Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La sécurité de l’Internet des objets industriel

janvier 2019 par Fortinet

Dans de nombreuses entreprises, les réseaux informatiques traditionnels et les réseaux industriels dits OT (Operational Technology) convergent pour concrétiser les promesses du digital en matière de rapidité et d’efficacité. Un réseau OT typique se compose de commutateurs, de moniteurs, de valves, de capteurs et de dispositifs de production. Ces équipements sont gérés par un système ICS (Industrial Control System), via un poste de commande à distance RTU et des contrôleurs logiques programmables, et ce, sur un lien série ou IP. Ces systèmes gèrent des environnements sensibles, voire dangereux, et ils doivent être sécurisés et opérationnels en permanence. Pour tenir cet objectif, ils sont généralement dissociés du réseau informatique, pour éviter les pannes et dysfonctionnements (crashs) qui affectent les systèmes informatiques.

Les systèmes OT capitalisent sur des ressources et infrastructures industrielles potentiellement onéreuses, pouvant représenter des investissements de plusieurs milliards d’euros. Un dysfonctionnement système au sein de l’environnement de production est susceptible de mettre à l’arrêt un cycle de production, avec, à la clé, une facture particulièrement salée. On imagine aisément que l’arrêt d’un fourneau ou d’une chaudière de 40 000 litres traitant des produits chimiques a des conséquences bien plus fâcheuses que de perdre temporairement l’accès à une imprimante sur le réseau…

Un environnement OT a pour objectif de protéger ses sites, ses collaborateurs et les communautés avoisinantes. Par ailleurs, il doit également garantir la haute-disponibilité du réseau, ce qui implique que les mises à jour de celui-ci, de ses dispositifs, de ses applications et de ses systèmes d’exploitation sont plutôt rares. En réalité, les systèmes étant susceptibles de fonctionner pendant 30 à 40 années au sein des environnements OT, ils disposent de configurations et de composants logiciels qui ne sont pas patchés. En effet, un patching et une mise à jour des dispositifs et équipements imposent souvent de les mettre à l’arrêt. Les responsables OT ont donc pour règle d’or de ne pas réparer ce qui fonctionne correctement. Au final, de nombreux systèmes OT sont devenus vulnérables aux malwares et autres menaces contre lesquels les réseaux informatiques sont protégés. Et pour rendre les choses plus compliquées, de nombreux équipements et systèmes installés au sein des environnements OT sont connus pour leur fragilité. Un simple processus comme une analyse active des dispositifs peut représenter une charge lourde et perturbatrice.

La transformation digitale pèse sur les environnements OT

Les défis qu’imposent la transformation digitale impliquent que les entreprises répondent plus rapidement aux demandes du grand public, ce que ne permettent pas les processus OT traditionnels. En intégrant des objets connectés industriels aux réseaux OT, les entreprises automatisent des processus OT traditionnellement statiques et souvent manuels. Cet Internet des Objets industriel rend les environnements physiques plus intelligents, qu’il s’agisse d’immeubles, d’installations de production, d’entrepôts ou d’usines. Pour préserver ses avantages concurrentiels au sein de l’économie digitale, mais aussi gagner en efficacité, il s’agit également de miser sur de nouvelles pratiques, comme le recueil et l’analyse en temps réel de données et les outils de gestion à distance au sein des réseaux OT.

Au-delà d’une prise en charge efficace des besoins, et au moment le plus opportun, un nouveau défi émerge, résultat de la transformation digitale. L’association de multiples technologies OT génère davantage de complexité, et cette complexité se ressent le plus lorsqu’il s’agit d’intégrer la sécurité. Dans les immeubles intelligents par exemple, différents systèmes fonctionnent en simultané (grids électriques, plateformes de communication, systèmes de sécurité et de contrôle d’accès, mesures anti-incendie, systèmes HVAC, ascenseurs, etc.). La gestion centralisée de ces équipements, des objets connectés et des systèmes informatiques et OT implique de les intégrer à un seul système de contrôle. Et au sein d’un environnement où les équipes opérationnelles gèrent plusieurs immeubles simultanément, les tâches de gestion sont susceptibles d’être menées à distance et via le cloud.

Une sécurité a posteriori n’est pas envisageable

Pour la majorité des environnements OT, la transformation digitale et la convergence ont des conséquences sur le terrain de la sécurité. Une nouvelle approche doit être définie en réponse aux défis OT modernes. Vouloir maîtriser les risques en se contentant de déployer des pare-feux, sandbox et systèmes IPS standards au sein des environnements OT présente un résultat incertain, voire disruptif. Les outils de sécurité doivent être conçus de manière personnalisée pour comprendre et traiter une large panoplie de protocoles, de communications et de services qui sont déployés pour préserver la sécurité et la haute-disponibilité des environnements OT.

Les entreprises sont donc invitées à mener leur réflexion en positionnant la sécurité au cœur de leur environnement OT et en dressant un état des lieux des priorités en matière de disponibilité et de sécurité physique et logique : la sécurité n’est donc pas une couche supplémentaire, déployée a posteriori sur le réseau, mais elle doit prise en compte dès les phases amont de conception. Sans une stratégie intégrée et réfléchie, la sécurité s’annonce problématique, surtout s’il faut protéger et gérer chaque système de manière distincte. À titre d’exemple, pour les systèmes d’automatisation d’immeubles, une approche intégrée, segmentée et en profondeur permet à la sécurité d’aller au-delà des tâches classiques (comme verrouiller un système HVAC), pour offrir des fonctions d’analyse et de contrôle en temps réel, garants de l’intégrité et de la protection des autres systèmes, comme ceux de lutte contre le feu.

