De la dichotomie à la symbiose entre systèmes OT et IT
La convergence des technologies opérationnelles (OT) et de l’information (IT) constitue un enjeu crucial pour la cybersécurité moderne. L’expérience montre cependant que cet aspect est souvent sous-estimé.
La lacune en matière de cybersécurité des systèmes OT
Les technologies OT, ont des hautes exigences en intégrité, fiabilité, disponibilité des opérations. La présence d’équipements obsolètes, sans support du fabricant et développés sans considération sécuritaire, est monnaie courante et expose les entreprises à des risques accrus face aux cybermenaces.
Ceci entraîne une expansion rapide de la surface d’attaque, exacerbée par l’intégration croissante de l’OT et de l’IT.
Vers une gouvernance stratégique en informatique
Pour combler le fossé entre OT et IT, les entreprises sont invitées à envisager le panorama des menaces pesant sur ces secteurs de manière holistique. Il est essentiel qu'OT et IT fusionnent leurs efforts, exploitant cette chance pour développer une stratégie de défense cohérente, efficace et adaptée à l’ensemble des enjeux. Un cadre de cybersécurité unifié OT-IT, informé par des normes telles que l’IEC 62443, le NIST SP 800-32 et GMP ou des concepts tels que modèle PURDUE, permet aux organisations de reposer sur des bases solides en intégrant de nouveaux paradigmes, aidant ainsi à atténuer les risques et à assurer leur résilience contre les cybermenaces. Cette démarche favorise une transformation sécurisée et adaptative dans l’écosystème numérique actuel.
Conclusion
Trop souvent, les organisations se limitent à déployer des solutions génériques sans considérer les risques liés à l’intégration des deux environnements entre eux. La sécurité informatique OT, en évolution constante, nécessite une attention particulière et une expertise spécialisée. Une politique de gouvernance adéquate est la meilleure façon d’établir une stratégie de sécurité efficace. Les risques seront parfaitement identifiés et les mesures adéquates seront mises en place.
Operational Technology
Les technologies opérationnelles (ou OT pour Operational Technology en anglais) sont une catégorie de technologies informatiques qui comprend le matériel et les logiciels permettant de surveiller les machines et les processus industriels dans tous les secteurs. Le terme s’est imposé pour montrer les différences technologiques et fonctionnelles entre les systèmes de technologie de l’information (IT) traditionnels et l’environnement des systèmes de contrôle industriel.
Modèle Purdue
Conçu dans les années 1990 à l’université de Purdue, il fait partie de la méthodologie PERA (Purdue Enterprise Reference Architecture). Il constitue un modèle de référence pour la relation entre les systèmes d’automatisation et de contrôle industriel, ainsi que les réseaux d’entreprise. Le modèle de référence propose les meilleures pratiques pour la protection contre les cybermenaces liées aux technologies opérationnelles (OT).
«L’OT peut servir de cible ou de vecteur pour des attaques dirigées vers l’IT»
A la fois cibles de cyberattaques et très sensibles aux interruptions, les systèmes opérationnels (OT) nécessitent des mesures de protection spécifiques. En entretien, Alexandre Garnier, Head of Business Development Cybersecurity & Connectivity chez Spie, explique comment sécuriser ces environnements exigeants. Interview: Rodolphe Koller
A quels risques particuliers sont exposés les systèmes opérationnels? A quels types d’attaque font-ils face?
Les systèmes OT font face à des menaces sécuritaires qui incluent, au-delà des vulnérabilités IT classiques, des risques spécifiquement liés à leur nature. Parmi ceux-ci, nous pouvons citer les dangers physiques et environnementaux potentiellement mortels, les conséquences financières d’un arrêt de production, et le risque de non-respect des réglementations spécifiques à certains secteurs. Une particularité notable est que l’OT peut servir de cible ou de vecteur pour des attaques dirigées vers l’IT. Quant aux types d’attaques, les systèmes OT sont principalement confrontés à des malwares, à des attaques par déni de service (DDoS) et à des compromissions de la chaîne d’approvisionnement.
Dans quelle mesure la protection des systèmes OT se distingue-t-elle de celle des systèmes IT?
La distinction entre la protection des systèmes opérationnels (OT) et informatiques (IT) réside principalement dans la spécificité des équipements OT. À titre d’exemple, l’implémentation des mises à jour de sécurité, fluide et intégrée dans l’écosystème IT, se révèle souvent complexe, voire irréalisable pour les systèmes OT. Ces derniers,caractérisés par un environnement fortement contrôlé et des systèmes d’exploitation souvent personnalisés ou dépassés, exigent un fonctionnement continu sans interruption. Cette contrainte de disponibilité ininterrompue nécessite une adaptation du modèle traditionnel de défense en profondeur. La protection des systèmes OT s’appuie donc majoritairement sur des mécanismes de sécurité externes, en raison de la difficulté d’effectuer des interventions directes sur ces équipements.
Les fabricants de systèmes OT intègrent-ils en général des outils de protection à leurs produits?
L’intégration d’outils de protection par les fabricants d’OT varie selon le secteur et le niveau de régulation. Nombre d’entre eux n’ont pas encore pris la mesure des risques et proposent des produits dépourvus de sécurité intégrée. La plupart des fabricants, spécialisés dans la construction d’équipements OT, ne possèdent pas une expertise informatique poussée, ce qui contribue à une sous-estimation des risques.
Des fournisseurs spécialisés proposent-ils aujourd’hui des solutions de sécurité dédiées à ces environnements?
Actuellement, les principaux fournisseurs de sécurité informatique reconnaissent l’importance de protéger spécifiquement les systèmes opérationnels (OT) et proposent à cet effet des solutions spécialisées. Le marché s’est enrichi d’outils dédiés à la détection des composants OT au sein des réseaux, à leur sécurisation et à la gestion sécurisée des accès distants. L’élargissement et la diversification des solutions de sécurité spécialement conçues pour l’OT témoignent d’une prise de conscience accrue des défis et des risques associés à ces environnements critiques.
Quels conseils donnez-vous aux organisations pour protéger leurs environnements OT et IT de manière intégrée et efficace?
Pour sécuriser efficacement les environnements IT et OT, il est crucial de favoriser la collaboration entre les équipes responsables de ces domaines, qui sont trop souvent gérées de manière indépendante. La gouvernance et la stratégie de sécurité doivent être revues pour englober les spécificités de l’OT, ce qui implique une connaissance approfondie et une gestion précise du parc OT, souvent négligée. Face à l’évolution vers l’industrie 4.0 et la nécessité de connectivité, les approches traditionnelles comme l’isolation physique (Air Gap) deviennent obsolètes, rendant indispensable l’adoption de solutions de visibilité et de sécurité adaptées à l’OT.
