Les environnements OT sont le maillon faible des organisations qui cherchent à se conformer à la norme NIS2. En outre, les défis spécifiques de l’OT signifient que vous ne pouvez pas simplement inclure la sécurité de l’environnement opérationnel dans un projet informatique. Comment résoudre ce problème ?
La directive NIS2 oblige les entreprises belges et européennes à renforcer leur cybersécurité. La directive demande aux organisations d’adopter une vision de leur cybersécurité basée sur les risques afin de se protéger. Dans un contexte informatique, la question n’est pas trop complexe : les entreprises qui ont pris la sécurité au sérieux ces dernières années sont généralement déjà plus ou moins en conformité avec NIS2.
Il en va différemment pour les organisations dotées d’environnements opérationnels, par exemple dans l’industrie manufacturière. Les environnements OT sont des environnements uniques, vulnérables et souvent anciens, qui sont très critiques. Si une attaque de ransomware touche l’infrastructure informatique et que le service marketing est indisponible, c’est très ennuyeux. Cependant, si la production de l’usine s’arrête, les coûts s’accumulent rapidement.
NIS2 pour OT ?
ITdaily réunit cinq experts pour parler des défis de NIS2, et l’impact de la réglementation sur les environnements OT émerge comme un sujet clé. Autour de la table, Alex Ongena, PDG et fondateur d’AXS Guard, Ron Nath Mukherjee, consultant en cybersécurité chez Eset, Driek Desmet, ingénieur système chez Easi, Koen Pauwelyn, responsable des services de cybersécurité industrielle chez Siemens et Yoran Dons, consultant en sécurité ICS chez SoterICS.
Mukherjee pose une question importante : « Devrait-il y avoir un NIS2 spécifique pour l’ergothérapie ? » Les autres experts autour de la table pensent que non. Cependant, il y a un consensus sur le fait que la prise en compte des environnements OT dans le cadre du NIS2 est une démarche à part.
De zéro à zéro
« Dans l’environnement OT, il y a beaucoup d’anciens systèmes qui fonctionnent », souligne M. Pauwelyn. « Vous y trouverez des ordinateurs Windows XP, par exemple, ou même des systèmes plus anciens. Il y a parfois des PLC(Programmable Logic Controllers) qui ont quarante ans. Bien entendu, vous ne pouvez pas fournir à ces systèmes les dernières mises à jour de sécurité. Ils nécessitent une approche spécifique.
Dans un environnement OT, vous trouverez des systèmes plus anciens que vous ne pourrez pas simplement mettre à jour avec les dernières mises à jour de sécurité.
Koen Pauwelyn, responsable des services de cybersécurité industrielle chez Siemens
Cela a un impact sur la manière dont les entreprises doivent envisager leur sécurité. Tout commence par une mesure zéro : mesurer, c’est savoir et vous ne pouvez améliorer les choses que si vous connaissez la situation de départ.
Pauwelyn : « Lorsque vous effectuez une telle mesure de base de l’état de l’environnement OT, tout obtient un score de zéro. Cependant, vous ne pouvez pas faire un rapport NIS2 pour l’informatique et un autre pour la technologie de l’information : tout doit aller ensemble. La technologie de l’information est le maillon faible.
Des coûts clairs
Il s’agit donc de rendre l’environnement OT plus sûr. En tout état de cause, le coût associé est plus facile à justifier que pour l’informatique. S’il est difficile de calculer le coût d’une défaillance du service marketing, il en va différemment pour une chaîne de production.
En effet, dans un environnement OT, vous pouvez très bien calculer le coût d’un cyberincident. Une organisation sait parfaitement combien coûte une minute d’indisponibilité. Après un piratage, il faut du temps pour restaurer l’environnement, tout réinitialiser et restaurer les sauvegardes. Si vous pouvez réduire ce délai de, disons, deux ou trois jours, vous pouvez facilement calculer combien vous économisez avec un tel investissement.
L’OT est donc un maillon essentiel auquel il faut prêter attention. Cette attention est également facile à justifier sur le plan financier. Quelle est donc la prochaine étape ?
Ne vous contentez pas de fermer
« Il n’est pas possible de se contenter d’une simple mise à jour des machines XP, par exemple », poursuit M. Pauwelyn. « Derrière ces machines se trouvent des lignes de production entières. Certaines entreprises fonctionnent en continu pendant dix ans sans interruption. « Arrêter la chaîne de production est impossible », reconnaît M. Desmet. Après tout, l’arrêt d’une telle ligne peut coûter des millions. »
L’arrêt de la chaîne de production est impossible et pourrait coûter des millions.
Driek Desmet, ingénieur système chez Easi
Ce n’est pas que ces entreprises ignorent le NIS2. « Elles attendent également ce créneau, mais entre-temps, elles doivent se conformer au NIS2. C’est un défi », explique Mme Pauwelyn.
