Les cinq composants essentiels d’une sécurité ICS/OT efficace

Par Dean Parsons, SANS Certified ICS Instructor et CEO & Principal Consultant d’ICS Defense Force

Brussel, le 21 mars 2023 - Ce n’est un secret pour personne : le champ des attaques ciblant les systèmes de contrôle industriel – ou ICS (Industrial Control Systems) – ne cesse de croître. La digitalisation accrue des entreprises, l’adoption de l’IoT et la convergence entre IT et OT (technologies de l’information et opérationnelles), associées aux répercussions de l’escalade des tensions géopolitiques, confrontent les organisations actives dans les infrastructures critiques à un nombre croissant d’attaques contre les systèmes ICS. Ces attaques risquent non seulement de provoquer un arrêt prolongé des opérations, mais peuvent aussi constituer un grave danger pour les individus et les communautés.

Dean Parsons, SANS Certified ICS Instructor et CEO & Principal Consultant d’ICS Defense Force
Dean Parsons, SANS Certified ICS Instructor et CEO & Principal Consultant d’ICS Defense Force

En effet, les menaces ICS/OT actuelles sont de nature nettement différente des atteintes traditionnelles aux réseaux IT des entreprises. Alors que celles-ci sont généralement commises dans une perspective de gain monétaire ou de vol de données, les cybercriminels soutenus par les États ciblent davantage les systèmes d’infrastructures critiques et visent à perturber les opérations d’une entreprise, à causer des dégâts matériels, voire à favoriser des incidents catastrophiques et potentiellement mortels.

Ce n’est pas une fiction, c’est la réalité d’aujourd’hui. L’an dernier, trois laboratoires de recherche nucléaire américains ont été ciblés par le groupe de hackers russes Cold River. En 2016, il y avait déjà eu l’incident du CRASH OVERRIDE qui avait provoqué une panne d’électricité dans une partie de Kiev, également d’initiative russe (et soutenu par l’État) : des protocoles ICS légitimes ont été détournés pour manipuler des équipements et perturber l’approvisionnement électrique du réseau ukrainien.

Préfiguration de l’ère des cyberrisques vers laquelle nous avons depuis évolué, l’incident souligne l’importance d’avoir des défenseurs dûment formés, dotés d’un bagage en ingénierie, capables de surveiller efficacement les réseaux ICS et de réagir activement aux attaques avant qu’elles ne produisent leurs effets. Une faible sécurité ICS/OT constitue un risque pour la santé publique, mais aussi pour l’environnement et même pour la sûreté nationale. Les pannes d’électricité dans les métropoles, susceptibles de provoquer des dégâts irréparables et de menacer des centaines de milliers de vies, en sont un bon exemple.

Les organisations actives dans les infrastructures critiques ont donc une responsabilité inhérente : elles doivent mettre en place un cadre robuste de sécurité ICS/OT afin de sécuriser leurs actifs opérationnels contre les attaques sophistiquées. Il ne s’agit pas seulement de satisfaire aux exigences minimales obligatoires pour éviter des amendes ou d’autres sanctions. Il s’agit de tout mettre en œuvre pour protéger les individus des conséquences réelles, physiques, de la cybercriminalité – et nous ne parlons pas uniquement de leurs propres effectifs, mais aussi des personnes qui résident et travaillent dans les environs.

Les cinq composants d’une sécurité ICS/OT efficace 

Un bon équilibre des priorités est indispensable pour une sécurité ICS/OT efficace. C’est ce qui ressort d’un récent livre blanc de SANS sur les cinq contrôles essentiels de la cybersécurité des ICS. Le « biais de prévention » (prevention bias) est une thématique bien connue au sein de la communauté cybersec : 60 à 95 % des cadres de sécurité les plus célèbres et les plus utilisés sont de nature préventive, mais restent à la traîne en matière de détection et de réponse aux incidents. Résultat : beaucoup d’organisations n’investissent que 5 % de leurs ressources dans la détection, la réaction, la continuité des activités pendant une attaque et la reprise post-incident.

Sachant que les attaques ICS augmentent à la fois en volume et en rapidité, même les mesures de prévention les plus rigoureuses finiront par être contournées. Les organisations doivent donc considérer la réalité, et non l’éventualité, d’un tel scénario et s’y préparer. Comment ? En intégrant des méthodes de détection et de réponse pilotées par l’IA, favorisant une mitigation et une reprise agiles. Pour atteindre cet équilibre, il convient de mettre en œuvre un cadre de sécurité ICS/OT comprenant les cinq contrôles essentiels suivants :