Visibilité, contrôle et zero trust

La sécurité des environnements OT modernes impose comme prérequis de disposer d’une visibilité permanente et intégrale. Les solutions de contrôle d’accès au réseau contribuent à tenir un inventaire des objets connectés industriels et à les gérer, pour ainsi assurer le suivi de tous les dispositifs connectés sur votre réseau, notamment lorsque ces dispositifs rejoignent ou quittent le réseau, ou qu’ils se déplacent. Mais le contrôle des environnements OT exige également de définir ce qu’est un trafic normal et d’activer, en amont, des fonctions approuvées qui reconnaîtront et prendront en charge tout comportement qui dévie de cette normalité. Fort heureusement, le comportement des dispositifs au sein d’un environnement OT a tendance à être statique et prévisible : les comportements « anormaux » sont ainsi identifiés rapidement.

Au sein des environnements OT convergents actuels, force est de constater que les individus, tout comme les dispositifs, bénéficient d’un niveau de confiance élevé. Avec cette confiance implicite, il est possible, au sein de nombreux réseaux OT, qu’un seul ingénieur puisse contrôler tous les contrôleurs logiques programmables présents sur le réseau, à partir d’un seul PC portable. Dans le même état d’esprit, lorsque l’accès à un environnement est accordé pour des tâches de maintenance, via un accès filaire ou sans fil, il n’est pas rare qu’un seul PC portable accède à l’ensemble des systèmes. C’est la raison pour laquelle la sécurité de vos environnements OT exige de passer d’un modèle de confiance par défaut vers un modèle zero trust.

Imaginons qu’un de vos ingénieurs expérimentés est au contrôle de la station de travail qui gère la même ligne de fabrication depuis 15 ans. Vous n’avez jamais eu de souci particulier vis-à-vis de lui et vous lui faites donc confiance par défaut. Cependant, l’avènement de la convergence présente de nouveaux risques OT particulièrement critiques, et ce qui fonctionnait historiquement est remplacé par des systèmes interconnectés et par des dispositifs vulnérables susceptibles d’être piratés à distance.

Plus que jamais, il s’agit de changer de paradigme. Souvent, la première étape consiste à se dire que votre système peut être piraté. Il faut identifier la présence d’un malware, des accès non contrôlés ou d’un détournement de privilèges par un assaillant. C’est à ce titre que les équipes de sécurité OT sauront identifier et neutraliser les accès vers des ressources OT critiques et de valeur. Cette approche permet également d’établir des processus pour identifier les actions suspectes, celles qui sortent du cadre de ce qui est considéré comme normal.

Enfin, les organisations doivent migrer d’une sécurité réactive vers une sécurité proactive. Elles pourront ainsi intégrer en toute sécurité les processus OT, tout en étendant la protection au-delà de ce que proposent les systèmes de défense actuels. Le zero trust ne se résume pas à changer de règles ou de procédures, mais consiste à intégrer la sécurité directement dans l’environnement pour la rendre proactive.

Pour cela, des techniques stratégiques s’imposent, comme la segmentation ou l’authentification à plusieurs facteurs, pour maîtriser les risques liés au contrôle d’accès. Par exemple, si un utilisateur ou un dispositif peut légitimement accéder à la couche 2 (modèle Purdue) d’un segment spécifique du réseau OT, ils évolueront ou fonctionneront de manière appropriée au sein de cette zone réseau restreinte. Dans le même esprit, toute activité au-delà du domaine autorisé sera soumise à une authentification, ce qui empêche que le réseau OT ne soit impacté verticalement ou horizontalement.

L’intégration d’objets connectés au sein des réseaux OT est une réalité pour toute entreprise souhaitant préserver ses avantages concurrentiels au sein de l’économie digitale actuelle. Le défi consiste à déployer une sécurité qui soit sans impact sur la disponibilité et le bon fonctionnement des infrastructures. Compte tenu de la nature convergente des réseaux OT, ceci implique de :

- Déployer des équipements de sécurité conçus sur mesure pour les environnements OT, pour les protéger contre les menaces issues de l’infrastructure IT, du Cloud et d’Internet.
- Assurer une visibilité permanente sur les équipements et leur comportement, grâce à des fonctions de contrôle d’accès (NAC - Network Access Control) et à un traitement analytique des données comportementales
- Migrer vers un modèle de sécurité de type zero trust, qui prend en compte l’idée que vos systèmes sont, peut-être, déjà piratés.
- De mettre en œuvre des fonctions de contrôle de base (authentification à deux facteurs, segmentation, etc.) pour cloisonner les fonctions critiques et limiter l’exposition des systèmes aux incidents de sécurité.

Bien sûr, il s’agit ici des premières étapes d’une sécurité pertinente des environnements OT. Mais avec ces éléments de base en place, les entreprises peuvent continuer à bâtir d’une stratégie de sécurité évolutive et résiliente, qui saura s’adapter aux évolutions de leur environnement OT.




Voir les articles précédents

    

Voir les articles suivants