Limiter la recherche à:
réinitialiser

Retour sur le CRITIS 2021

Faire se rejoindre les réseaux industriels et les réseaux de services en toute sécurité, est-ce possible ?
Auteur: Anne Lupfer
Contact: Simon Berther
Eraneos Romandie Blog Faire se rejoindre les réseaux industriels et les réseaux de services en toute sécurité, est-ce possible ?
Le point de vue de l’industrie
La convergence des systèmes IT et OT fait l’actualité. Depuis quelques années, les systèmes industriels sont de plus en plus communiquant et interconnectés aussi bien entre eux qu’avec d’autres systèmes. Évidemment, ce n’est pas sans conséquence. Malheureusement, la réalité rejoint la fiction : ici un hôpital[2] qui n’est plus en capacité d’accueillir ses patients ; là, des avions maintenus au sol suite à un pipeline[3] en arrêt forcé ; ailleurs encore, des commerces fermés car en incapacité de faire fonctionner les caisses enregistreuses[4]. Même l’espace[5] n’est pas épargné !

OT - Qu'est-ce que l'OT ?

OT signifie Operational Technology et s'occupe des machines de production et des chaînes de fabrication, tandis que IT s'occupe des serveurs, des postes de travail et des réseaux. Il y a peu, ces deux réseaux pouvaient coexister sans communiquer ni s'imbriquer l'un dans l'autre. Cela est en train de changer : l'OT constitue une interface avec l'informatique de gestion afin de faciliter toutes les activités d'une entreprise.
Réflexions
Eraneos Blog Romandie réseaux OT et IT

Pour certains, l’OT dispose de particularités qui comparées à l’IT rendent le sujet plus sensible et singulier. Voici les deux arguments les plus souvent exposés :


Les réseaux OT et IT sont de plus en plus interconnectés ce qui réunit deux mondes jusque-là incompatibles. Vraiment ?

  • La principale vulnérabilité des équipements OT (automate de surveillance médical, contrôleur de vannes d’eau potable, capteurs de température…) est l’obsolescence logicielle : couches logicielles désuètes (nombreux équipements de ce type sont encore sous Windows XP, par exemple) et non patchées. Cette situation est due, aux fabricants et éditeurs qui ne proposent pas (ou très rarement) de maintenance applicative et  aux utilisateurs qui ne déploient les mises à jour par peur de casser quelque chose qui fonctionne. Situation parfaitement similaire à ce que connaissaient les systèmes IT il y a encore peu.


Les réseaux OT sont plus critiques que les réseaux IT : éteindre l’infrastructure, même temporairement,

n’est pas une option. Vraiment ?

  • Une infrastructure est dite critique lorsque son interruption peut engendrer des dégâts majeurs. Ces dégâts peuvent porter sur la vie humaine ou sur l’économie d’un état. Il est évident qu’une centrale nucléaire, une usine de traitement des eaux, un fournisseur d’énergie sont critiques. Si leurs activités cessent, même un instant, des vies sont en jeu. C’est aussi le cas de banques et d’instituts financiers, d’assurances, de services gouvernementaux, et bien d’autres qui ne disposent pas de chaîne de production mais dont l’exploitation de la donnée est vitale. Pouvez-vous imaginer être incapable de retirer de l’argent ou de recevoir votre payement mensuel ?


L’OT est composé d’une plus grande variété de technologies, qui sont moins standardisées et  dont les dysfonctionnements impactent plus fréquemment la sécurité des personnes que l’IT. Des similitudes structurantes entre OT et IT sont cependant évidentes. Similitudes sur lesquelles il faudra capitaliser pour sécuriser l’ensemble de la chaîne OT et IT. L’OT connait en réalité une évolution similaire à celle connue par l’IT, il y a quelques années. À la différence que cette évolution est fulgurante et que notre dépendance à la technologie est avérée. Cette évolution change donc radicalement le paysage des risques des entreprises.
Un paysage des risques qui évolue

L’interconnexion des systèmes OT aux SI engendre, comme l’ouverture des réseaux par le passé, une augmentation de la surface d’attaques. En d’autres termes, les points d’entrée dans l’entreprise sont de plus en plus nombreux. La variété des technologies ajoute une complexité à la supervision et à la maîtrise des réseaux.


