Adopter une approche globale pour maîtriser la cybersécurité dans les environnements IT et OT

Le paysage en constante évolution de la sécurité cybernétique et physique présente des défis uniques pour les environnements IT (technologies de l’information) et OT (technologies opérationnelles), dépassant ainsi les risques traditionnels associés aux systèmes informatiques. Les dangers accrus issus de l’Internet industriel des objets (IIoT) et de l’automatisation exigent des stratégies robustes pour protéger les systèmes interconnectés. À mesure que les industries s’appuient de plus en plus sur l’IIoT, la surface d’attaque potentielle s’élargit, rendant crucial l’identification et le traitement des vulnérabilités susceptibles de perturber les opérations physiques. 

Cela implique que le rapprochement de la sécurité IT et OT nécessite une approche holistique fondée sur des stratégies technologiques et procédurales. Il est essentiel de créer un cadre de sécurité unifié qui puisse gérer et surveiller les actifs IT et OT. Par conséquent, l’évaluation des risques constitue un élément fondamental dans la mise en place de mesures adéquates de sécurité cybernétique et physique. À travers cette évaluation, les organisations peuvent élaborer des mesures de sécurité basées sur des risques spécifiques pour garantir une protection optimale. 

Les organisations doivent également naviguer à travers les réglementations et normes de sécurité cybernétique et physique dans ce paysage complexe. La plupart d’entre elles s’orientent vers des normes spécifiques à leur secteur, telles que celles établies par le National Institute of Standards and Technology (NIST) et l’International Organization for Standardization (ISO), afin de répondre aux exigences légales applicables. Cependant, atteindre une telle conformité s’avère délicat en raison de la nature dynamique des menaces cybernétiques et de l’évolution constante de l’environnement réglementaire. Les organismes doivent être suffisamment agiles pour actualiser leurs protocoles de sécurité en fonction des nouvelles normes et de la mitigation des risques émergents. 

En fin de compte, la solution pour garantir une sécurité cybernétique et physique efficace repose sur une approche proactive, intégrant évaluation des risques, conformité réglementaire et intégration stratégique des mesures de sécurité IT et OT. Cela garantirait que les opérations soient protégées face aux menaces multiples résultant de la convergence entre le monde numérique et physique. 

Aborder les risques uniques de la sécurité cybernétique et physique au-delà de l’IT

Des experts en cybersécurité industrielle ont été interrogés pour définir la “sécurité cybernétique et physique” et pour détailler ce qui rend ses risques distincts des risques traditionnels de l’IT ou de la cybersécurité. 

“La sécurité cybernétique et physique est un terme récemment popularisé pour désigner ce que nous connaissions depuis longtemps sous le nom de cybersécurité industrielle ou de sécurité des technologies opérationnelles (OT)”, a déclaré Sandeep Lota, directeur technique mondial chez Nozomi Networks. “Cela fait référence à la protection des systèmes cyber-physiques (CPS), qui intègrent des processus physiques et des composants numériques. Lorsque Gartner a annoncé qu’il publierait un nouveau cycle de hype pour la sécurité des CPS l’année dernière, ce terme a commencé à apparaître partout. Ce terme est particulièrement approprié ici.” 

Lota a ajouté que les risques liés à la sécurité cybernétique et physique se distinguent des risques IT traditionnels en ce qu’ils peuvent engendrer des conséquences physiques. Les enjeux sont plus élevés, surtout lorsqu’il s’agit d’infrastructures critiques.

Vytautas Butrimas, consultant en cybersécurité industrielle et membre de l’International Society of Automation (ISA), a précisé que la politique de protection doit tenir compte de la compromission ou de la défaillance des technologies numériques utilisées pour surveiller et contrôler des processus régis par des lois physiques et chimiques. “La distinction des risques vient des conséquences de la perte de données/informations dans les environnements IT par rapport aux conséquences de la perte de vue et de contrôle d’un processus physique. Dans le premier cas, le risque pour les personnes, les biens ou l’environnement est faible et sera probablement réglé par un appel au service IT. Dans le second cas, la probabilité de préjudice physique aux personnes ou aux infrastructures est élevée, nécessitant alors l’intervention des services d’incendie et de secours”, a-t-il ajouté.

