Cybersécurité : les 5 questions que les industriels doivent se poser

0
256

La convergence entre systèmes d’information d’entreprise et industriels (IT/OT) fait beaucoup parler d’elle ces derniers temps. La technologie occupe depuis longtemps une place clé dans ce secteur. Néanmoins, les systèmes d’automatisation et de contrôle industriels (ICS) ont évolué différemment des systèmes d’information d’entreprise.

Pendant longtemps, ces domaines ont fonctionné indépendamment l’un de l’autre, la grande diversité des compétences et de technologies utilisées créant une barrière naturelle entre les deux. La crainte de perturber les activités des organisations a entraîné l’adoption d’approches cloisonnées afin de protéger les usines, et a engendré une réticence quant à tout changement au niveau des technologies liées aux outils d’exploitation. Pire, les silos fonctionnels ont souvent donné lieu à des relations fragiles entre ingénieurs de production et équipes informatiques.

Mais ces dernières années, tout a changé. L’industrie 4.0, la connectivité à Internet, et l’introduction d’objets connectés classiques et industriels ont changé la donne. Les environnements industriels sont de plus en plus souvent connectés à des environnements informatiques d’entreprise, et les deux domaines sont désormais intimement connectés et interdépendants. La bonne nouvelle, c’est que la suppression de ces barrières va permettre aux entreprises de gagner en efficience, et de mieux maîtriser les risques.

Les industriels envisageant de moderniser leur parc industriel doivent cependant se poser les questions suivantes :

1. Avons-nous bien identifié tous les actifs en présence ?

Il est de notoriété publique que nul ne peut gérer ce dont il ignore l’existence ; or, dans le monde d’aujourd’hui, il est impossible de protéger ce qu’on ne voit pas.

Les processus d’inventaire des actifs traditionnels comportaient des étapes manuelles, et reposaient fortement sur des feuilles de calcul. Nombre des nouveaux actifs introduits progressivement dans les usines sont alors passés sous les radars. Dans le pire des cas, les équipes de production se contentaient de débrancher un appareil lorsqu’il fallait le scanner, puis de le rebrancher une fois l’opération terminée. Ainsi, pendant des années, des informations obsolètes et incomplètes ont été acceptées parce qu’il était plus important de se focaliser sur les éléments soutenant la continuité d’activité.

Mais aujourd’hui, les DSI et directeurs de production sont conscients de la valeur de la visibilité en temps réel, et de l’importance d’une vue simplifiée et complète sur les actifs technologiques d’entreprise et industriels.

2. Notre parc industriel est-il géré et protégé de façon globale ?

Dans l’industrie, il y a essentiellement deux types de technologies. Les systèmes de contrôle industriels sont divisés en plusieurs couches, telles que définies par le modèle Purdue et la norme de cybersécurité ISA/IEC 62443 IACS. Sur le plan de la gestion des actifs, il existe une distinction majeure entre les types d’appareils et le niveau d’expertise nécessaire pour les gérer.

Les deux couches inférieures de la pile regroupent des équipements effectuant généralement des tâches répétitives à haut volume, en usine comme dans le cadre plus global d’une activité industrielle. Ainsi, les capteurs et autres mécanismes doivent afficher une efficience élevée, et ne tolèrent aucun temps d’arrêt. Sur le plan technique, ces appareils tournent généralement sur des systèmes d’exploitation temps réel (RTOS), des systèmes propriétaires conçus et gérés par des fournisseurs de systèmes de contrôle industriel. Ces dernières années, nous avons vu émerger des fournisseurs de solutions de sécurité des systèmes industriels spécialisés dans l’évaluation et la gestion des risques pour ces types d’équipements. En effet, avec l’essor de l’Industrie 4.0, la prolifération des équipements connectés à Internet (IoT/IIoT) au sein de ces environnements a rendu leur surface d’attaque plus étendue et difficile à gérer.

Dans l’autre moitié de la pile figurent des appareils servant généralement à contrôler les équipements des couches basses, afin de fournir des fonctions de gestion prioritaires, et de communiquer avec les systèmes d’entreprise. Ces appareils tournent généralement sur des systèmes d’exploitation standards, comme Windows et Linux, et nécessitent les mêmes types de gestion et de contrôle que les systèmes d’une entreprise classique. Il existe également une couche d’« équipements de passerelle » qui s’assurent de la traduction des protocoles du niveau inférieur au niveau supérieur. Ces derniers utilisent souvent des versions simplifiées et embarquées de systèmes d’exploitation standards. En raison de leur connectivité aux environnements d’entreprises, tous ces éléments représentent le principal vecteur de cyberattaque et de risques de sécurité. Ainsi, pour la première fois depuis des années, l’industrie a été plus ciblée que le secteur des services financiers.

