Cyber-convergence IT/OT

La convergence IT/OT peut s'appliquer aux organisations qui gravitent dans des domaines aussi variés que l’industrie, la santé, les transports, l’éducation, les services publics et d'autres encore. Elle permet de faire converger les technologies des environnements IT (Technologie de l'Information) et OT (Technologie Opérationnelle) de manière à les intégrer efficacement sur une même infrastructure informatique pour qu'elles constituent un système unique cohésif. Ce système bénéficie alors d'une réduction des erreurs et des coûts opérationnels, d'une surveillance et d'un contrôle plus direct, associés à une analyse plus facile des données, ce qui facilite la création de rapports financiers et de conformité pour une meilleur efficacité, d’améliorer les flux de travail (workflows) et d’acquérir des avantages concurrentiels et mesurables.

La convergence IT/OT se décline en trois axes de convergence : 

1. La convergence des processus : Elle couvre la convergence des flux de travail. Les départements IT et OT doivent réformer leurs processus pour s'accommoder les uns des autres et s'assurer que des projets importants sont diffusés. Il s'agit d'une convergence organisationnelle qui traite de la structure de l'activité interne. 
2. La convergence des logiciels et des données : Elle consiste à faire fonctionner les logiciels et les données du front office pour répondre aux besoins en matière d'OT. Il s'agit d'une convergence technique impliquant l'architecture de réseau de l'entreprise.
3. La convergence physique : Elle comprend la convergence ou l'adaptation des dispositifs physiques avec du matériel plus récent pour tenir compte de l'ajout d'IT aux technologies de l'information traditionnelles. Il s'agit d'une convergence opérationnelle, où le matériel lui-même est mis à jour et maintenu dans le temps.

Ces axes prennent alors diverses orientations en fonction des besoins et des objectifs des organisations concernées. Le passage à l’industrie 4.0 quant à lui, favorise une interconnectivité sans précédent dans les environnements de production, entrainant une démultiplication des demandes d’accès Internet aux seins des environnements OT. Face à cette transformation numérique, les organisations qui exploitent des environnements industriels, sont régulièrement amenés à faire cohabiter leurs systèmes IT et OT (suppression des silos entre les environnements), ce qui engendre de gros chamboulements au niveau de la sécurité. La résultante de cette « mutation » leur impose de revoir l’ensemble de leurs mesures en matière de cybersécurité, tant sur le plan sécurité que traçabilité (voir ce billet).

En fait, les organisations industries modernes sont aux prises avec deux mondes bien différents :

• Un monde physique traditionnel, implémenté de machines, de dispositifs électromécaniques, de systèmes de fabrication et d'autres équipements industriels.
• Un monde numérique utilisant des serveurs, des réseaux et d'autres dispositifs utilisés pour exécuter des applications, traiter des données et même prendre des décisions critiques sans intervention humaine.

Sans cette convergence, les domaines de ces deux mondes restent quasi cloisonnés et ne partagent que très peu de données, il en est d’ailleurs de même pour leurs personnels dont les compétences sont nettement différentes. Maintenant, les progrès des technologies telles que l'internet des objets et l'analyse des mégadonnées permettent systématiquement au monde de l'information numérique de voir, de comprendre et d'influencer le monde physique opérationnel. Pour ces raisons, les organisations doivent faire converger leurs systèmes IT/OT, c’est-à-dire intégrer leurs réseaux IT, qui gèrent les données de production, avec leurs réseaux OT, qui eux gèrent principalement les données provenant de systèmes de surveillance et de contrôle de la production, telles que les historiques de températures et de pression des raffineries pétrolières par exemple. Les données qui émanent des systèmes OT sont donc intégrées aux processus métiers de l'organisation.

Malheureusement, la technologie opérationnelle (OT) n’a jamais été une technologie dite « en réseau » et elle n’est que très rarement interconnectée avec d’autres réseaux, encore moins avec Internet. De plus, elle utilise des protocoles propriétaires relativement fermés et nombre de ses dispositifs de surveillance ou de réglage n’ont jamais été informatisés. Il n’est donc pas évident de fournir le niveau de sécurité adéquat pour la communication réseau et les données industrielles. C’est pourquoi les organisations qui conduisent la convergence OT vers l’IT doivent éduquer et former leurs équipes pour comprendre les enjeux et la mise en œuvre d'une sécurité adéquate. 

