Cinq bonnes pratiques améliorent la sécurité informatique des installations de production
Dans l'environnement de production, on utilise encore des composants et des pièces techniques qui ne disposent d'aucune protection contre les cyber-attaques ou, au mieux, d'une protection insuffisante. Grâce aux "meilleures pratiques", les entreprises peuvent mettre en œuvre des exigences de sécurité essentielles et protéger efficacement leurs machines et installations.
Dans de nombreux cas, les installations industrielles sont une cible facile pour les pirates. La gestion des vulnérabilités est jusqu'à présent largement inconnue dans cet environnement, mais surtout, la conscience de la sécurité fait également défaut. Les entreprises courent donc le plus grand risque d'être victimes de cyberattaques auxquelles elles sont exposées sans protection. Les attaquants profitent de ce manque de conscience de manière ciblée, comme l'a montré le Global Threat Intelligence Report 2018 : En Allemagne, 36 % de toutes les cyberattaques ont concerné l'industrie manufacturière. En comparaison, cela représente nettement plus d'attaques que d'autres secteurs - un indice fort qu'une grande partie a visé les installations de production.
Cinq étapes coordonnées permettent aux exploitants d'installations de production d'augmenter considérablement la sécurité, comme le montre NTT Security souligne.
- Faire l'inventaire des composants à l'aide d'outils
L'environnement de production d'une entreprise comporte souvent des milliers de composants OT (Operational Technology) tels que des actionneurs, des stations de travail d'ingénierie, des HMI (Human Machine Interfaces), des PLC (Programmable Logic Controller), des capteurs ou des systèmes SCADA basés sur des serveurs. L'inventaire assure la transparence et crée les conditions pour des mesures de sécurité efficaces. Il fournit des réponses aux questions suivantes : quels sont les composants OT présents dans l'environnement de production ? Qui communique avec qui et par quel protocole ? Quelles sont les connexions de communication avec le monde extérieur, par exemple avec le fabricant ? Lesquelles ne sont pas nécessaires ou ne sont pas autorisées ? Existe-t-il des canaux de maintenance non contrôlés ?
- Repérer les points faibles de la sécurité des composants OT
L'étape suivante, après la documentation de l'infrastructure OT existante, consiste à détecter les points faibles existants des composants - et ce, sans que cela ne perturbe les processus du réseau de production. Les outils correspondants utilisent des procédures de surveillance et d'analyse en temps réel, détectent les écarts par rapport au comportement attendu et signalent les problèmes de sécurité et de processus. Les entreprises obtiennent ainsi une bonne vue d'ensemble de la vulnérabilité des composants OT utilisés.
- Améliorer la sécurité avec la gestion intelligente des vulnérabilités
Le point de départ de la gestion des points faibles est l'inventaire des composants OT existants. Il est complété par une évaluation des risques, car chaque installation et l'ensemble de l'environnement de production présentent un profil de risque individuel. Les entreprises doivent déterminer le risque existant - de préférence avec l'aide d'un spécialiste externe de la sécurité OT - à l'aide d'une classification et d'une évaluation des données et des processus à protéger. C'est sur cette base que se fondent ensuite toutes les autres mesures dans le cadre d'une stratégie globale de gestion des vulnérabilités ainsi qu'une planification structurée des étapes ultérieures visant à accroître la sécurité OT. Il ne faut pas se faire d'illusions en pensant que tous les composants peuvent maintenant être corrigés. Souvent, les mesures compensatoires constituent la seule solution pour réduire les risques.
- Utiliser un logiciel de protection des systèmes d'extrémité
L'utilisation d'un logiciel de protection des terminaux sur les stations de travail d'ingénierie et les serveurs SCADA est une mesure efficace et rapide à mettre en œuvre. Cela permet de protéger efficacement les systèmes contre les logiciels malveillants de toutes sortes et les cyber-attaques. Le logiciel surveille toutes les actions qui se déroulent sur les ordinateurs et empêche les situations potentiellement dangereuses. En outre, il permet par exemple de déterminer s'il y a des événements anormaux dans le trafic réseau. Ici aussi, il existe bien sûr une dépendance vis-à-vis du fabricant de la solution SCADA. Souvent, seuls les produits approuvés peuvent être utilisés.
- Intégrer la sécurité OT dans une stratégie de sécurité informatique à l'échelle de l'entreprise
Les entreprises doivent combler le fossé en matière de sécurité entre le monde de la production et celui de l'informatique classique, qui dispose d'une grande expérience dans la mise en œuvre de la sécurité informatique. La direction est responsable de la sécurité globale dans l'entreprise et peut déléguer la mise en œuvre à un Chief Information Security Officer (CISO), par exemple. La responsabilité technique pour les systèmes informatiques classiques et les systèmes de production doit certes rester dans les départements, mais la responsabilité de la mise en œuvre et du respect de la stratégie de sécurité globale dans l'entreprise doit être centralisée.
Les fabricants doivent également agir
"Les entreprises sont appelées à mettre en œuvre des mesures organisationnelles et techniques afin d'augmenter sensiblement la sécurité dans l'environnement de production. Cela implique la mise en œuvre et le respect d'une stratégie de sécurité globale qui englobe le monde informatique traditionnel et le monde OT", explique Christian Koch de NTT Security. "Mais en outre, les fabricants de composants, de capteurs et de machines doivent également agir. Ils doivent soumettre progressivement les produits déjà en service à des tests d'intrusion afin de détecter les points faibles et aider proactivement les clients à les éliminer. Lors du développement de nouveaux produits, les fabricants doivent suivre le principe de sécurité par la conception et faire appel, dans les équipes de projet, à des spécialistes de la sécurité et à des informaticiens en plus des électrotechniciens et des ingénieurs. C'est la seule façon d'augmenter durablement la sécurité informatique des composants OT à long terme".
Source : NTT Security