Décalages et divergences
La convergence des technologies de l’information et opérationnelle amène de nouvelles parties prenantes dans l'environnement de sécurité, ce qui peut poser de véritables problèmes car elle résulte, lors de sa mise en œuvre, en un méli-mélo de technologies, d'équipes et de processus. Les équipes et les processus de sécurité informatique (IT) doivent intégrer les diverses exigences en temps réel des environnements industriels, telles que l’arrêt d’un réseau intelligent pendant quelques heures pour appliquer des correctifs par exemple, alors qu’il doit être opérationnel 24 heures sur 24, 7 jours sur 7. Et bien souvent, pour ne pas perturber leurs productions, les organisations équipées de dispositifs OT ignorent les vulnérabilités potentielles en matière de sécurité juste parce qu'elles n'ont pas les moyens de financer le coût des temps d'arrêt nécessaires pour remédier aux risques cyber.
Sur ce, viennent aussi se greffer diverses contraintes. On sait que les systèmes IT durent rarement plus de cinq ans alors que les systèmes OT, tels que des machines de fabrication, peuvent avoir des cycles de vie qui se mesurent en décennies. De plus, toujours du côté sécurité, comme ils ne sont pas conçus pour se connecter à Internet, ce qui implique que protéger et configurer des dispositifs OT à distance, relève quasi de l'exploit et conduit implicitement laisser le champs libre aux cyberattaques et aux vulnérabilités.
Protéger les accès distants à un environnement OT
Maintenant, il est vrai que pour affronter les défis du marché, et notamment depuis l'arrivée de l'IoT, du cloud ou encore de l’IA, les environnements OT sont plus agiles, plus prédictifs, plus résilients, mais avec une contrepartie beaucoup plus sombre qui les expose aux risques liés à la cybersécurité. Un nouveau défi attend donc le secteur industriel, celui de protéger l’accès distant à l’environnement OT. Reste maintenant à le challenger car protéger des cybermenaces l'ensemble des entrées externes qui conduisent aux environnements IT/OT est un pan essentiel en matière de cybersécurité. L'ANSSI à d'ailleurs sortie un guide sur « La cybersécurité des systèmes industriels - Méthode de classification » (voir ce billet). La cybermenace donc est l’affaire de tous et le département OT doit prendre conscience que son homologue IT ne doit pas être le seul à arbitrer sur le cyber-terrain de l’organisation. Il doit discuter avec lui et apprendre à ses côtés, les règles du jeu s’il veut éviter un arrêt partiel ou total de sa production en cas de cyberattaque. Même s’il maitrise l’opérationnel de son environnement, il doit en assurer la sécurité. Et pourtant, à défaut de me répéter, l’interconnectivité des ces environnements génère une accélération des risques aux seins des SI industriels, et il y a différentes raisons à ça :
- Déjà pour les besoins d’accès aux applications qui se font de plus en plus à distance et par tout type de populations, infogéreurs, fournisseurs (à partir de postes non maitrisés par la DSI) et aussi pour les internes dans des contextes de télétravail ou d’astreintes... On a donc une démultiplication des accès distants
- Parce que les données industrielles sont pour certaines stockées dans le Cloud
- Pour la maintenance et la supervision des équipements de production à distance
- Par rapport aux interconnexions entre les environnements IT et OT et aux nouveaux besoins de transfert de fichiers.
1. Privilégier les accès zero-trust
La conséquence de ces démultiplications d’accès élargie la surface d’attaque des différents systèmes stratégiques industriels, et les exposent de plus en plus aux menaces cyber et physiques, il faut donc que les défenses des industriels en fassent autant. Le premier rempart de protection zero-trust pour accéder aux systèmes IT et OT doit déjà s'appliquer au poste utilisateur. Le constructeur IGEL Technology a développé sa propre solution de protection zero-trust : IGEL OS. C'est un OS Linux sécurisé pour les terminaux, basé sur un Modèle de Sécurité Préventive. Et rapport à la convergence IT/OT, son CTO, John Walsh, écrit dans cet article de blog, qu'à des fins d'efficacité, d'analyse et d'opérations à distance, les environnements OT sont de plus en plus souvent connectés aux réseaux informatiques, ce qui a pour effet de réduire la ligne de démarcation entre les risques cybers et physiques et d'élargir la surface d'attaque. Dans le même temps, les pressions réglementaires, telles que la directive Européenne NIS2, les exigences CIRCIA (Cyber Incident Reporting for Critical Infrastructure Act) aux Etats-Unis ou encore certaines normes sectorielles, s'intensifient et exigent une surveillance unifiée de la sécurité, une réponse intégrée aux incidents et une gestion holistique des risques. Les conseils d'administration mettent aussi l'accent sur la résilience opérationnelle et l'adoption des principes de zero-trust, et c'est pourquoi les organisations doivent agir rapidement pour établir une interopérabilité transparente et sécurisée entre ces environnements historiquement cloisonnés. Cette réalité fait passer la convergence IT/OT du statut de « meilleure pratique théorique » à celui d'impératif opérationnel urgent, dixit John Walsh, car les systèmes de contrôle industriel, les ateliers de fabrication et les infrastructures critiques sont devenus des cibles de choix pour les cyberattaques.