Mais lorsqu'elle est correctement menée et ne forme qu'un seul environnement uniforme, la convergence IT/OT permet :

• D'optimiser les contrôles, la gestion des processus commerciaux et les flux sur l’ensemble de la chaîne de fabrication pour limiter les erreurs et les pertes de temps.
• D'améliorer les prises de décision entre les différents services concernés et la collaboration des équipes IT & OT
• ... 

Elle nécessite néanmoins une évaluation minutieuse de la résilience et des facteurs de sécurité pour être efficace. Après, faire converger l’OT avec l’IT ne veut pas dire qu’il faut obligatoirement faire transiter le trafic OT dans l'environnement IT. Les réseaux IT et OT sont distincts et peuvent rester cloisonnés les uns des autres. Et plus particulièrement lorsque des systèmes OT critiques sont impliqués dans un processus industriel. Le partage d’un réseau commun, je ne parle même pas de l’aspect sécurité, pourrait être soumis à de lourdes charges de trafic et à des perturbations collatérales. Il est donc important, dans un tel contexte architectural, d'être en mesure de gérer de la manière la plus flexible possible, la segmentation réseau et fonctionnelle des environnements de l'organisation. En fait, l’objectif est de trouver l'adéquation la plus adaptée, capable de répondre aux diverses exigences en matière de protection, de réglementation et de gouvernance.

Décalages et divergences 

La convergence des technologies de l’information et opérationnelle amène de nouvelles parties prenantes dans l'environnement de sécurité, ce qui peut poser de véritables problèmes car elle résulte, lors de sa mise en œuvre, en un méli-mélo de technologies, d'équipes et de processus. Les équipes et les processus de sécurité informatique (IT) doivent intégrer les diverses exigences en temps réel des environnements industriels, telles que l’arrêt d’un réseau intelligent pendant quelques heures pour appliquer des correctifs par exemple, alors qu’il doit être opérationnel 24 heures sur 24, 7 jours sur 7. Et bien souvent, pour ne pas perturber leurs productions, les organisations équipées de dispositifs OT ignorent les vulnérabilités potentielles en matière de sécurité juste parce qu'elles n'ont pas les moyens de financer le coût des temps d'arrêt nécessaires pour remédier aux risques cyber.

Sur ce, viennent aussi se greffer diverses contraintes. On sait que les systèmes IT durent rarement plus de cinq ans alors que les systèmes OT, tels que des machines de fabrication, peuvent avoir des cycles de vie qui se mesurent en décennies. De plus, toujours du côté sécurité, comme ils ne sont pas conçus pour se connecter à Internet, ce qui implique que protéger et configurer des dispositifs OT à distance, relève quasi de l'exploit et conduit implicitement laisser le champs libre aux cyberattaques et aux vulnérabilités.

Protéger les accès distants à un environnement OT

Maintenant, il est vrai que pour affronter les défis du marché, et notamment depuis l'arrivée de l'IoT, du cloud ou encore de l’IA, les environnements OT sont plus agiles, plus prédictifs, plus résilients, mais avec une contrepartie beaucoup plus sombre qui les expose aux risques liés à la cybersécurité. Un nouveau défi attend donc le secteur industriel, celui de protéger l’accès distant à l’environnement OT. Reste maintenant à le challenger car protéger des cybermenaces l'ensemble des entrées externes qui conduisent aux environnements IT/OT est un pan essentiel en matière de cybersécurité. L'ANSSI à d'ailleurs sortie un guide sur « La cybersécurité des systèmes industriels - Méthode de classification » (voir ce billet). La cybermenace donc est l’affaire de tous et le département OT doit prendre conscience que son homologue IT ne doit pas être le seul à arbitrer sur le cyber-terrain de l’organisation. Il doit discuter avec lui et apprendre à ses côtés, les règles du jeu s’il veut éviter un arrêt partiel ou total de sa production en cas de cyberattaque. Même s’il maitrise l’opérationnel de son environnement, il doit en assurer la sécurité. Et pourtant, à défaut de me répéter, l’interconnectivité des ces environnements génère une accélération des risques aux seins des SI industriels, et il y a différentes raisons à ça :