“La sécurité cybernétique et physique consiste à protéger les composants qui interagissent avec et contrôlent des éléments physiques des processus industriels”, a expliqué Christina Hoefer, vice-présidente de la stratégie OT et IoT chez Forescout Technologies. “Par exemple, dans l’industrie agroalimentaire, des vannes de processus contrôlent l’approvisionnement en eau ou en ingrédients, des dispositifs de contrôle de la température fondent le chocolat, et des bras robotiques coordonnés décorent les bonbons au chocolat. Alors qu’un arrêt imprévu d’une ligne de production peut entraîner des pertes de revenus, l’arrêt d’un four industriel pourrait provoquer des dégâts matériels et des risques pour la sécurité.” 

Hoefer a noté que sécuriser les systèmes cyber-physiques nécessite de traiter les vulnérabilités, le contrôle d’accès et les risques cybernétiques. “Contrairement à l’IT, les technologies opérationnelles (OT) et les systèmes de contrôle industriel (ICS) ne peuvent pas simplement être redémarrés sans perturber les opérations. Les organisations doivent adapter leurs approches pour équilibrer sécurité et besoins opérationnels.” 

La sécurité cybernétique et physique assure la sécurité, la fiabilité et la disponibilité des systèmes industriels, en se concentrant sur la prévention des interruptions opérationnelles, a déclaré Zakhar Bernhardt, consultant en cybersécurité OT/ICS au sein de l’entreprise d’automatisation allemande anapur AG. “Contrairement à la sécurité IT où la confidentialité est primordiale, les environnements OT privilégient la sécurité et la disponibilité. Les problèmes cybernétiques dans l’OT peuvent avoir un impact direct sur les systèmes physiques, mettant en danger des vies et des infrastructures, ce qui nécessite des approches adaptées pour faire face à ces défis uniques.” 

Sécurité cybernétique et physique à l’ère de l’IIoT et de l’automatisation en plein essor

Les dirigeants examinent comment les récentes avancées technologiques telles que l’IIoT et l’automatisation ont redéfini le paysage des risques cybernétiques. Ils discutent également des implications que cela a pour les stratégies de sécurité cybernétique et physique des organisations.

“L’automatisation n’est guère une avancée récente, et l’IIoT existe depuis suffisamment longtemps (environ 2010) pour que les fournisseurs de cybersécurité axés sur les CPS comprennent les risques que les dispositifs connectés introduisent et puissent se défendre contre ceux-ci”, explique Lota. “À ce stade de maturité, les organisations industrielles et les propriétaires d’infrastructures critiques peuvent se protéger en adoptant des solutions de cybersécurité axées sur l’OT, telles que le contrôle d’accès, la surveillance continue, la détection de menaces, et en respectant rigoureusement les meilleures pratiques en matière d’hygiène cybernétique, comme des politiques de mots de passe solides, des accès minimaux, la segmentation des réseaux, etc.” 

Butrimas a ajouté : “Nous vivons désormais dans un monde de connectivité accrue entre dispositifs et systèmes. Cela a permis la création et l’exploitation efficace de systèmes encore plus vastes s’étendant sur de larges zones géographiques. Malheureusement, cette avancée a introduit de nouvelles vulnérabilités exploitables, accru le nombre de points de défaillance potentiels et établi des dépendances critiques sujettes aux défaillances en cascade, ainsi qu’une surface d’attaque élargie.” 

Il a également signalé que les implications nécessitent une reconsidération des architectures des systèmes qui permettent la connectivité là où cela fait sens sur le plan technique, tout en améliorant la sécurité et en réduisant cette connectivité lorsque cela n’est pas le cas.

“Les avancées telles que l’Internet industriel des objets et l’automatisation ont rendu les dispositifs plus interconnectés, fournissant des données pour l’analyse et l’automatisation, mais élargissant également la surface d’attaque,” explique Hoefer. “Les dispositifs conçus sans sécurité introduisent de nouveaux points d’entrée pour les attaquants, permettant des mouvements latéraux, du vol de données et des interruptions de processus.” 

Elle a ajouté que les stratégies de sécurité cybernétique et physique des organisations doivent maintenant prendre en compte la sécurisation d’un éventail bien plus large de dispositifs, notamment ceux des systèmes OT, IoT, IIoT et BAS, tout en tenant compte des exigences et des contraintes cybernétiques et physiques supplémentaires. 

“Les avancées comme l’IIoT et l’automatisation ont élargi la surface d’attaque dans les environnements OT,” a déclaré Bernhardt. “L’accès à distance et les transferts de données améliorent l’efficacité, mais introduisent également des vulnérabilités et des risques, tels que des cyberattaques et des instabilités système. L’ajout de services supplémentaires dans les réseaux OT réduit la fiabilité et augmente la complexité. Les organisations doivent se concentrer sur l’alliance de la fiabilité et de la sécurité à travers la surveillance en temps réel et des tests rigoureux des nouvelles technologies.” 

