L'IT comme modèle pour la sécurité OT

La sécurité des environnements OT (« Operational Technology ») s’améliore, mais l’IT (« Information Technology ») a encore des années devant elle. De plus, un récent rapport de Fortinet montre que les OT ont peu appris des IT et qu’ils reproduisent donc les mêmes fautes.

Un homme averti en vaut deux, mais une entreprise. Fortinet a récemment publié un nouveau rapport basé sur une enquête menée auprès de 570 experts en informatique. L’enquête porte sur la sécurité des systèmes OT des entreprises.

La sécurité OT suit donc la même trajectoire que la sécurité informatique. Il semble que les leçons étaient en vain. « L’histoire se répète », regrette Patrick Commers. Évangéliste en cybersécurité chez Fortinet en Belgique, il travaille pour le spécialiste de la sécurité depuis 12 ans. Commers analyse le rapport à sa manière et est ravi de nous en faire part.

L’importance de la sécurité OT

L’OT, ou technologie opérationnelle, comprend l’infrastructure critique au sein des entreprises. Il ne s’agit pas de PC et de serveurs de stockage, mais de machines connectées telles que les scanners IRM, les transformateurs électriques, les broyeurs sur la chaîne de montage ou les gazoducs. La technologie opérationnelle est donc une composante essentielle des usines, des hôpitaux et des installations responsables de nos services publics : gaz, électricité, eau.

L’OT est au cœur de beaucoup d’organisations. Si elle est abimée, il en résulte une perte de revenus pour le secteur privé. Une entreprise faut une production pour payer les factures. Dans les infrastructures de services publics, ce sont même des vies humaines qui sont en jeu. L’OT est traditionnellement un environnement isolé où la fonctionnalité et la fiabilité prévalent sur la sécurité. Avec l’intégration de l’IT et de l’OT, le « air gap » entre les deux a complètement disparu, et les cybercriminels en ont pris conscience.

On observe donc un glissement de l’OT vers l’IT depuis un bon moment déjà. Il en va de même pour les cyberattaques. On parle même régulièrement de fusion. Pourtant, l’OT reste à la traîne, surtout en ce qui concerne la sécurité. La façon dont on regarde l’OT aujourd’hui est similaire à ce qu’était l’IT il y a environ cinq ans. Cela signifie malheureusement un retard.

Changement de responsabilité

Toutefois, la première conclusion de Commers est positive. « La responsabilité finale de l’OT et de la sécurité associée est de plus en plus transférée vers l’équipe IT », sait-il. « La responsabilité est de plus en plus confiée au RSSI. Voilà une évolution positive et tout à fait logique. » Les incidents majeurs ont de plus en plus d’impact à la fois sur l’IT et l’OT. « Les attaques passent par un environnement et infectent l’autre ou vice versa. Un utilisateur final qui combine l’IT et l’OT est donc une évolution positive. »

Commers croit que la Belgique serait bien avisée de transformer la directive européenne NIS2 en une véritable loi dès l’année prochaine, avec notamment une solide augmentation du nombre de secteurs qui doivent s’y conformer. Des secteurs où l’IT règne, mais aussi la chimie et les industries de production telles que l’alimentation.

Une telle loi pourrait, par exemple, limiter l’impact des attaques de la chaîne d’approvisionnement. Si le producteur, le fournisseur et le client disposent d’une sécurité correcte, il devient déjà beaucoup plus difficile de lancer une attaque par un seul maillon de la chaîne.

À cyberattaque

La deuxième conclusion concerne le nombre et les types d’attaques. Commers se réjouit du fait qu’un quart des personnes interrogées ont déclaré n’avoir subi aucune intrusion dans le domaine de l’OT. Il s’agit donc d’une augmentation de 19 % par rapport à une enquête antérieure. En revanche, les trois quarts ont connu un incident, ce qui est encore élevé.

