Retour sur le CRITIS 2021
OT - Qu'est-ce que l'OT ?
Pour certains, l’OT dispose de particularités qui comparées à l’IT rendent le sujet plus sensible et singulier. Voici les deux arguments les plus souvent exposés :
Les réseaux OT et IT sont de plus en plus interconnectés ce qui réunit deux mondes jusque-là incompatibles. Vraiment ?
- La principale vulnérabilité des équipements OT (automate de surveillance médical, contrôleur de vannes d’eau potable, capteurs de température…) est l’obsolescence logicielle : couches logicielles désuètes (nombreux équipements de ce type sont encore sous Windows XP, par exemple) et non patchées. Cette situation est due, aux fabricants et éditeurs qui ne proposent pas (ou très rarement) de maintenance applicative et aux utilisateurs qui ne déploient les mises à jour par peur de casser quelque chose qui fonctionne. Situation parfaitement similaire à ce que connaissaient les systèmes IT il y a encore peu.
n’est pas une option. Vraiment ?
- Une infrastructure est dite critique lorsque son interruption peut engendrer des dégâts majeurs. Ces dégâts peuvent porter sur la vie humaine ou sur l’économie d’un état. Il est évident qu’une centrale nucléaire, une usine de traitement des eaux, un fournisseur d’énergie sont critiques. Si leurs activités cessent, même un instant, des vies sont en jeu. C’est aussi le cas de banques et d’instituts financiers, d’assurances, de services gouvernementaux, et bien d’autres qui ne disposent pas de chaîne de production mais dont l’exploitation de la donnée est vitale. Pouvez-vous imaginer être incapable de retirer de l’argent ou de recevoir votre payement mensuel ?
L’interconnexion des systèmes OT aux SI engendre, comme l’ouverture des réseaux par le passé, une augmentation de la surface d’attaques. En d’autres termes, les points d’entrée dans l’entreprise sont de plus en plus nombreux. La variété des technologies ajoute une complexité à la supervision et à la maîtrise des réseaux.
Les objets sont de plus en plus savants : votre montre peut dire où vous étiez quand et à quelle heure, communiquer un rapport d’activité ou de santé à votre assureur qui en fera usage pour ajuster, quasi en temps réel, votre couverture santé. S’assurer que les objets connectés des clients ne contaminent pas le réseau de l’entreprise en est une conséquence, tout comme protéger les données collectées en est une autre.
L’automatisation des voitures engendre d’autres évolutions du paysage des risques des constructeurs automobiles. La voiture autonome est susceptible de prendre seule des décisions, bonnes ou mauvaises. Les responsabilités de chacun doivent être clarifiées et formalisées. Imaginez que la voiture soit piratée pour devenir une arme en fonçant dans une foule et blesser voire tuer des personnes.
Ces exemples, loin d’être exhaustifs, démontrent que les objets les plus anodins peuvent modifier l’univers des risques des entreprises qu’elles soient fournisseurs ou utilisatrices de solutions technologiques.
Les bonnes pratiques de la sécurité IT comme NIST peuvent également être appliquées à l’OT. Voici une sélection de solutions pour améliorer le niveau de sécurité de l’OT et améliorer la résilience des infrastructures critiques.
La première chose à faire pour une entreprise est d’apprendre de son écosystème dans le but de comprendre ce qu’elle doit protéger, de qui et de quoi.
Connaître sa valeur : qu’est-ce qui possède de la valeur pour l’entreprise ? Qu’est-ce qui fait la valeur de l’entreprise ? Les réponses à ces questions sont propres à chaque organisation. Cela peut être les configurations des chaînes de production, les recettes de fabrication des produits, les prototypes, les données, les savoir-faire, etc.
Connaître ce qui a de la valeur permet de savoir ce qui doit être protégé, les conditions de protection et les technologies les plus adéquates.
Connaître ses menaces : les attaquants sont de plus en plus nombreux et possèdent des motivations toujours plus variées. Sachez à qui vous devez faire face, estimez leurs moyens et leurs motivations pour adapter votre stratégie de protection, de défense et de réaction.
Connaître ses adversaires pour comprendre comment ils fonctionnent et ce qui les motive pour adapter votre stratégie de protection.
En parallèle, il faut construire une culture sécurité au sein de l’entreprise et en dehors. Impliquer et responsabiliser chacun à la sécurité est un indispensable pour la survie de toute organisation.
Développer une culture sécurité qui englobe tous les acteurs de la sécurité qu’ils soient actifs ou passifs. C’est le modèle de la sécurité aéroportuaire qui compte sur chacun pour alerter en cas de doute ou de non-respect des règles de sécurité. Éduquer et sensibiliser en continu chacun aux risques de révéler des informations sur l’entreprise, de cliquer maladroitement sur un lien ou de partager son compte utilisateur.
