Conseils contre les cyber-attaques dans le secteur de la fabrication
Avec la prolifération des réseaux de production, également appelés réseaux OT, le besoin de sécurité augmente. Il n'a jamais été aussi important de garantir une disponibilité ininterrompue et une protection de bout en bout.
La technologie opérationnelle (Operational Technology, OT) désigne le matériel et les logiciels qui surveillent et gèrent les équipements physiques et les processus. Il s'agit entre autres des systèmes de contrôle industriels (ICS) tels que les systèmes de contrôle des processus, les systèmes SCADA ainsi que les appareils industriels connectés à Internet.
Christopher Brennan, directeur régional DACH de la société de conseil en sécurité informatique, explique pourquoi la sécurité des réseaux OT représente souvent un grand défi et ce que les entreprises peuvent faire pour y parvenir. Skybox SécuritéLorsque la plupart des systèmes OT ont été conçus, on n'accordait que peu d'attention aux aspects de sécurité. Mais cela a radicalement changé depuis. Les réseaux de production sont devenus des cibles attrayantes pour les cyberattaques, notamment en raison des kits d'exploitation faciles à obtenir, des informations sur les technologies obsolètes rapidement accessibles sur le web et des nouveaux modèles commerciaux criminels via les ransomwares.
Avec la convergence croissante des réseaux IT et OT, cette menace est encore plus grande. Les vulnérabilités et les problèmes de sécurité offrent aux pirates des possibilités d'accéder aux deux réseaux et d'explorer systématiquement les données et les actifs importants, voire de perturber des processus vitaux.
Une technologie dépassée, des systèmes obsolètes, des connexions non sécurisées, la convergence avec l'informatique, des défis organisationnels ainsi qu'une visibilité et une compréhension limitées font de la sécurité informatique des systèmes OT un défi particulier.
Une approche unifiée pour les réseaux OT et IT
Pour garantir la sécurité dans les environnements IT et OT, les entreprises doivent donc connaître toute la surface d'attaque de leur organisation. Cela inclut l'IT physique et l'OT ainsi que les réseaux virtuels et multi-cloud. Pour obtenir une vision complète de la surface d'attaque, les entreprises ont besoin d'une approche en quatre étapes :
Découverte : Dans la première phase, la phase de détection, il est important d'identifier les contrôles de sécurité IT, la topologie du réseau et les actifs. Du côté de l'OT, cette phase doit identifier les équipements de la DMZ (pare-feu et autres contrôles de sécurité), les systèmes de contrôle des processus LAN de niveau 3, y compris les systèmes de fabrication, le contrôle des stocks et tout équipement de routage, et les actifs de niveau 0-2, y compris les informations sur le type et l'emplacement des équipements de terrain, les API et autres machines, grâce à la collecte passive d'informations sur les actifs et la topologie du réseau.
Modélisation : Dans la phase suivante, les données collectées doivent être automatiquement intégrées dans un modèle de réseau complet couvrant à la fois les réseaux IT et OT et prenant également en compte les vulnérabilités et les menaces. Un tel modèle offre un environnement hors ligne dans lequel une multitude de tâches de gestion de la sécurité peuvent être exécutées sans perturber le fonctionnement du réseau. C'est un avantage considérable, notamment dans les réseaux de production où aucun temps d'arrêt n'est possible.
Analyse & visualisation : Au cours de ces deux phases, un modèle visuel interactif de la surface d'attaque permet d'identifier facilement les connectivités risquées mais nécessaires dans les réseaux IT et OT ainsi que dans les connexions transversales entre les deux. De même, un tel modèle permet de suivre le respect des consignes dans toute l'organisation et d'évaluer les menaces potentielles. On est ainsi en mesure d'analyser les chemins entre le réseau de l'entreprise et le réseau de production dans un modèle de réseau. Les pare-feux situés le long de ces chemins sont identifiés et leurs règles sont examinées : il est ainsi possible de déterminer si un accès est bloqué ou autorisé.
Pour obtenir les informations nécessaires à la sécurisation des réseaux convergents, les solutions doivent en principe avoir la capacité de collecter passivement des informations et de modéliser de manière exhaustive tous les environnements en réseau - y compris l'ensemble du réseau OT. Une approche efficace et unifiée résout les défis traditionnels entre les équipes IT et OT : les ingénieurs OT ne doivent pas devenir des experts en sécurité et les responsables de la sécurité IT obtiennent la visibilité dont ils ont besoin pour comprendre et gérer efficacement les risques".
Texte : Christopher Brennan, directeur régional DACH de Skybox Security