Les objets sont de plus en plus savants : votre montre peut dire où vous étiez quand et à quelle heure, communiquer un rapport d’activité ou de santé à votre assureur qui en fera usage pour ajuster, quasi en temps réel, votre couverture santé. S’assurer que les objets connectés des clients ne contaminent pas le réseau de l’entreprise en est une conséquence, tout comme protéger les données collectées en est une autre.


L’automatisation des voitures engendre d’autres évolutions du paysage des risques des constructeurs automobiles. La voiture autonome est susceptible de prendre seule des décisions, bonnes ou mauvaises. Les responsabilités de chacun doivent être clarifiées et formalisées. Imaginez que la voiture soit piratée pour devenir une arme en fonçant dans une foule et blesser voire tuer des personnes.


Ces exemples, loin d’être exhaustifs, démontrent que les objets les plus anodins peuvent modifier l’univers des risques des entreprises qu’elles soient fournisseurs ou utilisatrices de solutions technologiques.

Que faire ?
Eraneos Blog Romandie Cybersécurité Créer une culture de la sécurité

Les bonnes pratiques de la sécurité IT comme NIST peuvent également être appliquées à l’OT. Voici une sélection de solutions pour améliorer le niveau de sécurité de l’OT et améliorer la résilience des infrastructures critiques.  


La première chose à faire pour une entreprise est d’apprendre de son écosystème dans le but de comprendre ce  qu’elle doit protéger, de qui et de quoi.


Connaître sa valeur : qu’est-ce qui possède de la valeur pour l’entreprise ? Qu’est-ce qui fait la valeur de l’entreprise ? Les réponses à ces questions sont propres à chaque organisation. Cela peut être les configurations des chaînes de production, les recettes de fabrication des produits, les prototypes, les données, les savoir-faire, etc.


Connaître ce qui a de la valeur permet de savoir ce qui doit être protégé, les conditions de protection et les technologies les plus adéquates.


Connaître ses menaces : les attaquants sont de plus en plus nombreux et possèdent des motivations toujours plus variées. Sachez à qui vous devez faire face, estimez leurs moyens et leurs motivations pour adapter votre stratégie de protection, de défense et de réaction.

Connaître ses adversaires pour comprendre comment ils fonctionnent et ce qui les motive pour adapter votre stratégie de protection.


En parallèle, il faut construire une culture sécurité au sein de l’entreprise et en dehors. Impliquer et responsabiliser chacun à la sécurité est un indispensable pour la survie de toute organisation.


Développer une culture sécurité qui englobe tous les acteurs de la sécurité qu’ils soient actifs ou passifs. C’est le modèle de la sécurité aéroportuaire qui compte sur chacun pour alerter en cas de doute ou de non-respect des règles de sécurité. Éduquer et sensibiliser en continu chacun aux risques de révéler des informations sur l’entreprise, de cliquer maladroitement sur un lien ou de partager son compte utilisateur.

Développer une culture sécurité fondée sur des règles et des principes clairs pour constituer une force de détection et réaction en cas d’attaque.

Construire une relation gagnant-gagnant avec ses tiers : travailler avec les constructeurs, éditeurs, fournisseurs de façon à avoir des produits d’un bon niveau de sécurité et de conformité dès la livraison (security by design et by default). Établir une relation long terme pour assurer le maintien en conditions de sécurité de ces appareils. Notamment en partageant les anomalies détectées et toutes les informations pertinentes avec le tiers.

Établir une relation constructive avec ses tiers pour avoir la garantie de produits sécurisés et répondants aux besoins et exigences de leur livraison à leur fin de vie.

Retour sur le CRITIS 2021 : Faire se rejoindre les réseaux industriels et les réseaux de services en toute sécurité, est-ce possible ?