Développer une culture sécurité fondée sur des règles et des principes clairs pour constituer une force de détection et réaction en cas d’attaque.
Construire une relation gagnant-gagnant avec ses tiers : travailler avec les constructeurs, éditeurs, fournisseurs de façon à avoir des produits d’un bon niveau de sécurité et de conformité dès la livraison (security by design et by default). Établir une relation long terme pour assurer le maintien en conditions de sécurité de ces appareils. Notamment en partageant les anomalies détectées et toutes les informations pertinentes avec le tiers.
Établir une relation constructive avec ses tiers pour avoir la garantie de produits sécurisés et répondants aux besoins et exigences de leur livraison à leur fin de vie.
Toutes les actions aussi pertinentes soient-elles, ne sont efficaces qu’avec une gouvernance adaptée et établie. Une bonne gouvernance passe inexorablement par des rôles et responsabilités connus.
Attribuer les responsabilités : connaître et comprendre son environnement permettra d’identifier ce qui relève de l’IT et de l’OT, d’expliquer les chemins d’attaque qui pourront traverser les différents environnements de l’entreprise. Une visibilité concrète des risques d’attaque permettra à chacun de prendre les mesures de sécurisation adéquates et adaptées tant à la technologie, qu’à l’organisation et aux besoins des métiers.
Attribuer les rôles et les responsabilités qui permettent à chacun de se sentir responsables et d’agir efficacement.
Mettre en œuvre et promouvoir une organisation transverse qui considère l’infrastructure critique comme une part intégrante de l’entreprise et non, comme un élément isolé et piloté de manière détaché. En effet, les frontières organisationnelles ne stoppent pas les attaquants. Un fonctionnement fluide entre les deux univers n’est possible que par l’attribution de responsabilités claires entre l’OT et l’IT associées à des canaux de communication adéquats pour viser l’objectif commun de la sécurisation.
Mettre en œuvre une organisation qui permet le travail collaboratif entre les équipes OT et IT pour viser un objectif commun et unique d’un niveau de sécurité adapté.
Toutes ces actions contribueront à améliorer la résilience de l’entreprise. Il n’est possible de réagir que lorsque nous avons connaissance d’être attaqué. Il n’est possible de réagir correctement que lorsque nous nous sommes préparés et exercés. Toutes ces actions ne visent qu’un seul but : être capable de détecter, de comprendre, de réagir et de répondre à une attaque.
Eraneos, tout comme plusieurs professionnels de l’OT, recommande que :
- La sécurité soit prise en considération dès la conception des produits et des solutions – indépendamment de leur nature et leur fonction. Un travail collaboratif entre experts, utilisateurs et fournisseurs permettrait de gagner en flexibilité et d’améliorer le niveau de sécurité moyen des entreprises et des administrations.
- La sécurité ne soit plus un sujet de second plan dans une cartographie des risques. Mais un sujet à part entière qui fasse sens pour les Directions Générales. Un sujet traité au plus haut niveau de manière adaptée au contexte de l’environnement pour permettre à tous de progresser.
Eraneos vous soutient avec ses cinq compétences clés, de la stratégie à la mise en œuvre :
- Stratégie numérique & innovation : nous développons avec vous une stratégie adaptée et des modèles commerciaux basés sur les données.
- Data Analytics & Artificial Intelligence : nous numérisons et automatisons les processus administratifs grâce à la Robotic Process Automation et à l'intelligence artificielle.
- Gestion de projet & transformation : la gestion de programme et de projet ainsi que l'ingénierie des processus d'entreprise soutiennent la mise en œuvre réussie des projets.
- Conseil en informatique : En tant qu'experts en nouvelles technologies et plates-formes, nous vous aidons à identifier comment créer de la valeur ajoutée pour votre entreprise.
- Cybersécurité et protection de la vie privée : nos spécialistes en cybersécurité veillent à ce que vos données soient toujours protégées et sécurisées de manière optimale.
CRITIS 2021 est l’évènement européen qui réunit des acteurs des infrastructures critiques : professionnels, chercheurs, consultants et académiciens venant d’organisations publiques, privées ou gouvernementales explorant aussi bien les champs de l’industrie, de la santé que de la défense.
Cette année, l’objectif de l’évènement était d’explorer les idées pour relever les défis de la résilience et de la sécurité sociétale, et favoriser le dialogue avec les parties prenantes.
Pour en savoir plus : https://critis2021.org/
Postes vacants
[2] https://thehackernews.com/2020/09/a-patient-dies-after-ransomware-attack.html
[3] https://www.bloomberg.com/news/articles/2021-06-04/hackers-breached-colonial-pipeline-using-compromised-password
[4] https://www.24heures.ch/les-hackers-reclament-septante-millions-de-dollars-698669187966
[5] https://eandt.theiet.org/content/articles/2021/09/national-space-strategy-outlines-long-term-hope-for-uk-space-sector/