Relier la sécurité IT et OT : Stratégies pour la sécurité cybernétique et physique

Les dirigeants fournissent à l’industrie des stratégies pratiques ou des cadres que les organisations peuvent utiliser pour combler le fossé entre les équipes de sécurité IT et OT, garantissant ainsi l’alignement et l’efficacité des efforts de cybersécurité et de sécurité physique. Ils partagent également, selon leur point de vue, ce qu’ils souhaitent que les professionnels de l’IT comprennent au sujet des systèmes cyber-physiques et de leurs risques spécifiques. 

Lota a observé que la culture IT/OT entre en collision dans le SOC, et que c’est le meilleur endroit pour l’aborder. “Trop souvent, au lieu d’un SOC fusionné, vous avez un SOC IT traditionnel fournissant un service à l’unité commerciale OT, qui ne comprend pas vraiment ses enjeux. J’ai écrit à ce sujet et fourni des stratégies efficaces.” 

“La chose que j’aimerais que les professionnels de l’IT comprennent au sujet des CPS est réellement notre mantra industriel : les OT contrôlent les processus physiques et que lorsque quelque chose va mal, les enjeux sont beaucoup plus élevés,” a ajouté Lota. “Dans les environnements industriels, vous devez toujours planifier pour votre ‘jour le pire’. Quel événement catastrophique pourrait se produire et affecter des milliers de personnes ? L’analyste SOC moyen n’est pas formé pour réfléchir ainsi.” 

Butrimas a signalé la tendance à “utiliser ce qui est bien établi (ou dérivé) pour protéger les environnements centrés sur les données/informations, qui ne sont pas entièrement adaptés aux systèmes d’automatisation et de contrôle (ACS). Par exemple, les politiques de mise à jour IT sont toxiques pour les environnements ACS.” 

Ce que Butrimas souhaite pour les professionnels de l’IT, c’est d’avoir une connaissance basique des concepts utilisés dans le domaine de l’ingénierie. “S’ils savaient cela, ils réfléchiraient à deux fois avant d’imposer une politique de sécurité IT sur un processus ou à tout le moins, ils consulteraient un ingénieur en automatisation ou en protection avant de tenter quoi que ce soit.” 

Hoefer a souligné que de nombreuses organisations créent des équipes de sécurité spécifiques à l’OT ou assignent des rôles de conseillers en sécurité OT à des professionnels de l’automatisation. “Même si ces équipes sont petites, elles veillent à ce que les exigences cyber-physiques soient considérées lors de l’élaboration des stratégies de sécurité. Les cadres communs que les organisations suivent sont le NIST Cybersecurity Framework et l’IEC 62443.” 

Elle a identifié que les professionnels de l’IT devaient comprendre que, bien que de nombreux systèmes industriels puissent sembler automatisés, ils reposent souvent sur des équipements obsolètes. Les systèmes de faible performance nécessitent une planification minutieuse et ne peuvent pas être gérés comme des appareils IT. Le déploiement de contrôles de sécurité prend du temps pour éviter de perturber les opérations critiques.” 

“Les cadres pratiques en cybersécurité OT sont limités, reposant souvent sur une formation spécialisée et des cours,” a déclaré Bernhardt. “Relier le fossé IT-OT nécessite de favoriser une compréhension mutuelle. Les professionnels de l’IT doivent reconnaître que l’OT privilégie la sécurité et la disponibilité plutôt que la confidentialité et l’agilité. Des stratégies telles que des séances de formation conjointes et des équipes interdisciplinaires peuvent améliorer l’alignement. Établir cette compréhension aide les équipes IT et OT à travailler ensemble pour protéger efficacement les systèmes critiques.” 

Mesurer l’efficacité de la sécurité cybernétique et physique

Les dirigeants se concentrent sur les méthodes et les indicateurs que les organisations utilisent pour surveiller et évaluer leur posture de sécurité cybernétique et physique à travers les environnements IT et OT. Ils examinent également s’ils disposent généralement des ressources et de l’expertise nécessaires pour atteindre cet objectif.

Lota a identifié que le moyen le plus simple et cohérent de suivre et d’évaluer le risque CPS se trouve dans votre plateforme de cybersécurité. “Cependant, toutes ne sont pas capables de calculer le risque OT, qui est bien plus complexe que l’évaluation de la vulnérabilité. Vous ne vous concentrez pas uniquement sur le risque d’actif ; vous devez également identifier vos processus les plus critiques et comment les protéger. Il est important que ces calculs reflètent comment votre organisation attribue le risque.” 

