins de chacune des deux parties en présence. Ainsi, si le management de la sécurité n’est pas conduit efficacement, cela crée des failles dans lesquelles les attaquants peuvent s’immiscer et semer le trouble dans l’entreprise. Il est donc essentiel d’améliorer la communication entre les partenaires et les équipes IT et OT.
 
Une stratégie unifiée pour plus de sécurité
D’un point de vue opérationnel, il s’agit de s’assurer d’une bonne visibilité et d’une analyse pertinente : il est donc essentiel d’adopter une stratégie unifiée, de façon à obtenir une vue d’ensemble de la surface d’attaque. Cela permet de comprendre le contexte du réseau grâce à la création d’un modèle et d’un mapping des réseaux ; de confirmer l’efficacité des contrôles à travers l’analyse des pare-feux, de la segmentation et des divers accès ; d’identifier les vulnérabilités pour ensuite prioriser les corrections dans ce contexte.
D’un point de vue organisationnel, une stratégie unifiée est également de mise : en rapprochant intelligemment l’IT et l’OT, les disparités organisationnelles se dissipent, les ingénieurs OT peuvent donc se concentrer sur la maintenance des services sans être des experts en sécurité, tandis que la sécurité IT dispose des analyses nécessaires à sa compréhension et sa gestion des menaces éventuelles.


La connectivité stimule la productivité, les avantages d’un rapprochement entre l’IT et l’OT sont donc nombreux. Alors que les systèmes deviennent plus complexes et divers, il est vital d’avoir des contrôles de sécurité robustes et efficaces couvrant tous les environnements.