Pour veiller à gérer et protéger leurs environnements de production de bout en bout, les ingénieurs, équipes informatiques et de sécurité collaborent pour mettre en place des Centre Opérationnel de Sécurité des systèmes d’information (SOC) et des processus unifiés. L’objectif de ces coopérations est d’alimenter leurs bases de données de gestion des configurations (CMDB), leurs systèmes de gestion des informations et des événements de sécurité (SIEM) et les plateformes de gestion des workflows en données issues des meilleures sources possible.

3. Nos actifs les plus critiques sont-ils équipés des derniers correctifs ?

La plupart des professionnels de l’informatique et de la sécurité reconnaissent que la meilleure façon de se protéger des cybermenaces est de veiller à ce que les ordinateurs restent à jour.

L’observation des règles de cyberhygiène les plus strictes permet également d’augmenter le temps de fonctionnement des systèmes, et de réduire les efforts investis en maintenance et en résolution de problèmes. Les équipes des centres de support peuvent alors se concentrer sur des tâches plus précieuses. La même règle s’applique au milieu industriel : les « actifs gérés » mentionnés ci-dessus ont autant besoin de correctifs que ceux présents en entreprise. Il convient donc de tout mettre en œuvre pour étendre ces bonnes pratiques en matière de correctifs à l’environnement industriel, en s’appuyant idéalement sur la même plateforme que pour les actifs informatiques.

D’expérience, nous savons que cela n’est pas chose facile. Les systèmes d’exploitation obsolètes, les fenêtres de changement restrictives, les caractéristiques techniques limitées et la segmentation des réseaux constituent généralement des défis pour la gestion des correctifs dans ces environnements. Néanmoins, grâce aux progrès technologiques récents et à une collaboration accrue, les équipes chargées des technologies industrielles sont toujours plus à même d’en augmenter l’opérabilité et de réduire les risques sans affecter la production.

Sur la question de la gestion des vulnérabilités : l’identification et la hiérarchisation des failles aident à focaliser l’application des correctifs là où les risques sont les plus élevés. Par conséquent, en gérant votre programme dédié depuis la même plateforme que celle utilisée pour identifier et hiérarchiser les vulnérabilités, vous pourrez éviter les opportunités d’intervention manquées, obtenir de meilleurs résultats, et augmenter considérablement votre productivité.

Quant aux actifs « non gérés » des couches inférieures, ils sont de plus en plus menacés par des cyberattaques. Certaines entreprises se spécialisent donc dans l’identification et l’analyse des vulnérabilités dans ce domaine, et il est recommandé d’agréger des données issues de leurs systèmes et des vôtres sur une plateforme unifiant CMDB, SIEM et gestion des workflows.

4. Sommes-nous suffisamment prêts pour faire face à un incident ?

Pas besoin de chercher éperdument des conseils sur ce sujet. Compte tenu de la recrudescence des attaques de ransomware, d’innombrables organisations proposent leurs meilleures pratiques, solutions et services.

Pour commencer, il convient de mettre en place un plan de réponse aux incidents, et celui-ci doit couvrir les systèmes industriels. Le conseil d’administration et autres cadres dirigeants doivent être conscients de leurs rôles. Enfin, il est nécessaire de se mettre d’accord sur l’entité responsable en dernier ressort, et de déterminer les mesures à prendre pour un maximum de scénarios. Paierez-vous la rançon en cas d’attaque ? Pouvez-vous restaurer votre activité à l’aide de sauvegardes, et si oui, de combien de temps avez-vous besoin ? Si vous avez réfléchi aux implications de différentes attaques potentielles, votre entreprise se remettra plus rapidement sur pied. Les tests et simulations sont d’excellentes façons de s’assurer que toutes les parties prenantes sont au courant des conséquences, et suffisamment préparées.

Concernant les capacités des systèmes, il est toujours crucial de connaître la situation en cas d’incident. Lorsque chaque minute ou seconde compte, cette visibilité en temps réel sur l’environnement possède une importance inestimable. Les industriels ont donc besoin d’une source de référence, et leur aptitude à prendre des mesures et à contrôler leurs actifs depuis une même plateforme peut également être un énorme avantage au moment crucial. Les entreprises les mieux préparées savent à l’avance quelles sont leurs principales vulnérabilités, et peuvent en minimiser l’impact en s’occupant d’abord des ressources prioritaires lorsque celles-ci s’avèrent limitées.

