Il peut être tentant de protéger les réseaux industriels (plus largement appelés OT pour technologies opérationnelles) en leur appliquant les recettes éprouvées des systèmes d’information bureautiques. Mais pour Emmanuel Le Bohec, directeur des ventes de Claroty, un spécialiste de la sécurité des environnements OT, il existe des différences fondamentales entre OT et IT, qui rendent cette approche inefficace. Elle pourrait faire plus de mal que de bien en induisant un faux sentiment de sécurité. il développe cet avis pour les lecteurs de Solutions Numériques.
Rien ne ressemble plus à un système d’information qu’un autre système d’information. Vrai ? Pas vraiment, et encore moins lorsque l’on compare les SI bureautiques et industriels. Face aux menaces quotidiennes contre lesquelles doivent se protéger les SI traditionnels, le SI industriel fait office de capsule temporelle : isolé depuis des décennies et fraîchement ouvert, il n’est tout simplement pas adapté au monde numérique actuel.
Parallèlement, la transition numérique des entreprises est venue exercer une forte pression en faveur de l’interconnexion des réseaux OT au SI traditionnel. Par exemple, à l’aéroport, les passagers veulent désormais connaître le numéro de leur tapis de bagages sur l’application mobile de leur compagnie aérienne, ce qui contraint à connecter deux réseaux qui n’ont jamais été prévus pour cela : le système industriel qui pilote le tapis a plutôt été conçu pour rester fermé pendant ses 30 ans d’exploitation. Or une telle évolution change radicalement la cible de sécurité initiale, sans qu’elle n’ait été mise à jour.
Le système industriel est devenu une cible de choix
Et ça ne rate pas : rendu enfin accessible depuis des réseaux publics, il est devenu une cible de choix pour les cybercriminels et les cyberespions : du malware « Industroyer » qui a ciblé le réseau électrique ukrainien à « Triton », qui s’est attaqué à une entreprise pétrolière d’Arabie Saoudite, en passant par l’arrêt d’une usine métallurgique allemande, depuis 2015 les attaques contre les réseaux et les équipements industriels ne sont plus des cas isolés.
Comment en est-on arrivé là ? La pression des coûts de connexion d’abord : les coûteux réseaux privés physiques (MPLS) ont progressivement été remplacés par des connexions VPN sur technologie IP, les « LS », lignes spécialisées aussi appelées « dédiées » par des connexions ADSL ou fibre grand public.
Ainsi, en associant un réseau jamais conçu pour être ouvert à un SI attaqué depuis des décennies, il est évident que le premier va souffrir. C’est pourtant le sens de l’histoire et les réseaux industriels vont devoir, eux aussi, faire leur révolution numérique. Les réseaux OT ne peuvent plus compter sur l’isolation qui les a protégés jusqu’à présent : en effet, la connectivité IT est indispensable pour créer de la valeur. Il faut donc sécuriser cette connectivité.
Isoler, oui, mais avec de la visibilité
Le premier réflexe des DSI face aux cyber-risques pourra être d’isoler le réseau OT comme on le ferait de toute source de menaces. Hélas, pour les raisons exposées ci-dessus, ce n’est pas suffisant. C’est un premier pas, mais lorsque l’entreprise souhaite aller plus loin et mettre en place un filtrage granulaire des flux ou des systèmes d’authentification, ses équipes réalisent qu’elles ne savent pas ce qui doit passer ou pas, et de qui vers qui. C’est un monde qui s’avère très opaque quand on ne dispose que de solutions dédiées au monde IT pour le gérer.
Il va notamment être complexe de cartographier les actifs et leurs interactions : s’il y a parfois un annuaire Active Directory dans le monde OT, ce n’est pas systématique. De plus, les connexions ne passent pas forcément par un proxy qui pourrait journaliser le trafic, et la séquence d’interactions est très différente de ce que l’on connaît en IT : avec un PLC sur une ligne de production, l’interface homme-machine (un PC Windows, souvent) va permettre de saisir les commandes, qui seront envoyées au CPU, qui va demander à ses capteurs l’information nécessaire à la prise de décision et va pousser en retour les informations sur les outils concernés, en utilisant à chaque fois des protocoles propriétaires et des commandes spécifiques, généralement inconnus des outils de supervision IT habituels…
Ainsi, gagner en visibilité sur cette « boite noire » industrielle est un prérequis. Mais le piège, ici, serait de considérer qu’il suffit d’identifier la machine d’interface (souvent un Windows). Or c’est justement derrière celle-ci qu’il convient de faire des efforts : quels PLC, quelle valve connectée, quels modèles, quel niveau de version du firmware, quelles cartes additionnelles ?
Des CVE (presque) comme en IT
Une fois acquise une vision détaillée du réseau OT au-delà du PC Windows de l’opérateur, l’étape suivante consiste à croiser ces informations avec une base de connaissances des vulnérabilités spécifiques aux équipements industriels. Celles-ci sont généralement inconnues des flux de vulnérabilités IT classiques, mais prolifèrent tout aussi vite. Cela évolue en effet chaque semaine, et la qualification précise du niveau d’exposition est complexe, car on ne peut pas s’arrêter à une correspondance basée sur le seul nom du constructeur : il faut tenir compte de nombreux autres critères dont la version du firmware, le modèle exact, les cartes optionnelles installées, afin de ne pas créer de faux positifs. Et dans un monde industriel dont la culture est historiquement à la stabilité, les faux positifs ne sont pas acceptables : hors de question de bloquer une ligne de production par erreur !
Des stratégies de protection différentes
Enfin, la remédiation des vulnérabilités et la maîtrise des risques sur les réseaux OT s’appuient, elles aussi, sur des stratégies différentes. Il est possible alors de faire du virtual patching, avec des règles d’IDS (telles que Snort et Yara) qui matchent précisément les équipements et les CVE très détaillées, et qui collent donc fortement à l’infrastructure existante. Il faudra toujours éviter le risque de déployer une règle trop générique qui pourra provoquer des blocages inutiles.
Si le filtrage en ligne (et donc bloquant) est jugé trop risqué, il est toujours possible de faire une détection ou une analyse proactive afin d’isoler ou corriger à temps les équipements les plus vulnérables. Mais là aussi l’opération peut se révéler complexe : mettre à jour un PLC, par exemple, peut prendre plusieurs heures et exiger d’arrêter une ligne de production. D’où l’intérêt du patching virtuel.
Dans le monde de l’OT, les premiers seront les derniers
La dernière étape est la segmentation de l’architecture. Contrairement au monde de l’IT, où la segmentation de l’architecture est la base de la stratégie de sécurité et est donc réalisée très tôt dans le processus, dans l’OT celle-ci ne peut être effectuée qu’une fois les actifs et leurs interactions identifiés et connus. Il est nécessaire d’identifier le trafic SMBv1, déterminer les actifs les plus bavards, ou ceux qui semblent se comporter comme des ghosts, valider l’usage du protocole Telnet. Cela permettra enfin de créer la bonne segmentation du réseau OT grâce à une matrice de flux cohérente entre les différentes zones proposée.
La transition numérique avance à marche rapide. Elle génère de profondes transformations dans les réseaux d’entreprise, et des challenges particulièrement complexes en matière de cybersécurité dans les environnements industriels. Pour la DSI, il est vital de considérer le monde industriel comme un nouvel univers, semblable, mais très différent dans ses outils et ses protocoles, afin de ne pas tomber dans le piège de considérer que l’expertise IT suffira à réduire les risques.
