Les attaques contre les technologies de l'information et de la communication (matériel et logiciels qui surveillent ou contrôlent les équipements, les biens et les processus) sont de plus en plus fréquentes. Elles ont également évolué, passant de la perturbation immédiate des processus, comme l'arrêt d'une usine, à la compromission de l'intégrité des environnements industriels avec l'intention de créer des dommages physiques. D'autres événements récents, comme l'attaque par ransomware de Colonial Pipeline, ont mis en évidence la nécessité de disposer de réseaux correctement segmentés pour l'informatique et les technologies de l'information.
Wam Voster, directeur de recherche senior chez Gartner, a déclaré : "Dans les environnements opérationnels, les responsables de la sécurité et de la gestion des risques devraient se préoccuper davantage des dangers réels pour les humains et l'environnement, plutôt que du vol d'informations. Les enquêtes menées auprès des clients de Gartner révèlent que les organisations dans les secteurs à forte intensité d'actifs comme la fabrication, les ressources et les services publics ont du mal à définir des structures de contrôle appropriées."
Selon Gartner, les incidents de sécurité dans les systèmes OT et autres systèmes cyber-physiques (CPS) ont trois motivations principales : le préjudice réel, le vandalisme commercial (réduction de la production) et le vandalisme de réputation (rendre un fabricant peu fiable ou peu digne de confiance).
Gartner prévoit que l'impact financier des attaques de CPS entraînant des pertes humaines dépassera 50 milliards de dollars d'ici 2023. Même sans tenir compte de la valeur de la vie humaine, les coûts pour les organisations en termes d'indemnisation, de litiges, d'assurance, d'amendes réglementaires et de perte de réputation seront considérables. Gartner prévoit également que la plupart des PDG seront personnellement responsables de ces incidents.
10 contrôles de sécurité pour les technologies opérationnelles
Gartner recommande aux organisations d'adopter un système de 10 contrôles de sécurité pour améliorer la posture de sécurité dans l'ensemble de leurs installations et empêcher les incidents dans le monde numérique d'avoir un effet négatif dans le monde physique.
Source : Gartner (Juillet 2021)
1. Définir les rôles et les responsabilités
Nommez un responsable de la sécurité OT pour chaque site, qui est chargé d'attribuer et de décrire les rôles et les responsabilités en matière de sécurité pour tous les travailleurs, les cadres supérieurs et les tiers.
2. Assurer des formations et des sensibilisations appropriées
Tout le personnel OT doit avoir les compétences requises pour leur rôle. Les employés de chaque établissement doivent être formés à reconnaître les risques de sécurité, les vecteurs d'attaque les plus courants et les mesures à prendre en cas d'incident de sécurité.
3. Mettre en œuvre et tester la réaction aux incidents
Veiller à ce que chaque établissement mette en œuvre et maintienne un processus de gestion des incidents de sécurité propres aux OT, qui comprend quatre phases : préparation, détection et analyse, confinement, éradication et récupération, et activité post-incident.
4. Sauvegarde, restauration et reprise après sinistre
Garantir la mise en place de procédures appropriées de sauvegarde, de restauration et de reprise après sinistre. Pour limiter l'impact d'événements physiques tels qu'un incendie, ne stockez pas les supports de sauvegarde au même endroit que le système sauvegardé. Les supports de sauvegarde doivent également être protégés contre toute divulgation non autorisée ou toute utilisation abusive. Pour faire face aux incidents de haute gravité, il doit être possible de restaurer la sauvegarde sur un nouveau système ou une nouvelle machine virtuelle.
5. Gérer les médias portables
Créez une politique pour vous assurer que tous les supports de stockage de données portables, tels que les clés USB et les ordinateurs portables, sont analysés, qu'ils appartiennent à un employé interne ou à des parties externes telles que des sous-traitants ou des représentants de fabricants d'équipements. Seuls les supports jugés exempts de codes ou de logiciels malveillants peuvent être connectés à l'OT.
6. Disposer d'un inventaire actualisé des actifs
Le responsable de la sécurité doit tenir un inventaire constamment mis à jour de tous les équipements et logiciels d'OT.
7. Établir une séparation adéquate des réseaux
Les réseaux OT doivent être physiquement ou/et logiquement séparés de tout autre réseau, tant en interne qu'en externe. Tout le trafic réseau entre un OT et toute autre partie du réseau doit passer par une solution de passerelle sécurisée comme une zone démilitarisée (DMZ). Les sessions interactives vers l'OT doivent utiliser une authentification multifactorielle pour s'authentifier au niveau de la passerelle.
8. Collecter les enregistrements et mettre en place une détection en temps réel
Des politiques ou des procédures appropriées doivent être mises en place pour la connexion et l'examen automatisés des événements de sécurité potentiels et réels. Elles doivent inclure des durées de conservation claires pour les registres de sécurité à conserver et une protection contre l'altération ou la modification indésirable.
9. Mettre en œuvre un processus de configuration sécurisé
Des configurations sécurisées doivent être développées, normalisées et déployées pour tous les systèmes applicables tels que les points d'extrémité, les serveurs, les périphériques réseau et les appareils de terrain. Les logiciels de sécurité des points d'extrémité, comme les anti-malware, doivent être installés et activés sur tous les composants de l'environnement OT qui les prennent en charge.
10. Processus formel d'application des correctifs
Mettez en place un processus pour que les correctifs soient qualifiés par les fabricants d'équipements avant d'être déployés. Une fois qualifiés, les correctifs ne peuvent être déployés que sur les systèmes appropriés, à une fréquence prédéfinie.
Source : Gartner
Et vous ?
Que pensez-vous de ces prévisions ?
Les mesures préconisées par Gartner vous semblent-elles suffisantes pour éviter les attaques dans les environnements OT ?
Voir aussi :
Les responsables de la sécurité ont du mal à se prémunir contre la perte de données, 39 % d'entre eux pensent que le manque de visibilité est le plus grand défi pour y parvenir, selon SafeGuard Cyber
Le manque de compétences et un budget insuffisant sont les principaux obstacles à la protection des données dans le cloud, selon un nouveau rapport de Netwrix