• Déjà pour les besoins d’accès aux applications qui se font de plus en plus à distance et par tout type de populations, infogéreurs, fournisseurs (à partir de postes non maitrisés par la DSI) et aussi pour les internes dans des contextes de télétravail ou d’astreintes... On a donc une démultiplication des accès distants
• Parce que les données industrielles sont pour certaines stockées dans le Cloud
• Pour la maintenance et la supervision des équipements de production à distance
• Par rapport aux interconnexions entre les environnements IT et OT et aux nouveaux besoins de transfert de fichiers.

1. Privilégier les accès zero-trust

La conséquence de ces démultiplications d’accès élargie la surface d’attaque des différents systèmes stratégiques industriels, et les exposent de plus en plus aux menaces cyber et physiques, il faut donc que les défenses des industriels en fassent autant. Le premier rempart de protection zero-trust pour accéder aux systèmes IT et OT doit déjà s'appliquer au poste utilisateur. Le constructeur IGEL Technology a développé sa propre solution de protection zero-trust : IGEL OS. C'est un OS Linux sécurisé pour les terminaux, basé sur un Modèle de Sécurité Préventive. Et rapport à la convergence IT/OT, son CTO, John Walsh, écrit dans cet article de blog, qu'à des fins d'efficacité, d'analyse et d'opérations à distance, les environnements OT sont de plus en plus souvent connectés aux réseaux informatiques, ce qui a pour effet de réduire la ligne de démarcation entre les risques cybers et physiques et d'élargir la surface d'attaque. Dans le même temps, les pressions réglementaires, telles que la directive Européenne NIS2, les exigences CIRCIA (Cyber Incident Reporting for Critical Infrastructure Act) aux Etats-Unis ou encore certaines normes sectorielles, s'intensifient et exigent une surveillance unifiée de la sécurité, une réponse intégrée aux incidents et une gestion holistique des risques. Les conseils d'administration mettent aussi l'accent sur la résilience opérationnelle et l'adoption des principes de zero-trust, et c'est pourquoi les organisations doivent agir rapidement pour établir une interopérabilité transparente et sécurisée entre ces environnements historiquement cloisonnés. Cette réalité fait passer la convergence IT/OT du statut de « meilleure pratique théorique » à celui d'impératif opérationnel urgent, dixit John Walsh, car les systèmes de contrôle industriel, les ateliers de fabrication et les infrastructures critiques sont devenus des cibles de choix pour les cyberattaques.

Tous les chemins d'accès entrants sur les systèmes de l'organisation doivent aussi faire l'objet d'un contrôle strict, basé sur la notion de non-confiance. Le deuxième rempart de protection, en amont du poste d'accès, doit donc pouvoir s'appuyer sur des solutions d'accès basées sur un modèle « ZTNA » (Zero Trust Network Access) ou par défaut, on ne fait pas confiance à l'identité qui se connecte. Elles doivent au minimum pouvoir :

1. Offrir un tunnel d'accès sécurisé et crypté
2. Valider l'identité qui se connecte
3. Renforcer l'authentification
4. Vérifier le contexte de connexion.

On comprend donc assez aisément qu'une solution de type VPN, atteint très rapidement, voire jamais, ces exigences minimales. En plus, d'autres éléments de protection peuvent venir se greffer à ce sous ensemble minimal, tels que le contrôle dynamique et continu de l’utilisateur, basé sur son contexte et son comportement, la gestion de ports dynamiques, volatiles et aléatoires sur le poste d'accès, les technologies d'isolation pour n'afficher que des images et ne laisser passer que le trafic clavier/souris, garantissant une rupture protocolaire, la gestion des flux sortant sans ouverture de port pour éviter que les applications ne soient exposées sur le réseau, la réécriture d’url, etc...