La sécurité par couches
Dons rassure. « Il y a des moyens d’y remédier. Je pense que le plus important réside dans l’architecture, et plus particulièrement dans la manière dont vous divisez le réseau. La sécurité se fait toujours par couches. Par exemple, lorsque vous voulez mettre à jour un système XP, vous êtes déjà immédiatement sur l’une des dernières couches. Il y a beaucoup de choses que vous pouvez mettre entre les deux ». En d’autres termes, M. Dons ne veut pas se focaliser sur les choses que vous ne pouvez pas améliorer, car il existe de nombreuses options architecturales qui peuvent renforcer la sécurité des environnements OT et qui sont réalisables.
lire aussi
Principes informatiques que vous ne pouvez pas imposer aux environnements OT
Il poursuit : « Lors du NIS1, on parlait déjà de l’importance de la surveillance, et c’était un sujet sensible à l’époque. Depuis, beaucoup de choses ont changé et de nombreux outils matures sont apparus. Les gens et les entreprises commencent à comprendre de mieux en mieux le modèle commercial de la sécurité informatique.
Architecture et segmentation
« La meilleure chose que vous puissiez faire maintenant est de miser sur l’architecture », répète M. Dons. Il parle ensuite principalement de la segmentation du réseau : si des composants du réseau OT sont sensibles, vous devez les protéger et bloquer les menaces avant qu’elles n’atteignent le réseau OT.
Le mieux que vous puissiez faire est de parier sur l’architecture.
Yoran Dons, consultant en sécurité ICS chez SoterICS
Ongena est d’accord. C’est pour cette raison qu’AXS Guard a développé des solutions OT spécifiques. « La segmentation joue un rôle important, de même que l’examen non invasif de ce qui se passe sur le réseau.
Suivi et collecte
En surveillant l’accès, un système de sécurité peut apprendre le comportement normal d’un environnement OT. Il est alors possible d’utiliser la détection d’anomalies pour détecter et bloquer le trafic étranger, en n’autorisant que le trafic légitime.
« En outre, les entreprises doivent collecter leurs actifs de technologie de l’information », explique M. Ongena. « C’est un gros problème, surtout pour les systèmes existants. Les organisations ne se souviennent pas toujours de ce qui se trouve à tel ou tel endroit. Un sous-traitant peut avoir installé une machine une fois, mais il est parti depuis. » Le reste de la table acquiesce. « L’inventaire automatique est donc également très important. »
Rapide mais dangereux
Ongena comprend que les choses tournent parfois mal. « De plus en plus de systèmes de contrôle ont besoin d’un accès à l’internet. Lors de l’installation, les entrepreneurs résolvent le problème en installant rapidement, par exemple, un petit routeur qui passe toutes les mesures de sécurité. Tant qu’il y a de l’internet. Vous devez interdire ce genre de choses, mais vous devez aussi fournir une solution. Vous devez fournir une connectivité internet, que vous pouvez ensuite surveiller ».
Parfois, la seule solution consiste à mettre les choses dans une boîte fermée à clé.
Alex Ongena, PDG et fondateur d’AXS Guard
Les participants s’accordent sur un point essentiel : imposer les principes de la technologie de l’information à la technologie de l’information ne fonctionnera pas. L’environnement OT a besoin d’une approche spécifique. Ongena ajoute : « Parfois, la seule solution consiste à mettre les choses dans une boîte fermée par un cadenas. Cela semble vieux, mais c’est vrai. Vous pouvez commencer à sceller physiquement les ports USB, par exemple. On ne voit plus cela dans le monde de l’informatique ».
Choc culturel
Les solutions techniques et pratiques existent, mais elles ne suffisent pas. Chaque projet dépend des personnes qui l’animent. « Il y a également un besoin de formation », confirme M. Ongena. « Surtout dans le monde de l’ergothérapie. Les personnes qui y travaillent ont généralement une formation différente. Ils ont moins de connaissances en matière d’informatique et de sécurité. Nous devons leur proposer une formation spécifique. Cependant, il n’est pas toujours facile d’expliquer pourquoi c’est nécessaire. Il faut vraiment commencer à l’expliquer dès le début.
« La culture joue un rôle important », reconnaît M. Dons. Les organisations doivent en tenir compte dans leur approche de la technologie de l’information. En comprenant la complexité de l’environnement OT et en disposant d’un plan d’action adapté, même les entreprises dotées d’environnements de production complexes peuvent s’efforcer de se conformer à la norme NIS2.
Ceci est le deuxième éditorial d’une série de trois sur le thème du NIS2. Cliquez sur notre page thématique pour voir tous les articles de la table ronde, la vidéo et nos partenaires.