Les rançongiciels et l’hameçonnage semblent toujours être les vecteurs d’attaque les plus populaires. Ce phénomène est dû en partie au fait que les solutions aux attaques sont disponibles « as-a-service ». « Il existe désormais de véritables kits de rançongiciel, y compris un service d’assistance », explique Commers. « Ils sont tellement faciles à utiliser que même les criminels peu spécialisés en informatique peuvent s’en servir. »

L’hameçonnage reste populaire parce que le côté humain reste le maillon le plus faible d’une organisation. Il est toujours facile de séduire ou d’inciter quelqu’un à cliquer sur quelque chose : « Un courriel bien formulé contenant un lien ou une pièce jointe peut suffire », explique Commers. Il faut donc craindre que les attaques ciblées contre l’OT se multiplient à l’avenir.

Un courriel bien formulé contenant un lien ou une pièce jointe peut suffire.

Chiffres

L’impact sur l’OT ou l’IT peut se résumer en quelques chiffres. Un peu plus de la moitié des incidents n’ont touché que l’IT. On constate une augmentation assez importante (de 21 à 32 %) des cas où l’OT ou l’IT ont été touchés tous les deux. Cela peut s’expliquer par l’interconnexion des deux environnements. Les incidents restants (17 %) n’ont touché que l’OT. La combinaison des deux derniers représente tout de même 49 % des incidents liés à l’environnement opérationnel.

Selon Fortinet, un incident (de sécurité) ou une intrusion se produit lorsqu’une « mauvaise partie » s’est introduite dans un environnement et a tenté d’agir. L’intrusion en soi peut avoir ou non un impact majeur.

Fait intéressant, l’enquête a néanmoins révélé une très forte augmentation des attaques contre la chaîne d’approvisionnement. En particulier dans l’industrie manufacturière. Dans ce secteur, de nombreux fournisseurs dépendent d’une entreprise, explique Commers.

Solutions et pièges possibles

Un premier examen révèle le cœur même du problème. « La sécurité OT a encore quelques années de retard », souligne Commers. Il faut donc rattraper ce retard de toute urgence. « Et ce n’est pas seulement le cas de la sécurité OT », soupire-t-il. « Dans de nombreuses organisations, la partie IT ne fonctionne pas non plus comme il faut. »

La solution la plus utilisée est déjà ancienne : NAC (« network and access control »). La visibilité est une première étape importante et c’est là que le NAC peut être utile. Commers : « La première phase devrait être un inventaire de tous les appareils du réseau. C’est le minimum absolu, sans visibilité, il est impossible de sécuriser quoi que ce soit ». Après la visibilité, il faut un SOC (« security operations center ») pour gérer et surveiller.

Dans de nombreuses organisations, la partie IT ne fonctionne pas non plus comme il faut.

Ensuite, trop d’organisations reproduisent la même erreur avec l’OT qu’avec l’IT. Elles accumulent une multitude de solutions point de différents fournisseurs, ce qui rend la situation complexe et difficile à gérer. « Il y a encore une pénurie de professionnels IT », prévient Commers. « Si on fait la même erreur avec l’OT, on ne trouvera pas du tout les bons professionnels pour surveiller une douzaine de tableaux de bord tout de suite. »

Danger à distance

Avec cette augmentation des attaques contre la chaîne d’approvisionnement, il est logique que la gestion à distance des appareils soit également de plus en plus envisagée. Les connexions à distance à un appareil ou à un environnement ne sont traditionnellement pas très sûres, c’est pourquoi l’accès à distance sécurisé est en plein essor.

Selon Commers, la plus forte augmentation des nouveaux déploiements est observée dans les solutions qui s’attaquent à la menace APT (« Advanced Persistent Threat »), ou menace persistante avancée. « Par exemple les environnements isolé, ou sandboxing, ou les techniques pour tromper les attaquants, telles que les pots de miel/pièges. Ce sont des systèmes d’alerte précoce qui peuvent avertir rapidement si quelque chose cloche ». Commers souligne que la détection précoce est très importante dans les environnements IT essentiels.

Une bonne solution consiste en un modèle à plusieurs couches. « L’EDR et le XDR sont les dernières lignes de défense », explique Commers. Ils n’avertissent de quelque chose que lorsqu’une menace devient active. Un sandbox avertit plus tôt. Le système existe depuis une dizaine d’années dans l’IT, mais vient juste à prendre racine dans la sécurité OT. Des éléments quasi obsolètes dans l’IT ne sont que maintenant appliqués dans l’OT.