Tous les chemins d'accès entrants sur les systèmes de l'organisation doivent aussi faire l'objet d'un contrôle strict, basé sur la notion de non-confiance. Le deuxième rempart de protection, en amont du poste d'accès, doit donc pouvoir s'appuyer sur des solutions d'accès basées sur un modèle « ZTNA » (Zero Trust Network Access) ou par défaut, on ne fait pas confiance à l'identité qui se connecte. Elles doivent au minimum pouvoir :
- Offrir un tunnel d'accès sécurisé et crypté
- Valider l'identité qui se connecte
- Renforcer l'authentification
- Vérifier le contexte de connexion.
On comprend donc assez aisément qu'une solution de type VPN, atteint très rapidement, voire jamais, ces exigences minimales. En plus, d'autres éléments de protection peuvent venir se greffer à ce sous ensemble minimal, tels que le contrôle dynamique et continu de l’utilisateur, basé sur son contexte et son comportement, la gestion de ports dynamiques, volatiles et aléatoires sur le poste d'accès, les technologies d'isolation pour n'afficher que des images et ne laisser passer que le trafic clavier/souris, garantissant une rupture protocolaire, la gestion des flux sortant sans ouverture de port pour éviter que les applications ne soient exposées sur le réseau, la réécriture d’url, etc...
2. Gérer les privilèges des identités
Mais la protection des accès distants nécessite aussi de s'intéresser aux différents types de populations qui se connectent à l'organisation. Ne serait-ce que pour connaitre les privilèges qui sont associés à leurs identités d'accès et leurs champs d'actions sur les différents systèmes d'information. En règle générale, les personnels qui interviennent sur des ressources industrielles, exécutent des tâches de maintenance, de configuration ou encore de mises à jour, qui nécessitent en général des privilèges élevés, de type « administrateur ». Il faut donc que la solution de protection des entrées soit en mesure de sécuriser ces usages à privilège en s'appuyant sur le principe du moindre privilège et en proposant un accès « Just in Time » (juste à temps), qui provisionne l’accès pour que les utilisateurs disposent uniquement des privilèges qui leur permettent d’accéder aux identités à privilèges et aux ressources dont ils ont besoin et seulement où ils en ont besoin. On parle alors de protection de type PAM (Privileged Access Management).
3. ZTNA & PAM pour une protection d'accès maximale
Il existe fort heureusement des solutions basées sur un modèle ZTNA qui intègre nativement des fonctionnalités de gestion des privilèges (PAM) pour sécuriser les accès des identités à tout type d'environnement, industriel et autres. L'éditeur européen Systancia en est l'exemple parfait au travers de sa plateforme européenne IAM zero-trust en mode SaaS « cyberelements.io ». C'est la seule plateforme zero-trust qui unifie le provisionnement des identités et la sécurité des d'accès (privilégiés et autres), pour garantir une connexion contrôlée et protégée. Elle offre le meilleur ROI du marché et grâce à son architecture multisites, multi-tenants et multi-annuaires, elle gère nativement les environnements segmentés tels qu'on les trouve dans les systèmes complexes industriels.
Pour information, l'éditeur propose également le même type de protection en mode « on-premise », avec sa solution cyberelements Cleanroom.
La naïveté va-t-elle surclasser la raison ?
Mais malheureusement, nombre d’industriels sont encore trop naïfs face aux cybermenaces et pourtant, la hausse des connexions, entre machines et systèmes informatiques dans des organisations mal sécurisées fragilise la sécurité des systèmes industriels et les expose aux potentielles attaques des cyberpirates. Et comme les équipes informatiques ne collaborent que très peu avec celles de production industrielle, elles ne peuvent développer une stratégie cyber conjointement pour protéger efficacement leurs systèmes :
- L'entité IT se focus sur la sécurisation de son système d’information, face aux attaques externes
- L'entité OT elle n’a de préoccupation que pour l’amélioration de sa production.
Ce manque de communication, mais pas que, freine l'adoption et le déploiement d'une stratégie cyber commune. Il faut impérativement que ces deux entités collaborent pour faciliter la transition vers l’industrie du futur, car si nul n’est prophète, ou plutôt de naissance matador en son pays, prendre un taureau par les cornes sans même avoir la maitrise de l’animal, c'est élever à la puissance « X » le facteur de risques (Allô ! Maman, Bobo).
Après, il ne faut pas trop noircir le tableau, car aujourd'hui, certains leaders technologiques envisagent une convergence imminente de l'intelligence humaine et de l'IA qui pourrait signifier une cinquième révolution industrielle, synonyme d'une ère cognitive. L'industrie 5.0 arrive dans vos foyers Messieurs les responsables OT, alors n'attendez plus pour mettre en place dès à présent, une stratégie globale de réponse aux risques de piratage et pour implémenter les systèmes de protection nécessaires à la survie de votre production. Et si vous avez besoin d'aide pour le financement pour votre projet cyber, n'hésitez pas à consulter le centre de coordination Cyber français (voir ce billet) pour vérifier si vous êtes éligible aux dispositifs financiers européens.