Enfin, il y a la question du cloud. Au vu de la progression de son adoption dans l’industrie manufacturière, on peut estimer sans risque que les entreprises continueront à chercher à profiter de l’échelle et de l’efficience de ces environnements. Où que vous en soyez dans votre migration vers le cloud, vous gagnerez à inclure des scénarios spécifiques dans votre plan de réponse aux incidents.

5. Quel est le rôle des technologies dans l’optimisation de mon efficience opérationnelle ?

Votre hésitation à d’installer des correctifs sur des machines limite-t-elle votre efficience opérationnelle et votre capacité à accroître votre rendement ?

Les équipes de production traditionnelle ont toujours été réticentes à l’idée de toucher le moindre équipement opérationnel. Le temps de fonctionnement est la base du rendement ; or, avec la sûreté, le rendement constitue le principal indicateur clé de performance pour les responsables. Les fenêtres de maintenance se répétant de manière rare et brève sont donc la norme, et le dicton « le mieux est l’ennemi du bien » résume toujours bien le point de vue dominant au sein de nombreuses équipes de production.

Cependant, dans le monde contemporain, cette mentalité n’est plus la bonne. Les environnements industriels regorgent de machines gérant les actifs s’occupant des tâches physiques. Certains de ces équipements ne nécessitent que peu, voire aucune intervention humaine une fois installés. Vient ensuite la question des postes de travail et ordinateurs portables mis à disposition du personnel des usines, et qui reçoivent généralement moins d’attention que ceux des employés d’entreprise. Au-delà de leurs risques intrinsèques, ces actifs obsolètes et négligés ont également un impact sur l’efficience opérationnelle. Il suffit de réfléchir aux ressources déployées afin de « garder un œil » sur ces machines, puis aux conséquences lorsque l’un de ces équipements tombe en panne où est victime d’un piratage. Ajoutons à cela les ressources mobilisées dans un souci de conformité réglementaire. Outre les cadres de conformité traditionnels concernant les environnements de contrôle industriels (ex. : ISA 62443), il existe également de nombreuses exigences plus récentes relatives aux produits connectés et affectant la production industrielle (à l’image du règlement UNECE R155/156 dans le domaine de l’automobile).

Imaginez l’impact de celles-ci à l’échelle, étendues sur plusieurs usines ou activités industrielles fonctionnant indépendamment, chacune ayant son propre ensemble de ressources gérant son propre lot d’actifs obsolètes.

L’heure est venue d’aborder la gestion des technologies industrielles sous un autre angle. Avec le modèle traditionnel, les ateliers sont gérés indépendamment. Ils mènent leurs activités dans différents coins du globe, dans des circonstances variées, et grâce à des infrastructures informatiques hétérogènes. Et à ceci s’ajoutent les activités récupérées dans le cadre d’acquisitions. Ce modèle est fondamentalement inefficace.

Avec les technologies disponibles aujourd’hui, et en adoptant les bonnes pratiques de cyberhygiène dans leurs usines, les organisations pourront mieux standardiser et centraliser leurs opérations. Outre l’impact sur leur degré d’exposition aux risques, une telle stratégie aura également un effet positif sur leur rendement.

En conclusion…

L’approche consistant à traiter les technologies industrielles séparément et de façon indépendante est aujourd’hui improductive et expose les organisations à des cyberattaques. Les systèmes obsolètes sont remis en question, toute une génération d’ingénieurs approche de l’âge de la retraite, et il n’existe aucune solution complète de gestion et de protection des actifs.

La réponse à toutes ces problématiques passe en premier lieu par la visibilité. Les organisations doivent d’abord unifier leurs environnements informatiques d’entreprise et industriels, et profiter de la confiance issue de leur visibilité sur leurs actifs, leur emplacement et leur statut. Elles pourront alors intervenir aux moments opportuns et éviter les processus manuels en contrôlant leurs actifs depuis une plateforme unifiée.

Les entreprises adoptant une vision globale de leurs technologies industrielles et une approche intégrée reposant sur une plateforme sont de fait les mieux gérées, et disposent des environnements les mieux protégés. Leurs SIEM, CMDB et plateformes de gestion des workflows sont alimentés à l’aide de données des plus qualitatives et récentes provenant de leurs environnements informatiques traditionnels comme industriels. Leur Centre Opérationnel de Sécurité est unifié, et leur mise en conformité réglementaire est fortement automatisée. Enfin, le fait d’avoir fait de l’efficience opérationnelle leur objectif ultime leur permettra de prendre l’ascendant sur la concurrence dans les années à venir.

Tribune par Tom Molden, DSI, Global Executive Engagement chez Tanium