5 stratégies pour sécuriser son réseau industriel face aux cyberattaques

0
231

En novembre dernier, Le groupe agro-industriel français Avril – connu pour les huiles Lesieurs – a subi une cyberattaque d’ampleur. Un fichier corrompu ouvert par erreur a contraint le quatrième groupe agroalimentaire français à fonctionner sans ses outils informatiques durant au moins une semaine.

Tribune par Fabien Pereira Vaz, Technical Sales Manager France chez Paessler AG – Plusieurs sites de production ont également été fortement perturbés. Heureusement, comme pour Lactalis en début d’année 2021, le groupe Avril n’évoque pas de chiffrement de données, ce qui peut laisser supposer une intervention rapide dans la chronologie d’attaque. D’autres groupes alimentaires, ciblés par des cyberattaques n’ont pas eu cette chance, à l’image du groupe Brésilien JBS qui a finalement payé une rançon de 11 millions de dollars.

Cyberwar is coming ?

Pourquoi la filière agroalimentaire semble-t-elle être une cible privilégiée par les hackers ? Plusieurs raisons peuvent être envisagées parmi lesquelles la possibilité de créer une pénurie dans un pays en bloquant la production alimentaire et sa distribution, une situation aggravée dans le futur par les dérèglements climatiques qui pourraient réduire la production. N’oublions pas qu’en 2021, le coût des produits alimentaires a bondi de 28 %, une hausse jamais vue depuis 10 ans selon l’Organisation des Nations Unies pour l’alimentaire et l’agriculture (FAO), ce qui fragilise les pays dépendants des importations alimentaires.

On pourrait se croire dans un roman de science-fiction, si ces prédictions n’étaient celles sur lesquelles travaillent de nombreux experts.

Dans l’agroalimentaire, comme dans n’importe quel autre secteur industriel, les entreprises de toutes tailles doivent comprendre que ce phénomène va s’accentuer à l’avenir, et qu’elles doivent s’y préparer. S’il ne fait aucun doute que l’environnement OT (Technologies Opérationnelles) le plus sûr reste un réseau isolé – avec la convergence IT / OT, de nombreux réseaux OT doivent désormais être intégrés à des systèmes et réseaux externes. Il est donc crucial de mettre en place des stratégies de cybersécurité complètes au sein desquelles la supervision jouera un rôle essentiel.

Surveiller les certificats

En informatique, la supervision des certificats fait partie de tout bon plan de cybersécurité. Il devrait en être de même pour l’OT. L’OPC UA est une norme extensible et indépendante des plateformes, qui permet d’échanger des informations de façon sécurisée dans les systèmes industriel. Elle utilise un cryptage X.509 basé sur des certificats, et ces certificats doivent être maintenus et mis à jour. La surveillance peut être utilisée pour s’assurer que les certificats sont toujours valides, ce qui permet d’éviter les temps d’arrêt ou les défaillances de sécurité causées par l’expiration des certificats. Revers de la médaille : l’utilisation des certificats augmente la complexité et les efforts d’administration requis – et certaines industries préfèreront, de manière plus pratique, utiliser d’autres approches dans les environnements non chiffrés.

Détecter des anomalies

Une anomalie dans un réseau est un écart par rapport à la norme – par exemple des pics d’utilisation de la bande passante inexpliqués, un trafic inhabituel, de nouvelles connexions inattendues sur le réseau, etc. Si une anomalie n’équivaut pas forcément une attaque malveillante, elle peut en être l’indicateur.

Être en mesure de repérer cette anomalie implique qu’il existe un état de base de référence dans laquelle la “norme” est définie. La surveillance jouera ici deux rôles : d’une part, elle peut être utilisée pour identifier l’état “normal” sur une période donnée et, d’autre part, elle peut être déployée pour rechercher tout écart par rapport à cet état normal. Elle permettra ainsi d’envoyer des alertes et des notifications lorsque des seuils définis sont dépassés, afin d’être informé de toute activité suspecte sur le réseau et de pouvoir agir au plus vite.

Défendre en profondeur

Pour protéger les réseaux des OT, plusieurs couches de défense spécialisées sont nécessaires. Ce concept, connu sous le nom de “défense en profondeur”, part du principe que si vous disposez de plusieurs couches de sécurité, votre réseau central est plus sûr. Pour l’OT, les pare-feux constituent généralement une couche. Une autre possibilité consiste à segmenter le réseau, soit en séparant le réseau OT du réseau IT par une zone industrielle démilitarisée (segmentation verticale), soit en segmentant le réseau OT lui-même en plusieurs zones (segmentation horizontale). Dans cette optique, la surveillance constituera alors un rouage essentiel en contrôlant les pare-feux, les interfaces entre les segments et des éléments tels que les ports ouverts.

Inspection approfondie des paquets (DPI)

Les outils d’inspection approfondie de paquets (DPI) interceptent et examinent les données de trafic – depuis l’en-tête du paquet jusqu’aux données utiles – afin d’identifier le protocole et les fonctions associés à ce paquet de données. La DPI aide ainsi à identifier tout protocole non conforme, les virus, spam etc – et applique en fonction des règles de sécurité plus détaillées et plus complexes que celles gérées par le pare-feu.

L’inspection approfondie des paquets constitue la base de deux stratégies de cybersécurité spécifiques à l’OT : l’IPS, système de prévention des intrusions, et l’IDS, système de détection des intrusions. Ces deux dispositifs fonctionnent au sein du réseau industriels et sont destinés à prévenir ou à déclencher une notification lorsque des données anormales sont découvertes, selon le système utilisé. Couplés à une solution de supervision, l’administrateur dispose d’une représentation complète de ce qu’il se passe au sein du réseau OT.

Des alarmes et des notifications complètes

Enfin, la réactivité est sans doute un des critères clé en cas de cyberattaque. Une fois l’acte malveillant détecté, il s’agit de prévenir aussi rapidement que possible les équipes. Des alarmes doivent donc être déclenchées et des notifications immédiatement envoyées aux équipes responsables lorsque des seuils sont dépassés, ou lorsque des critères définis par l’entreprise sont remplis, afin de leur permettre de prendre les mesures adéquates.