Approche différente

Le plus grand défi en matière de sécurité OT est qu’il n’est pas possible d’arrêter simplement tout l’environnement. « Il faut que la sécurité soit beaucoup moins intrusive et, surtout, qu’elle ne bloque rien », explique-t-il. Arrêter les paquets en cas de doute est possible dans l’IT, mais dans une clinique ou une usine, cela est impossible. Tout l’environnement, y compris les machines essentielles, pourrait tout simplement être mis hors service. La sécurité OT met donc forcément l’accent sur cette visibilité.

La segmentation des réseaux est également de plus en plus appréciée dans l’OT. Encore une chose bien présente dans l’IT depuis de nombreuses années. « En fait, il est incroyable que certaines organisations ne s’y intéressent que maintenant », estime Commers. La segmentation du réseau consiste à séparer sur le réseau différents dispositifs ayant des niveaux d’importance (ou de vulnérabilité) différents les uns des autres. Après tout, rien ne justifie que la caméra de sécurité bon marché de l’entrée arrière et la serrure intelligente de l’entrepôt soient placées sur le même réseau que le scanner IRM.

(Manque d’) automatisation

Commers critique en particulier l’absence totale d’automatisation et d’intégration. « Il faut absolument que cela change au cours de la prochaine phase. De nombreuses organisations devront constater que leur mélange de solutions est tout simplement devenu trop complexe. »

Il insiste encore sur ce point. Dans la course entre l’OT et l’IT, les experts en sécurité OT font les mêmes erreurs. Ils adoptent trop d’outils différents et trop peu d’automatisation, alors qu’il n’y a déjà une pénurie de personnel. « Les mêmes erreurs se répètent », déclare-t-il.

Les critères de réussite dans l’OT sont encore souvent les temps de réponse et la productivité, sans aucune attention portée à la sécurité. Encore une fois, cela revient au même problème que lors de la transformation antérieure vers plus de l’IT : la vitesse et la flexibilité et la sécurisation sont venues après. Commers dit qu’il faut automatiser et intégrer dans l’OT pour éviter les mêmes fautes. Il regrette le manque d’innovation : « Les équipes de cybersécurité s’accrochent à leur concept de sécurité traditionnel. »

Les équipes de cybersécurité s’accrochent à leur concept de sécurité traditionnel.

Autocritique limitée

Dans une dernière section du rapport, on apprend comment les personnes interrogées se perçoivent aujourd’hui en termes de sécurité OT. Une échelle de maturité à cinq niveaux a été utilisée :

0 – pas de segmentation ni de visibilité en termes d’OT
1 – segmentation et visibilité définies
2 – accès et profilage définis
3 – comportement prédictif défini
4 – utiliser l’orchestration et l’automatisation

« Il est intéressant de constater que certaines organisations sont devenues plus critiques vis-à-vis d’elles-mêmes », note Commers. « L’année dernière, 21 % d’entre elles se plaçaient au niveau 4, ce qui représente une baisse de 8 % cette année. » La situation change au niveau trois, où le pourcentage passe de 35 à 44 %. Selon Commers, cela montre qu’on a encore du pain sur la planche. Il prévoit donc des incidents à l’avenir.

Vision de Fortinet

Alors, comment faire ? Commers a préparé une belle liste de points d’action, en commençant par la visibilité. Il en ressort un esprit combatif « NAC à toute allure. »

La visibilité, la segmentation du réseau et la micro-segmentation sont le strict minimum.
Il y a encore trop de solutions de points, la complexité doit être réduite.
Plus d’automatisation
Impliquer l’IT
Sécurité active (« Actionable security »)
Une architecture maillée avec un écosystème ouvert
Un pare-feu entre l’IT et l’OT est le minimum, l’intégration du réseau et du pare-feu est une bonne idée.
Inspecter, ne pas bloquer
Un VPN classique est trop statique, optez pour le « zero-trust »pour l’accès à distance.
Le défi de l’IT maintenant, sera le défi de l’OT d’ici à deux ans
Formation de sensibilisation, l’aspect humain reste important

NAC à toute allure.