Butrimas recommande de se familiariser avec la norme de l’International Society of Automation pour la sécurité des systèmes de contrôle et d’automatisation industrielle (ISA/IEC 62443) ainsi qu’avec la norme ISA 95 pour l’intégration des systèmes de contrôle d’entreprise. “Les questions énumérées parmi les 12 principes trouvés dans le US-DoE/INL Cyber Informed Engineering” doivent également être examinées.” 

Il a ajouté que, selon son expérience, “certains propriétaires d’actifs et opérateurs n’ont pas les ressources et l’expertise nécessaires pour soutenir ce type d’évaluation approfondie. Cela provient pour beaucoup d’un manque de conscience de ces méthodes et de la nécessité de les utiliser.” 

Hoefer explique que le suivi de la sécurité cybernétique et physique commence par un inventaire exhaustif des actifs, documentant les systèmes connectés, les systèmes d’exploitation, les firmwares et la criticité de chaque actif. “L’automatisation de la génération et de la maintenance des inventaires à l’aide d’outils comme les technologies de surveillance des réseaux industriels permet de maintenir l’exactitude et l’efficacité. Ces données permettent d’évaluations non intrusives de la posture de sécurité, identifiant les vulnérabilités, les versions obsolètes des systèmes d’exploitation, les identifiants par défaut et les services inutiles.” 

Elle a détaillé que de nombreux outils automatisent également l’évaluation des risques et offrent des capacités de diagnostic, abordant ainsi des inefficacités au-delà de la sécurité. “Bien que la plupart des organisations aient déjà des systèmes de suivi des actifs, d’autres peuvent débuter par des évaluations de risques périodiques, utilisant des captures réseau et des exports de systèmes pour établir un inventaire et obtenir des idées sur les risques.” 

Bernhardt a mentionné que les organisations doivent d’abord comprendre leur environnement et déployer des outils de surveillance pour découvrir les angles morts. “Des indicateurs tels que le temps de fonctionnement des systèmes, le temps de réponse aux incidents et les résultats des audits sont essentiels pour suivre la posture de sécurité. Des audits internes réguliers assurent la visibilité et valident les défenses. Cependant, de nombreuses organisations manquent d’équipes et d’expertise dédiées pour gérer efficacement la cybersécurité OT. Développer des capacités internes est essentiel pour gérer les outils et devancer les risques.” 

L’évaluation des risques émerge-t-elle comme clé d’une sécurité cybernétique et physique efficace ?

Les dirigeants analysent comment une évaluation approfondie des risques informe l’élaboration d’un plan complet de sécurité cybernétique et physique. Ils examinent également les meilleures pratiques que les organisations devraient suivre dans ce processus. 

“Toute évaluation des risques commence par une analyse de l’impact sur l’entreprise pour identifier vos fonctions commerciales critiques, ou joyaux de la couronne, et prioriser leur protection,” a déclaré Lota. “Comme je l’ai mentionné, dans les environnements industriels, c’est plus complexe parce que vous ne vous concentrez pas uniquement sur les actifs et les vulnérabilités. Pour vraiment comprendre le risque, vous devez non seulement identifier vos processus les plus critiques, mais aussi les dépendances technologiques qui y sont associées.” 

Il a ajouté qu’une métrique utile pour déterminer la criticité est le RTO, ou temps de récupération objectif : si le temps de récupération pour restaurer la fonction est long et que la tolérance à une panne est faible, la fonction est critique et doit être protégée.

“Cela apporte des réponses aux questions de ce qui doit être protégé, contre quelles menaces, et comment protéger les actifs identifiés contre les menaces identifiées,” a déclaré Butrimas. “Ces réponses aideront à convaincre les services financiers et la direction.” 

Hoefer a ajouté que les évaluations des risques devraient se concentrer sur la posture des actifs, les dépendances de communication et les progrès dans le renforcement de la sécurité et des contrôles. “Des facteurs clés tels que les ports ouverts, les vulnérabilités et le comportement des dispositifs impactant la sécurité ou les temps d’arrêt influencent les scores de risque. Un plan de sécurité devrait prioriser la remédiation des postures de sécurité faibles, la détection des menaces cybernétiques imprévues et la création d’un plan de réponse exhaustif pour une récupération rapide. De nombreuses organisations négligent ces dernières étapes et concentrent toute leur énergie sur la phase de protection.” 

