L’OT est aujourd’hui une cible privilégiée des pirates informatiques car les équipements sont encore mal protégés. Comment limiter les risques de cyberattaques en environnement industriel tout en impactant le moins possible les chaînes de production ?
Quatre solutions pour limiter la matérialisation du risque
#1 Mettre en place un pare-feu entre IT et OT
IT et OT ne sont pas suffisamment cloisonnés. Pour protéger l’un comme l’autre, il faut les séparer en mettant en place une barrière entre les deux : une « zone démilitarisée » ou DMZ.
DMZ
Une zone démilitarisée (ou DMZ – demilitarized zone) est un sous-réseau à la fois séparé du réseau local de l’entreprise et isolé d’internet. La DMZ héberge les services exposés et accessibles de l’extérieur de l’entreprise. Elle sert de zone tampon avec les réseaux non sécurisés comme internet.
#2 Choisir un EDR en fonction de ses spécificités OT
Un EDR (Endpoint Detection Response) est un antivirus nouvelle génération de détection et de réponse à incidents, qui combine l’analyse de malwares et la comparaison à une base étendue de virus. L’EDR surveille en temps réel tous les processus en cours sur les postes de travail et les serveurs pour détecter des séquences de comportements malveillants.
L’EDR couvre une large étendue de systèmes d’exploitation (OS) pour pallier l’obsolescence des systèmes d’exploitation de l’OT (parfois encore sous Windows 7 voire sous XP !).
Il existe deux modèles de déploiement d’un EDR pour limiter partiellement ou couper complètement les capacités de communication entre les actifs OT et internet :
- Une solution tampon avec l’utilisation d’un proxy dans la DMZ, qui permet de faire une rupture protocolaire entre l’équipement ou l’actif OT et internet (c’est-à-dire la plateforme Cloud de l’EDR) ;
- Un déploiement complet de la solution EDR, incluant la plateforme d’analyse, déployée on-premise dans les infrastructures locales.
#3 Avoir une sonde métier de détection du réseau industriel (NDR)
Surveiller le réseau est essentiel pour comprendre un environnement OT et notamment les échanges entre les différents équipements. On ne peut pas se référer à des fichiers de logs, car les équipements industriels ne génèrent pas tous des logs.
La sonde de détection est une technologie non intrusive permettant d’écouter et d’analyser ce qu’il se passe sur un réseau, de cartographier les éléments et de détecter les événements anormaux comme une attaque, sans perturber le fonctionnement des équipements et donc sans impact sur la production.
Elle peut fonctionner soit en 100 % local soit en récupérant les informations de la Cyber Threat Intelligence, afin d’intégrer les derniers scénarios d’attaques et identifier les vulnérabilités.
#4 Installer des pots de miel ou honeypots
Un « pot de miel » est un leurre. C’est un système volontairement vulnérable pour attirer les attaquants, observer et récupérer leurs techniques. Ce sont des systèmes fictifs qui n’ont aucun contact avec l’environnement OT ou IT réel : les actions des attaquants n’ont aucun impact.
Installer un honeypot et le connecter au SOC permet de reconnaître les prémices de l’attaque, pour une détection plus rapide voire instantanée.
Le security by design : la prévention pour limiter la surface d’attaque
Pour un constructeur, le security by design consiste à inclure la notion de risque dans son projet dès la phase de conception. Le fournisseur effectue des tests d’intrusion sur ses équipements avant de les livrer.
Le security by design permet aussi de mettre en place des solutions de prévention en fonction des réglementations spécifiques de l’OT (détaillées dans notre article sur les cyber risques des environnements OT), comme une homologation ou une certification. Par exemple, un produit certifié selon la norme NF EN IEC 62443 permet de garantir que l’équipement est plus robuste et conforme aux critères définis par le security by design.
Fives CortX a par exemple récemment demandé à Advens de l’accompagner dans l’homologation de sa solution CortX Alchemy Edge.
Des outils et des solutions de détection permettent aujourd’hui de limiter la matérialisation d’un risque sur l’architecture d’un système industriel. Les certifications du security by design, quant à elles, permettent de prévenir les risques. Advens propose un accompagnement d’audit et de conseil dans l’homologation de vos produits pour réduire au maximum la surface d’attaque. Découvrez nos offres de sécurité des environnements OT.