Approche plate-forme

Les organisations doivent prendre le risque d’adopter une approche de plate-forme et de convergence du réseau et de la sécurité. L’OT est un réseau, mais avec ses propres caractéristiques. Il est donc préférable de ne plus faire de distinction entre le réseau et la sécurité. Les organisations doivent veiller à détecter les anomalies à un stade très précoce. Non pas en les bloquant, mais en prenant des mesures immédiates. La sécurité commence heureusement à faire son chemin vers le réseau. Avec la convergence de la commutation et de la sécurité, les entreprises et les organisations sont « En plein dans le mille », selon Commers.

Cookie	Duration	Description
__gads	1 year 24 days	Le cookie __gads, défini par Google, est stocké sous le domaine DoubleClick et permet de suivre le nombre de fois où les utilisateurs voient une publicité, de mesurer le succès de la campagne et de calculer ses revenus. Ce cookie ne peut être lu qu'à partir du domaine sur lequel il est installé et ne permet pas de suivre les données lors de la navigation sur d'autres sites.
_ga	2 years	Il s'agit d'un cookie de base de Google Analytics permettant d'identifier les utilisateurs de notre site Web. Par défaut, nous utilisons une version limitée de Google Analytics avant que les cookies ne soient acceptés. Les données y sont rendues anonymes et les fonctions de marketing sont désactivées.
_gid	1 day	Il s'agit d'un cookie de base de Google Analytics permettant d'identifier les utilisateurs de notre site Web. Par défaut, nous utilisons une version limitée de Google Analytics avant que les cookies ne soient acceptés. Les données y sont rendues anonymes et les fonctions de marketing sont désactivées.
cli_user_preference	1 year	Ce cookie garantit le bon fonctionnement de notre notification de cookies. Vos préférences sont stockées dans un cookie, afin que nous le sachions lors de votre prochaine visite.
CONSENT	2 years	YouTube place ce cookie via les vidéos YouTube intégrées et enregistre des données statistiques anonymes.
cookielawinfo*	1 year	Ce cookie garantit que notre notification de cookies fonctionne correctement. Vos préférences sont enregistrées dans un cookie afin que nous sachions quand vous nous rendrez visite la prochaine fois.
IDE	1 year 24 days	Les cookies Google DoubleClick IDE sont utilisés pour stocker des informations sur la façon dont l'utilisateur utilise le site web afin de lui présenter des annonces pertinentes et en fonction de son profil.
itdaily_lang	1 year	Ce cookie est nécessaire pour masquer la notification du pays. La notification du pays est affichée lorsque vous visitez le site web à partir d'un pays. C'est pourquoi nous proposons également une édition spécifique de ITdaily. Vous pouvez masquer cette notification grâce à ce cookie.
itdaily_theme	1 year	Ce cookie enregistre si vous voulez activer la version darkmode ou normale.
PHPSESSID	1 day	Ce cookie provient d'applications PHP standard. Le cookie est utilisé pour stocker et identifier une session d'utilisateur. Il s'agit d'un cookie de session qui est immédiatement supprimé lorsque vous fermez le navigateur.
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
viewed_cookie_policy	1 year	Ce cookie garantit le bon fonctionnement de notre notification de cookies. Vos préférences sont enregistrées dans un cookie afin que nous puissions connaître votre prochaine visite.
wordpress_*	30 days	Wordpress utilise plusieurs cookies pour que le site web fonctionne correctement, par exemple pour permettre à l'équipe éditoriale de se connecter.
wp-*	1 day	Wordpress utilise plusieurs cookies pour que le site web fonctionne correctement, par exemple pour permettre à l'équipe éditoriale de se connecter.

Cookie	Duration	Description
_li_id.*	2 years	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
_li_ses.*	30 minutes	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
itdaily_views	1 hour	Ce cookie est utilisé par notre propre système pour suivre les utilisateurs sur le site web.

Cookie	Duration	Description
_li_id.*	2 years	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
_li_ses.*	30 minutes	Ce cookie est utilisé par Leadinfo pour garder la trace des profils qui visitent ITdaily. Nous ne pouvons pas identifier les visiteurs individuels sur la base de ces statistiques.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par YouTube et est utilisé pour suivre les vues des vidéos intégrées dans les pages YouTube.

L’IT comme modèle pour la sécurité OT