Suite au premier article traitant des difficultés que pose la sécurité des infrastructures informatiques industrielles (IIoT), nous traiterons dans cette deuxième partie, les sujets suivants :
– le Modèle de maturité de la cybersécurité des ICS (systèmes de contrôle industriel) guide les entreprises dans le processus de réduction de l’exposition au risque ;
– la détection des intrusions est une technologie essentielle qui aide à détecter les menaces avancées avant la survenue de dommages significatifs ;
– l’Analyse du trafic réseau est une solution efficace qui se base sur les flux de trafic réseau pour identifier des menaces qui pourraient porter atteinte à l’ensemble des appareils connectés au réseau.
Toutes les industries et entreprises ne sont pas exposées au même niveau de risque. La gestion du risque est, ou du moins devrait être, au centre de toutes les discussions autour de la cybersécurité. Et la réponse au risque – à la fois en termes de procédures et en termes de technologies – devrait être proportionnelle au niveau de risque auquel l’entreprise est exposée. Arc Advisory Group a développé un modèle – le Modèle de maturité de la cybersécurité des ICS destiné à aider tous les responsables industriels à comprendre les défis cybersécuritaires.
Ce modèle a été élaboré pour guider l’entreprise étape par étape lors du processus de réduction de l’exposition au risque, tout en tenant compte du niveau de ressources requis. Il commence par la sécurisation des appareils, puis s’attache à les défendre, à maîtriser les incidents, à gérer les réponses qui leur sont apportées[1] et à anticiper les menaces futures.
Chaque technologie du Modèle de maturité de la cybersécurité des ICS vaut la peine d’être présentée, mais nous nous concentrerons que sur l’une d’entre elles, d’importance critique : la détection des violations.
Les attaques les plus sophistiquées, les plus destructrices peuvent être évitées grâce à la détection des violations
Toutes les technologies, de la sécurisation des appareils à la maîtrise des incidents, se concentrent sur la prévention. Elles combattent les menaces précocement dans la chaîne d’attaque, leur refusant l’accès aux appareils et les empêchant de lancer des attaques. Les couches de sécurité préventives sont très importantes, car elles réduisent considérablement la surface d’attaque et sont techniquement capables de bloquer presque toutes les attaques (en règle générale, plus de 99,9 %).
Mais certaines attaques très sophistiquées arrivent à passer inaperçues en esquivant toutes les couches de prévention. Ces attaques sont celles qui font la une des médias. Ce sont généralement les plus destructrices – exfiltrant ou détruisant de précieuses informations, ou manipulant des processus critiques avec pour résultat la destruction d’équipements ou d’autres conséquences dévastatrices.
Et c’est là que les solutions de détection des violations, associées à la gestion des incidents et aux réponses qui leur sont apportées, jouent un rôle essentiel. Ces technologies et procédures sont conçues pour fonctionner de concert et aider les équipes de sécurité à détecter les menaces avancées, voire les attaques avancées ayant réussi à passer les couches de prévention, mais ne s’étant pas encore suffisamment propagées pour causer de réels dégâts. Alors comment pouvons-nous détecter une attaque avancée se déployant dans un environnement IIoT aussi hétérogène que complexe ? Il n’y a pas de réponse universelle. Heureusement, nous disposons de plusieurs options nous permettant de lutter contre les risques et de réduire l’exposition à ces derniers.
Regardons le diagramme d’architecture de l’IIoT. Le modèle Purdue présenté dans la première partie, a évolué vers une nouvelle architecture, comportant trois zones : l’Edge Computing (informatique en périphérie de réseau, qui regroupe la plus grande partie de l’OT), le Réseau et le Cloud.
En étudiant ce diagramme, nous apercevons facilement un dénominateur commun à tous les éléments de l’environnement IIoT : le réseau. Les infrastructures informatiques industrielles sont nées de besoins de communication : c’est ce qui fait de la Détection des violations basée sur le réseau l’option la plus appropriée et la plus efficace dont nous disposons actuellement pour détecter les menaces avancées ciblant les appareils de l’IIoT, quels qu’ils soient. Toute activité d’un équipement connecté se traduit par une « trace » réseau. En analysant les schémas de trafic réseau, il est possible de détecter des activités malveillantes.
Il existe deux grandes approches de la sécurité des réseaux : l’analyse des flux et l’analyse des contenus. L’analyse des contenus semble intéressante, dans la mesure où elle promet de fournir à la fois le contexte de la communication et les informations relatives à celle-ci. Toutefois, il s’agit d’une technologie complexe et coûteuse, en particulier lorsque l’on prend en compte la multitude de protocoles exclusifs qui se côtoient au sein d’un environnement IIoT.
L’analyse des flux, quant à elle, se base uniquement sur des métadonnées de trafic (source, destination, protocoles, nombre de paquets, etc.) et se concentre sur les schémas de trafic et les changements subtils survenant dans le comportement de la communication réseau pour détecter les attaques avancées et les endpoints compromis. C’est ainsi qu’ont émergé les solutions d’Analyse du trafic réseau (NTA). La NTA se rapporte à une catégorie de solutions de sécurité qui se concentre sur le trafic réseau et exploite des technologies avancées telles que le Machine Learning et l’analyse comportementale pour améliorer la détection des menaces avancées ciblant les appareils connectés à un réseau, quels qu’ils soient.
En plus de détecter les actions malveillantes, les solutions NTA next-gen peuvent trier et corréler automatiquement les événements de sécurité afin de générer une image concise de la menace en cours de déploiement. Il s’agit d’une capacité très importante pour un autre élément du modèle ARC : l’Analyse des incidents et les Réponses qui leur sont apportées. En plus de permettre aux équipes de sécurité de gagner du temps, le tri automatique des alertes de sécurité leur permet de concentrer leur attention sur les incidents de sécurité représentant une véritable menace pour l’entreprise.
En résumé, les solutions NTA procurent trois avantages clés aux responsables d’infrastructures industrielles :
– une visibilité sur tous les appareils générant du trafic ;
– la possibilité de surveiller le comportement des appareils afin d’identifier les menaces avancées ayant déjoué les mécanismes de prévention ;
– un soutien aux efforts d’analyse des incidents et de réponse à ces derniers.
Combler toutes les lacunes de l’internet industriel des objets nécessiterait de revoir intégralement la conception de nombreux systèmes industriels utilisés aujourd’hui. Et cette option n’est guère envisageable. Toutefois, la NTA est une solution efficace et facilement accessible qui peut aider les entreprises à réduire leur exposition aux cyber-risques et à défendre des infrastructures industrielles critiques.
_________
Bogdan Botezatu est Directeur des recherches sur les menaces de Bitdefender
puis