Jadis bien séparés, les réseaux IT et OT (pour « Operating Technology », autrement dit les réseaux de production, d’usine…) convergent désormais rapidement. Ce rapprochement a pour objectif d’améliorer l’efficacité opérationnelle, les performances et la qualité de service pour les entreprises. Mais comme toute convergence, celle-ci introduit bien entendu de nouveaux risques : les équipements et les réseaux du monde OT n’ont jamais été conçus pour prendre en compte les menaces modernes du monde IT (souvent parce qu’ils datent d’une époque où celles-ci n’existaient pas !).

Mais désormais, les menaces ciblant les environnements OT trouvent aussi leur chemin vers les environnements IT et inversement. Il est donc impératif pour les RSSI d’étendre leur vigilance à ces réseaux encore trop souvent gérés de manière quasi indépendante. Voici au moins trois bonnes raisons de le faire

1/ La transformation numérique réduit le fossé entre l’IT et l’OT et ouvre de nouveaux risques

Aucun secteur n’échappe à la transformation numérique, c’est-à-dire l’adoption de technologies numériques qui modifient les activités principales d’une entreprise pour lui permettre, entre autres, de stimuler sa productivité, de réduire ses coûts, de gagner des parts de marché ou de mieux servir ses clients. De vastes efforts de transformation numérique sont ainsi déployés dans des domaines tels que la fabrication, l’industrie du gaz et du pétrole, les services publics et autres secteurs similaires.

Ces efforts consistent généralement établir des passerelles entre réseaux OT et IT — et donc, en définitive entre le PC au fond de l’entrepôt et l’Internet ! Pour le business, cela permet notamment de créer de la valeur en associant par exemple l’information de production (côté OT) à celle sur les clients et partenaires (côté IT) afin de gagner en réactivité et d’offrir aux clients une visibilité en temps réel sur la production, ou encore de permettre aux partenaires de jouer pleinement leur rôle (sur l’approvisionnement en temps réel, notamment). Mais, bien entendu, cela créé dans le même temps de nouvelles opportunités pour les attaquants, qui bénéficient soudain d’une surface d’attaque beaucoup plus large.

Initialement, les réseaux OT étaient avant tout les cibles privilégiées des pirates d’État dans le cadre d’opérations de renseignement ou de prépositionnement de forces. Aujourd’hui, les cybercriminels s’y mettent également, et il n’est pas rare d’observer les PC chargés de gérer un entrepôt ou une machine-outil être neutralisés par un rançongiciel ou contrôlés par un attaquant.

2/ Des solutions de sécurité IT traditionnelles incompatibles avec les environnements OT

En matière de sécurité OT, l’une des plus grandes difficultés auxquelles les responsables de la sécurité IT sont confrontés tient aux nombreuses différences fondamentales entre l’IT et l’OT.

Les environnements IT contrôlent le flux d’informations, reposent sur des protocoles et des ressources standardisés, et peuvent au besoin être visualisés et évalués, ce qui n’est absolument pas le cas de leurs homologues OT. Plutôt que l’information, l’OT contrôle des processus physiques et des machines, dans un environnement caractérisé par des protocoles propriétaires, des systèmes souvent anciens et des ressources très diverses.

Ces différences font qu’il peut s’avérer difficile d’interconnecter de manière simple ces réseaux avec leur équivalent IT et d’espérer que les solutions de protection existantes pourront les prendre en charge nativement : les connecteurs pour le SIEM peuvent ne pas supporter des systèmes trop anciens ou trop spécifiques et les solutions de supervision peuvent ne pas reconnaître des protocoles trop exotiques (du point de vue IT, en tout cas !).

Heureusement, l’écart est en train de se réduire, et des solutions de protection IT-OT commencent à voir le jour. Celles-ci s’intègrent en toute transparence avec les SIEM, les outils d’orchestration, d’automatisation et de réponse aux incidents (SOAR) aussi bien qu’avec les plateformes d’analyse, de gestion des tickets d’incidents et nombre d’autres outils bien connus dans le monde IT.

3/ Une bonne sécurité OT profite à la sécurité IT autant qu’à l’activité !

Il y a de nombreux avantages à protéger un parc OT. Le plus évident, bien sûr, est de réduire le risque de propagation ou d’intrusion de l’OT vers le réseau IT. Ce dernier reste en effet encore la cible privilégiée des cybercriminels, car c’est là que se trouvent les informations de valeur et les outils financiers. Mais au fil des années celui-ci s’est de mieux en mieux protégé vis-à-vis de l’extérieur, ce qui fait alors d’un réseau OT poreux et interconnecté une porte d’entrée attractive.

Mais la raison capitale, hélas encore trop souvent négligée, c’est tout simplement que le réseau OT joue un rôle moteur dans l’activité de l’entreprise. Une machine OT compromise peut perturber une chaîne de production. Plusieurs, et c’est toute l’activité de l’entreprise qui peut être durablement impactée. Ainsi, protéger efficacement son réseau OT, c’est aussi mettre à l’abri son activité.

Les temps changent et le monde de l’OT s’ouvre rapidement à Internet et aux dangers bien connus des systèmes IT. Pour le RSSI, il est important de le reconnaître et d’accepter le fait qu’il va devoir s’intéresser à ce pan nouveau de la protection de son entreprise. Des solutions existent (y compris sans agent, afin de préserver l’intégrité de ces vieux systèmes que l’on n’ose plus toucher !). C’est le moment de s’y intéresser avant la prochaine crise !
___________________

Par Emanuel Salmona, Vice-Président Global Partnerships chez Claroty