  1. ICS Incident Response : un plan de réponse aux incidents, axé sur les opérations, doit être conçu en intégrant des possibilités assurant l’intégrité du système et la reprise, afin de simplifier les ripostes aux attaques dans un contexte opérationnel. Ces exercices doivent aboutir à des scénarios de risque et des cas d’utilisation plus solides, adaptés à leur environnement de sécurité, tout en accordant la priorité aux actions qui sont basées sur l’impact opérationnel potentiel et qui permettent de réfléchir au meilleur positionnement du système pour supporter une attaque. Ils renforcent aussi la résilience opérationnelle en facilitant les analyses des causes profondes (root cause analysis) des éventuelles défaillances.
  2. Une architecture défendable : une architecture ICS efficacement défendable favorise la visibilité, la collecte d’enregistrements, l’identification des avoirs, la segmentation, les zones industrielles démilitarisées et le maintien de la process communication. Elle contribue à combler l’écart entre l’homme et la technologie en limitant autant que possible les risques grâce à la conception et la mise en œuvre de systèmes, tout en pilotant des processus efficaces dans l’équipe de sécurité.
  3. ICS Network Visibility Monitoring : en raison de la nature SoS (system of systems) des attaques ICS, il est primordial de contrôler en permanence la sécurité réseau de l’environnement ICS à l’aide d’outils sensibles aux protocoles et d’analyses des interactions SoS. Ces options peuvent être utilisées pour informer les équipes opérationnelles des éventuelles vulnérabilités à corriger, afin de promouvoir la résilience et la reprise générales, et d’éviter ainsi les arrêts opérationnels coûteux ou dangereux.
  4. Remote Access Security : dans un contexte de recours massif aux structures de travail hybrides basées dans le cloud, les cybercriminels utilisent de plus en plus souvent des accès à distance pour infiltrer les réseaux OT. Autrefois, la première voie d’attaque d’un réseau OT passait par le réseau IT de l’organisation concernée. Mais aujourd’hui, les acteurs malveillants peuvent intervenir dans tout l’écosystème de la chaîne d’approvisionnement – en profitant des failles dans les réseaux IT des vendeurs, du personnel d’entretien, des intégrateurs et des fabricants d’équipements. Par conséquent, la sécurisation des accès à distance est devenue indispensable aux activités industrielles modernes. 
  5. Risk-Based Vulnerability Management : un programme de gestion des vulnérabilités basée sur les risques permet aux organisations de définir et de prioriser les failles ICS les plus dangereuses. Il s’agit souvent de failles permettant aux adversaires d’accéder à l’ICS ou d’y introduire de nouvelles fonctionnalitéss qu’ils utiliseront ensuite pour provoquer des problèmes opérationnels comme la perte de vue, de contrôle ou de sécurité dans l’environnement industriel. L’adoption d’un système de gestion des vulnérabilités basée sur les risques requiert la mise en place de contrôles et de conditions opérationnelles propices à la prise de décisions basées sur les risques dans les phases de prévention, de réponse, de mitigation et de reprise d’activité.

Un avenir plus sûr

Je recommande aux organisations qui se débattent avec leur programme de sécurité ICS/OT de partir de ces cinq contrôles fondamentaux. Ces cinq piliers aideront les organisations actives dans les infrastructures critiques à élaborer un programme de sécurisation des ICS adapté à leur profil de risque particulier. Cependant, bien que les contrôles soient essentiels à la sécurité ICS/OT, leur efficacité dépend encore toujours d’une culture harmonieuse de l’organisation, dans laquelle la gravité des cyberrisques est comprise et priorisée à chaque niveau, du conseil d’administration et de l’équipe de direction jusqu’aux avant-postes des équipes de sécurité.

La sécurité ICS/OT doit adopter une stratégie de sport d’équipe. Elle doit combiner la force des contrôles agiles avec des processus bien définis, pour pouvoir suivre la cadence accrue des attaques ICS de plus en plus fréquentes. En se dotant d’un cadre adéquat, les organisations actives dans les infrastructures critiques pourront définir une stratégie proactive en vue de renforcer leur défense contre les acteurs malveillants.

 

À propos du SANS Institute

Le SANS Institute, organisme coopératif de recherche et d’éducation, a été créé en 1989. Aujourd’hui, SANS est le fournisseur le plus fiable et de loin le plus important de formation et de certification en cybersécurité pour les professionnels des institutions gouvernementales et commerciales du monde entier. Des formateurs SANS de renom dispensent plus de 60 cours lors d’événements de cybersécurité en personne et virtuels, ainsi que sur la plateforme OnDemand. 

Le GIAC, affilié à l’institut SANS, valide les compétences des praticiens par plus de 35 certifications pratiques et techniques en cybersécurité. Le SANS Technology Institute, une filiale indépendante accréditée au niveau régional, offre des diplômes de Master et de licence, des certificats d’études supérieures et un certificat de premier cycle en cybersécurité. SANS Security Awareness, une division de SANS, fournit aux organisations une solution complète de sensibilisation à la sécurité, leur permettant de gérer leur risque « humain » de cybersécurité de manière simple et efficace. SANS fournit également de nombreuses ressources gratuites à la communauté InfoSec, y compris des projets de consensus, des rapports de recherche, des webcasts, des podcasts et des bulletins d’information. L’organisation exploite également le système d’alerte précoce d’Internet, baptisé « Internet Storm Center ». 

SANS est centrée sur les nombreux professionnels de la sécurité, représentant diverses organisations internationales, des entreprises aux universités, qui œuvrent ensemble pour soutenir et éduquer la communauté mondiale de la sécurité de l’information.

www.sans.org

 

Jenn Elston

Global Director of Strategic Communications, SANS Institute
Paul Geens

Paul Geens

PR consultant, Evoke

 

 

Recevez des mises à jour par e-mail

En cliquant sur « S'abonner », je confirme avoir lu et accepté la Politique de confidentialité.

À propos de Evoke

Founded in 2011, Evoke is a communication agency specialized in public relations and content marketing. We get your story told. Whether through press relations, social media, websites, newsletters or print, our consultants make sure you and your message will reach your target audience.

Contact

Witte Patersstraat 4 1040 Brussel

+32 486 42 90 91

[email protected]

www.evokepr.be