2. Gérer les privilèges des identités

Mais la protection des accès distants nécessite aussi de s'intéresser aux différents types de populations qui se connectent à l'organisation. Ne serait-ce que pour connaitre les privilèges qui sont associés à leurs identités d'accès et leurs champs d'actions sur les différents systèmes d'information. En règle générale, les personnels qui interviennent sur des ressources industrielles, exécutent des tâches de maintenance, de configuration ou encore de mises à jour, qui nécessitent en général des privilèges élevés, de type « administrateur ». Il faut donc que la solution de protection des entrées soit en mesure de sécuriser ces usages à privilège en s'appuyant sur le principe du moindre privilège et en proposant un accès « Just in Time » (juste à temps), qui provisionne l’accès pour que les utilisateurs disposent uniquement des privilèges qui leur permettent d’accéder aux identités à privilèges et aux ressources dont ils ont besoin et seulement où ils en ont besoin. On parle alors de protection de type PAM (Privileged Access Management).

3. ZTNA & PAM pour une protection d'accès maximale 

Il existe fort heureusement des solutions basées sur un modèle ZTNA qui intègre nativement des fonctionnalités de gestion des privilèges (PAM) pour sécuriser les accès des identités à tout type d'environnement, industriel et autres. L'éditeur européen Systancia en est l'exemple parfait au travers de sa plateforme européenne IAM zero-trust en mode SaaS « cyberelements.io ». C'est la seule plateforme zero-trust qui unifie le provisionnement des identités et la sécurité des d'accès (privilégiés et autres), pour garantir une connexion contrôlée et protégée. Elle offre le meilleur ROI du marché et grâce à son architecture multisites, multi-tenants et multi-annuaires, elle gère nativement les environnements segmentés tels qu'on les trouve dans les systèmes complexes industriels.

Pour information, l'éditeur propose également le même type de protection en mode « on-premise », avec sa solution cyberelements Cleanroom.

La naïveté va-t-elle surclasser la raison ?

Mais malheureusement, nombre d’industriels sont encore trop naïfs face aux cybermenaces et pourtant, la hausse des connexions, entre machines et systèmes informatiques dans des organisations mal sécurisées fragilise la sécurité des systèmes industriels et les expose aux potentielles attaques des cyberpirates. Et comme les équipes informatiques ne collaborent que très peu avec celles de production industrielle, elles ne peuvent développer une stratégie cyber conjointement pour protéger efficacement leurs systèmes :

• L'entité IT se focus sur la sécurisation de son système d’information, face aux attaques externes
• L'entité OT elle n’a de préoccupation que pour l’amélioration de sa production.

Ce manque de communication, mais pas que, freine l'adoption et le déploiement d'une stratégie cyber commune. Il faut impérativement que ces deux entités collaborent pour faciliter la transition vers l’industrie du futur, car si nul n’est prophète, ou plutôt de naissance matador en son pays, prendre un taureau par les cornes sans même avoir la maitrise de l’animal, c'est élever à la puissance « X » le facteur de risques (Allô ! Maman, Bobo). 

Après, il ne faut pas trop noircir le tableau, car aujourd'hui, certains leaders technologiques envisagent une convergence imminente de l'intelligence humaine et de l'IA qui pourrait signifier une cinquième révolution industrielle, synonyme d'une ère cognitive. L'industrie 5.0 arrive dans vos foyers Messieurs les responsables OT, alors n'attendez plus pour mettre en place dès à présent, une stratégie globale de réponse aux risques de piratage et pour implémenter les systèmes de protection nécessaires à la survie de votre production. Et si vous avez besoin d'aide pour le financement pour votre projet cyber, n'hésitez pas à consulter le centre de coordination Cyber français (voir ce billet) pour vérifier si vous êtes éligible aux dispositifs financiers européens.

Voir également sur le site « techtarget.com » cet article complet sur la convergence IT/OT.