Selon Bernhardt, les évaluations des risques dans les environnements OT devraient se concentrer sur l’identification des principales vulnérabilités sans entrer dans le détail. “Une évaluation générale est suffisante pour mettre en évidence les problèmes critiques et orienter les efforts d’amélioration. Les meilleures pratiques incluent l’adaptation des évaluations aux réalités opérationnelles, la priorisation des risques à fort impact, et le raffinement itératif des mesures de sécurité durant l’implémentation. Cette approche garantit que les ressources sont efficacement dirigées vers l’amélioration de la résilience des systèmes.” 

Relever les défis de conformité en matière de sécurité cybernétique et physique

Les dirigeants examinent l’impact des exigences réglementaires et des normes industrielles sur la conception et la mise en œuvre des mesures de sécurité cybernétique et physique dans les environnements IT/OT. Ils discutent également des lacunes ou des défis existants en matière de conformité.

Lota a affirmé que la conformité réglementaire est le principal moteur de la conception et de la mise en œuvre des programmes de sécurité CPS. “Les programmes évoluent en fonction des exigences imposées par les gouvernements et les réglementations industrielles. À mesure que les cyberattaques sur les infrastructures critiques augmentent en nombre et en sophistication, souvent avec l’aide de l’IA, les instances réglementaires du monde entier ont réagi en actualisant les normes et en élaborant des réglementations plus strictes visant à renforcer la résilience. Ces actions sont compréhensibles, mais une régulation accrue élargit souvent les écarts existants entre les organisations disposant de ressources suffisantes pour se conformer aux mandats évolutifs et celles qui n’en disposent pas”, a-t-il ajouté.

“En ce qui concerne les normes industrielles, la première mise à jour majeure en une décennie de la norme IEC 62443-2-1:2024 a été d’une grande aide pour les organisations, grandes et petites,” selon Lota. “Globalement, les mises à jour apportées à de nombreuses parties de l’IEC 62443, ainsi que de nouveaux schémas de certification et une adoption nationale plus large ces dernières années, fournissent une base plus solide et plus cohérente pour sécuriser les CPS à l’échelle mondiale.” 

Butrimas considère cela comme ayant une influence significative. “Par exemple, l’attention récente portée au CRA (Cyber Resilience Act) de l’UE. Malheureusement, des lacunes subsistent. Principalement en précisant ce qui doit être protégé et quelles menaces existent. Le CRA, à mon sens, serait un meilleur document s’il indiquait non pas une définition vague de ce qui doit être protégé comme ‘dispositifs à éléments numériques’, mais appelait plutôt le PLC ou, si cela est trop spécifique, utilisait le terme ‘système d’automatisation et de contrôle’. Cela renforcerait les efforts pour garantir que les infrastructures critiques dont nous dépendons soient sûres, disponibles et résilientes.” 

Il a ajouté que les menaces doivent également être clarifiées. “Les menaces ne sont pas des abstractions ou ne se limitent pas à la cybercriminalité et au hacktivisme socialement motivé. Savoir qui pourrait attaquer informera sur ce qui est nécessaire pour se défendre.” 

“De nombreuses exigences réglementaires et normes industrielles influencent la conception et la mise en œuvre des mesures de sécurité en se concentrant sur la gestion des actifs, la gestion des risques et la détection des menaces à la sécurité,” a expliqué Hoefer. “Cependant, des lacunes apparaissent lorsque les normes demeurent trop vagues dans leurs exigences et les étapes recommandées, ou lorsque les organisations se concentrent à obtenir un simple tampon de conformité au lieu de considérer ce qui est le meilleur pour leur sécurité.” 

Elle a souligné un autre risque, qui intervient lorsque qu’une norme se concentre uniquement sur un aspect de l’organisation, négligeant l’interconnexion et la dépendance des opérations cyber-physiques par rapport à d’autres systèmes IT.

Bernhardt a déclaré que les réglementations et les normes établissent des bases essentielles, mais que des défis pratiques demeurent. “Ceci inclut l’adaptation des directives aux contextes opérationnels spécifiques et la prise en compte des lacunes dans les conseils pratiques d’implémentation. Se conformer à une réglementation ne suffit pas : les organisations doivent aligner ces normes sur leurs environnements et secteurs spécifiques pour atteindre une sécurité robuste. Les réglementations doivent être vues comme un point de départ, complété par des mesures pratiques et adaptées,” a-t-il conclu.