Les risques de sécurité OT restent trop souvent non détectés

Toute entreprise désireuse de protéger son réseau doit impérativement avoir une vue sur tous les actifs ou appareils qui y sont connectés. Les outils de sécurité sont essentiels à cet égard. Les solutions IT classiques sont conçues pour cartographie les actifs IT. Elles surveillent et protègent entre autres les serveurs, ordinateurs portables, smartphones et divers appareils réseau.

Leur mise en place est une première étape importante pour assurer la sécurité, mais il existe des failles au niveau des technologies opérationnelles, c’est-à-dire les machines, les installations et les robots de tous types qui sont également connectés à un réseau.

Les outils IT classiques ne sont pas assez efficaces

“Une solution de sécurité IT ne parvient pas à détecter une grande partie des actifs OT sur le réseau. Bien que l’IT et l’OT interagissent souvent, la technologie opérationnelle reste un monde à part. Les machines automatiques comme les PLC et les bras robotiques utilisent des protocoles très spécifiques et souvent datés parce qu’elles restent longtemps en service. Elles ne communiquent pas toujours activement avec le réseau et n’intègrent tout simplement pas la cybersécurité dans leur conception”, déclare Nick Wuyts, spécialiste en sécurité OT chez Proximus NXT.

Les entreprises se rendent souvent compte que leur cybersécurité est moins solide qu’elles ne le pensaient de façon soudaine. “Jusqu’à 30 % des technologies opérationnelles échappent aux outils de sécurité IT classiques. Autrement dit, jusqu’à 30 % des actifs connectés sont invisibles pour le système de sécurité et ne sont donc pas protégés.” Très souvent, les entreprises n’en ont pas du tout conscience.

“Il y a peu, je me trouvais chez un client qui était convaincu d’avoir un système de sécurité parfaitement en ordre. Grâce à une démo de notre solution, il a pu voir tous les actifs, y compris ceux qui n’étaient ni gérés ni répertoriés. C’est le nœud du problème : si les actifs non gérés et inconnus ne sont pas répertoriés, cela crée un faux sentiment de sécurité. Une entreprise peut ainsi penser que 99 % de ses actifs sont répertoriés alors qu’en réalité, il s’agit de tout au plus 70 %.

Nick Wuyts, Product Manager Cybersecurity chez Proximus NXT

Le chemin d’accès offrant le moins de résistance

Cet angle mort est une source de risque puisqu’il est impossible de protéger ce que l’on ne voit pas. Si des cybercriminels tentent de s’introduire dans une entreprise en passant par le réseau IT, ils se heurtent très vite à un mur. Ils cherchent alors le chemin d’accès offrant le moins de résistance. Ce chemin passe très souvent par l’OT, car elle est moins bien protégée.

“En moyenne, un actif OT sur quatre présente une vulnérabilité critique, un sur cinq est même en fin de vie. Une entreprise qui n’a aucune vue sur ces actifs – et, par conséquent, aucune protection efficace – devient une proie facile.”

Des systèmes cruciaux et vulnérables

Il est curieux que les systèmes OT soient associés à un si grand risque de cyberincidents vu leur importance cruciale pour la continuité des activités d’une entreprise. La mise à l’arrêt d’une ligne de production, par exemple, se traduit aussitôt par une perte de chiffre d’affaires. Dans le cadre de l’OT, les problèmes de sécurité informatique entraînent souvent des risques de sécurité tout court : il suffit de penser aux conséquences d’un incident OT dans une installation chimique, un gazoduc ou une centrale électrique. Les risques potentiels sont nettement plus importants que si une ligne de production tombe à l’arrêt dans une usine.

Par ailleurs, la menace liée aux actifs OT ne vient pas toujours de l’extérieur. “Une entreprise est aussi exposée à des risques lorsque ses propres collaborateurs ou des techniciens d’une société de maintenance connectent un routeur à une machine ou une installation. Dans ce cas, un pare-feu ne servira à rien parce que la connexion se fait déjà à l’intérieur du réseau même.”

“Les connexions externes, comme celles qui sont mises en place par des techniciens de maintenance, doivent être protégées correctement. Un système d’accès à distance sécurisé aide à vérifier quelles personnes ont un accès et ce qu’elles font. L’entreprise a ainsi un meilleur contrôle sur cet accès à risque. Sans surveillance adéquate, ces connexions sont invisibles et offrent une porte d’entrée parfaite pour une attaque de la chaîne logistique”, explique Nick Wuyts.

Surveillance passive

Il existe une multitude de solutions de sécurité spécifiques pour l’OT. Dans le cadre de la sécurité OT, Proximus NXT utilise Armis. Cette plateforme réunit l’IT, l’OT et l’IoT et rend tous les éléments visibles. Une entreprise obtient ainsi une cartographie complète de son réseau et des risques encourus. Les appareils OT ne communiquent pas toujours activement pour signaler leur présence. “C’est pour cette raison qu’une solution passive est nécessaire : elle permet de répertorier les actifs passifs et de ne négliger aucun risque. Pour ce faire, nous utilisons le trafic réseau existant, sans scans actifs susceptibles de perturber les systèmes.”

Au-delà de la gestion des actifs

Outre la gestion des actifs et la visibilité, il est crucial d’effectuer des analyses de risques régulières et de segmenter le réseau. “Cette approche aide les entreprises à identifier les appareils vulnérables, comme les systèmes qui présentent des vulnérabilités critiques ou les appareils en fin de vie qui ne sont plus mis à jour. La segmentation des actifs atténue l’impact potentiel d’une attaque.”

Bien que l’IT, l’OT et l’IoT soient en principe des mondes séparés ayant chacun des besoins spécifiques en matière de sécurité, une plateforme comme Armis simplifie justement l’infrastructure de sécurité nécessaire. Elle repose entre autres sur l’intégration d’outils de sécurité tels que ceux proposés par Fortinet et Palo Alto Networks. “Armis permet également de générer des rapports de conformité et d’évaluations des risques, offrant ainsi des possibilités beaucoup plus étendues qu’une solution classique de gestion des actifs.”

Nick Wuyts, Product Manager Cybersecurity chez Proximus NXT

Une vue complète

“Une vue complète sur tous les actifs – IT et OT, managés ou non managés et inconnus – est fondamentale pour assurer une sécurité réelle. Sans cette vue d’ensemble, il n’y a pas de contrôle. Bref, le mot d’ordre est de continuer à optimiser la surveillance stratégique et les outils utilisés”, conclut Nick Wuyts.