Comme je le stipulais sur mon blog dernièrement, le passage à l’industrie 4.0 favorise une interconnectivité sans précédent dans les environnements de production, entrainant une démultiplication des demandes d’accès Internet aux seins des SI industriels. En plus, face à cette transformation numérique, les industriels sont régulièrement amenés à faire cohabiter leurs systèmes OT (Technologie Opérationnelle) avec les systèmes IT (Technologie de l'Information), ce qui engendre de gros chamboulements au niveau de la sécurité. La résultante de cette « mutation » impose aux industriels à revoir l’ensemble de leurs mesures en matière de cybersécurité, tant sur le plan sécurité que traçabilité.
On comprend donc aisément que cette sécurisation est primordiale, surtout qu’elle cible aujourd’hui des équipements qui ne cessent de se moderniser. Le challenge pour les industriels consiste donc à trouver la bonne adéquation, entre sécurité et respect des contraintes de production. De plus, comme les procédures d’accès aux locaux techniques des usines sont souvent complexes, la maintenance et le dépannage des actifs se fait souvent à partir d’accès distants, et ce, via des protocoles propriétaires, ce qui accroît les risques de sécurité et ne facilite pas les affaires des DSI. Il est donc important, mais compliqué dans un contexte industriel où les processus sont plutôt stricts, de trouver des solutions de sécurité qui soient à la fois capables de garantir la traçabilité des accès et des actions effectuées, mais en plus avec efficacité et agilité.
On parle beaucoup de la nouvelle directive européenne NIS 2 (Network and Information Security v2), qui, soit dit en passant, entre en vigueur au deuxième semestre 2024, c’est-à-dire demain. Elle permettra à l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) d'augmenter le niveau de cybersécurité de milliers d'entités, allant de la PME aux entreprises du CAC40 (voir ce billet). Dans le domaine industriel 4.0, où les systèmes ne sont plus aussi « perméables » qu’avant, vis-à-vis d’Internet, on peut aisément imaginer que si les services de certaines entités essentielles, dans des secteurs tels que celui de l’énergie, du transport, de la santé ou encore de l’eau potable, venaient à être indisponibles, les impacts sur la population et sur l’économie du pays pourraient avoir de lourdes conséquences. Dans le secteur de la santé, le risque lui, peut même être mortel. Pourtant, force est de constater que les établissements de santé disposent d’équipements médicaux dont la durée de vie dépasse souvent la décennie. La technologie opérationnelle (OT) des systèmes qu’ils embarquent est donc d’ancienne génération et quasi exempte de toute protection contre les cyberattaques.
On comprend mieux l’urgence, pour toutes les entités concernées par la NIS 2, surtout les entités essentielles (mais pas que…), de mettre en place les mesures de sécurité qui soient à la hauteur des enjeux qu’elles portent. Elles doivent dès à présent évaluer les risques au travers de prestations d’audit, de manière à préparer leur stratégie de défense et de résilience face aux cyberattaques. Les accès aux SI industriels doivent être protégés et sécurisés par des technologies basées sur un modèle zero-trust (ZTNA). L’identité, quant à elle, doit être au centre de toutes les préoccupations, car c’est à elle que l’on confie les privilèges d’accès aux actifs lors des actes de maintenance et/ou de dépannage, et ce, dans un périmètre limité aux seuls besoins qui sont confiés à l’intervenant. Ses actions d’administration doivent également être surveillées, tracées et enregistrées pour savoir ce qu’il a fait lors de son intervention.
Des solutions, telles que celles de Systancia, qu’elles soient « on-premise » avec Gate (ZTNA) et Cleanroom (PAM), ou encore au travers de sa plateforme « SaaS » cyberelements.io, tout comme d’autres solutions du marché d’ailleurs, permettent de répondre à toutes ces exigences de sécurité, que ce soit dans un périmètre OT, dans un périmètre IT ou bien les deux.