Toutes les actions aussi pertinentes soient-elles, ne sont efficaces qu’avec une gouvernance adaptée et établie. Une bonne gouvernance passe inexorablement par des rôles et responsabilités connus.


Attribuer les responsabilités : connaître et comprendre son environnement permettra d’identifier ce qui relève de l’IT et de l’OT, d’expliquer les chemins d’attaque qui pourront traverser les différents environnements de l’entreprise. Une visibilité concrète des risques d’attaque permettra à chacun de prendre les mesures de sécurisation adéquates et adaptées tant à la technologie, qu’à l’organisation et aux besoins des métiers.

Attribuer les rôles et les responsabilités qui permettent à chacun de se sentir responsables et d’agir efficacement.


Mettre en œuvre et promouvoir une organisation transverse qui considère l’infrastructure critique comme une part intégrante de l’entreprise et non, comme un élément isolé et piloté de manière détaché. En effet, les frontières organisationnelles ne stoppent pas les attaquants. Un fonctionnement fluide entre les deux univers n’est possible que par l’attribution de responsabilités claires entre l’OT et l’IT associées à des canaux de communication adéquats pour viser l’objectif commun de la sécurisation.


Mettre en œuvre une organisation qui permet le travail collaboratif entre les équipes OT et IT pour viser un objectif commun et unique d’un niveau de sécurité adapté.

Toutes ces actions contribueront à améliorer la résilience de l’entreprise. Il n’est possible de réagir que lorsque nous avons connaissance d’être attaqué. Il n’est possible de réagir correctement que lorsque nous nous sommes préparés et exercés. Toutes ces actions ne visent qu’un seul but : être capable de détecter, de comprendre, de réagir et de répondre à une attaque.

Perspectives - Quelle est la suite des événements ?

Eraneos, tout comme plusieurs professionnels de l’OT, recommande que :

  • La sécurité soit prise en considération dès la conception des produits et des solutions – indépendamment de leur nature et leur fonction. Un travail collaboratif entre experts, utilisateurs et fournisseurs permettrait de gagner en flexibilité et d’améliorer le niveau de sécurité moyen des entreprises et des administrations.
  • La sécurité ne soit plus un sujet de second plan dans une cartographie des risques. Mais un sujet à part entière qui fasse sens pour les Directions Générales. Un sujet traité au plus haut niveau de manière adaptée au contexte de l’environnement pour permettre à tous de progresser.


Eraneos vous soutient avec ses cinq compétences clés, de la stratégie à la mise en œuvre :

Qu’est-ce que le CRITIS ?

CRITIS 2021 est l’évènement européen qui réunit des acteurs des infrastructures critiques : professionnels, chercheurs, consultants et académiciens venant d’organisations publiques, privées ou gouvernementales explorant aussi bien les champs de l’industrie, de la santé que de la défense.

Cette année, l’objectif de l’évènement était d’explorer les idées pour relever les défis de la résilience et de la sécurité sociétale, et favoriser le dialogue avec les parties prenantes.

Pour en savoir plus : https://critis2021.org/  

Postes vacants

Enabling digital performance.
ORGANISER LE CHANGEMENT NUMÉRIQUE
Sources


[2] https://thehackernews.com/2020/09/a-patient-dies-after-ransomware-attack.html

[3] https://www.bloomberg.com/news/articles/2021-06-04/hackers-breached-colonial-pipeline-using-compromised-password

[4] https://www.24heures.ch/les-hackers-reclament-septante-millions-de-dollars-698669187966

[5] https://eandt.theiet.org/content/articles/2021/09/national-space-strategy-outlines-long-term-hope-for-uk-space-sector/

Nous utilisons des cookies pour vous offrir une expérience utilisateur optimale.
En continuant à utiliser notre site Web, vous consentez à l'utilisation de témoins. Veuillez consulter notre politique de confidentialité si vous souhaitez en savoir plus à ce sujet.