IT et OT, à chacun son univers !

Par IT, on entend l’ensemble des technologies de traitement de l’information (logiciels, matériel, technologies de communication et services connexes). Par opposition, l’OT regroupe les logiciels et le matériel destinés à contrôler et surveiller les dispositifs physiques et les processus industriels. Ces 2 domaines historiquement distincts en termes d’objectifs métiers, de solutions technologiques, de standards, d’organisation, de culture et de compétences sont longtemps restés isolés.

Pour la DSI, les principales préoccupations sont de garantir la disponibilité, l’intégrité des systèmes, la sécurité et la confidentialité des données (cf. la mobilisation liée à la GDPR) alors que l’exploitant concentre son énergie sur la sûreté des installations, la continuité de service et la bonne marche de ses automatismes.

La légitimité de la cybersécurité des systèmes industriels pourrait logiquement revenir au RSSI dont la mission est d’assurer la sécurité des systèmes d’information. Celui-ci doit de fait, étendre son action sur les systèmes industriels. Cependant, on constate que la mise en œuvre de la sécurité appliquée habituellement par l’IT sur ces systèmes, ne peut convenir à l’OT. Il y a une divergence culturelle qui reste à ingérer par les équipes IT pour bien comprendre les spécificités des systèmes industriels. Enfin, le risque cyber est lui aussi différent. Pour un SI d’entreprise, c’est le vol ou la destruction de données qui sont surveillés. Pour le SI industriel, c’est la sûreté physique des employés ou des usagers, la fiabilité de la production, l’impact sur l’environnement qui priment. En IT, si on détecte un problème considéré comme grave, il « suffit » de tout couper pour se mettre à l’abri ou limiter les dégâts. En OT, l’arrêt brutal d’un process est parfois pire que l’attaque elle même : risques de fuites de produits dangereux, d’explosions, de dégâts humains sur le personnel ou sur les riverains, sur une zone plus ou moins étendue selon le process.

Pour les techniciens du process, on constate que la cybersécurité n’entre pas nécessairement dans la culture technologique. Ils perçoivent cette nouvelle problématique comme une activité étrangère impliquant une montée en compétence qui sort du scope de leur mission initiale. Plus encore pour les managers de production ou de maintenance qui identifient le risque cyber très loin dans la liste des risques qui pèsent sur l’outil industriel.

Ce flottement concernant la prise de responsabilité crée une difficulté en matière d’implémentation de la cybersécurité sur ces systèmes. Il complique l’interaction entre les hommes de la sécurité informatique et ceux des technologies opérationnelles.

Cependant, avec l’hyperconnection des systèmes et l’internet industriel, aujourd’hui la convergence IT/OT est inévitable. Même si ces deux domaines reflètent des mondes séparés voir opposés, une problématique commune émerge, les associant de facto : la cybersécurité. La DSI et ses homologues de la fabrication ou de la chaîne d’approvisionnement doivent collaborer pour construire des ICS résilients, sécurisés et fiables.

Automaticiens et informaticiens : les frontières s’effacent !

Depuis plusieurs années, une convergence IT/OT est bien en marche du fait de l’adoption croissante des technologies IT par les équipements industriels, des installations de plus en plus complexes ainsi que l’arrivée de l’industrie 4.0 et son lot de logiciels et d’équipements connectés (les fameux IIOT).
Ces efforts de modernisation exposent aujourd’hui les anciens systèmes, jadis non connectés et difficiles à faire évoluer, à de nouvelles menaces. Par conséquent, des sites qui étaient sécurisés ou isolés peuvent se retrouver aujourd’hui victimes d’espionnage industriel et de sabotage. IT et OT tendent à devenir un véritable binôme, garants de la bonne gestion du réseau industriel, avec des interdépendances et des recoupements entre les deux équipes.
Cybersécurité industrielle : préoccupation majeure de la convergence IT/OT
Un certain nombre de priorités et de préoccupations des uns et des autres sont à prendre en compte dans cette action commune.

En premier lieu, il faudra considérer la continué de service comme un axe majeur de la convergence des équipes et s’assurer qu’un attaquant ne puisse pas perturber l’activité du process. En effet, il faut que le poste électrique fournisse de l’électricité à l’hôpital et que le tri bagage d’un aéroport identifie bien les valises douteuses et ce sans coupure.

Cette maitrise du process implique également la sécurité physique des personnes, travailleurs du process ou clients. Le risque de blessés ou d’une situation plus dramatique encore peut s’envisager en cas de prise de contrôle de l’outil de production par un attaquant. On imagine bien les conséquences de l’ouverture inappropriée d’une vanne d’un produit chimique ou d’un barrage hydro-électrique.

Ensuite, la fiabilité du process et le contrôle de la qualité assurant à l’industriel de produire avec fidélité entre en ligne de compte. Ainsi, le fabriquant de bonbons produira sans intoxiquer ses clients et la station d’épuration fournira l’eau buvable attendue par les usagés.

La conservation du secret de fabrication pour l’industrie de production et la confidentialité des données pour les infrastructures de transports notamment est également à surveiller de près. On parle ici de fuite de données et de piratage industriel qui peuvent amener, dans certains cas, l’industriel à mettre la clé sous la porte.
Car oui, connecter ce qui ne l’était pas, peut ouvrir la porte à de nouvelles menaces.

Le « patch management » plutôt aisé à mettre en œuvre sur les systèmes IT devra également s’étendre sur les systèmes OT. Il faudra là encore se confronter à des divergences de fonctionnement. Puisque s’il est facile de mettre à jour son PC à la pause-café, c’est beaucoup moins simple de mettre à jour un automate qui est en production 24/7.

Enfin la collaboration IT et OT passe par un échange d’information, d’événement de sécurité permettant d’optimiser la détection d’anomalie entre tout les systèmes d’informations : une alerte devra être donnée pour un technicien identifié par le système de contrôle d’accès comme sortie de l’usine alors que dans le même temps il est connecté à la supervision du système industriel.

Des solutions qui aident à la convergence

Au regard de ces nouvelles menaces et dans le but de garantir une efficacité entre les équipes IT et OT, des solutions de cybersécurité peuvent être mise en œuvre permettant de :
– cartographier les équipements / les flux de données pour ensuite identifier et authentifier leurs légitimités ;
– surveiller le process jusque dans son fonctionnement afin de détecter une dérive ou un dérèglement fonctionnel ;
– transmettre les événements de sécurité à l’opérateur mais également à l’équipe IT à travers la mise en place d’un SOC ;
– exploiter les événements de sécurité IT pour optimiser la détection d’anomalie sur le système industriel.

D’autre part, l’interconnexion du réseau OT à des réseaux tiers amène à sécuriser les échanges entre ces systèmes et vient compléter la surveillance du système lui-même. Il peut être envisager la mise en place d’une DMZ dont la tâche serait de sécuriser l’ensemble des flux entre l’IT et l’OT à travers des services de cloisonnement des lignes de commande, de défense en profondeur, d’authentification des utilisateurs, de gestion centralisée de services anti-virus, de virtualisation des postes ou encore d’un service de sauvegarde et de gestion des programmes automates.

Une collaboration IT/OT qui doit se généraliser

Si la collaboration des équipes IT et OT devient une évidence pour la cybersécurité des infrastructures et des industries, il en va de même pour toute la chaîne de valeur. Ainsi intégrateurs, éditeurs, constructeurs et prestataires de services doivent également associer les compétences des deux environnements dans leur travail respectif et ainsi faire collaborer automaticiens et informaticiens. Cybelius applique ce principe depuis sa création notamment sur le développement logiciel ainsi que sur son activité d’ingénierie et de service (diagnostique de systèmes, analyse de risque…).
Progressivement, la frontière entre OT et IT tend à disparaître. En rencontrant les grands industriels et infrastructures nationales, nous constatons une véritable prise de conscience et implication des deux parties à la même table quand nous échangeons avec eux sur leur stratégie et sur les moyens à mettre en œuvre pour leur cybersécurité.

En fonction de leur niveau de maturité et de la taille de la structure on constate tout de même que le « lead » est bien souvent du côté de la DSI mais que l’exploitation est garante des choix technologiques. Bien que cette convergence reste encore un défi à relever pour certains et à pérenniser pour d’autres, les deux parties doivent impérativement tenir compte de l’expertise, du point de vue et des contraintes de l’autre pour tendre ensembles vers un Internet Industriel où la productivité s’associe à une cybersécurité maîtrisée.
Une fois cette stratégie mise en place, il faudra ensuite allouer des budgets qui correspondent. Considérons que 2017 a permis d’identifier les besoins organisationnels, techniques et matériels et que 2018 offrira les moyens à ce binôme d’atteindre ses objectifs.