L’ampleur considérable des flux de données entre les appareils informatiques et les appareils électroniques est parfois trop importante pour certaines méthodes de surveillance, empêchant ainsi la détection des cyberattaques. Pour aggraver les choses, l’interconnexion d’un nombre croissant de dispositifs crée de plus en plus de points d’attaque.
Parmi les pionniers de l’automatisation basée sur la technologie d’OT on retrouve les services publics, les entreprises de fabrication et de logistique. Toutefois, ces organisations utilisent une combinaison de solutions IioT (Industrial Internet of Things) de pointe et de systèmes dotés de technologies dépassées et de protocoles uniques. Les différentes capacités de sécurité de ces systèmes signifient que la sécurité doit être assurée au niveau du réseau plutôt qu’au niveau du dispositif – en particulier pour les dispositifs qui permettent un accès à distance.

L’interconnexion entre informatique et OT

Outre les nombreux points d’accès, la masse de données est le défi que représente l’OT. L’augmentation de l’interconnectivité, l’utilisation croissante des dispositifs IoT dans la fabrication et l’industrie, et l’expansion de la connectivité grâce à la 5G offrent une multitude de points d’attaque. Les agents de sécurité sont aux prises avec des problèmes variés sur plusieurs fronts.
L’OT a longtemps été considéré comme un système fermé et protégé. Les cybercriminels pouvaient difficilement y accéder de l’extérieur. Avec l’introduction de dispositifs IoT, et leur contrôle par le biais du cloud computing, l’informatique et l’OT sont de plus en plus imbriqués. L’IoT est plus important que jamais, mais une seule violation de données peut faire tomber l’ensemble de la production. Les logiciels malveillants peuvent se propager sans effort d’un système à l’autre.
Aujourd’hui, la cybersécurité des OT se situe à deux niveaux : l’identification et l’élimination des vulnérabilités des technologies existantes ayant un long cycle de vie, ainsi que l’intégration de la cybersécurité dans la conception des nouveaux systèmes de télétravail.

Augmentation des diverses formes d’attaques et de la cybercriminalité

Selon le Data Breach Report 2021 d’IBM, lorsqu‘une entreprise est touchée par une violation de données, elle subit une perte moyenne de 3 millions de dollars. Et ces coûts peuvent rapidement être décuplés en cas de perte de confiance des clients dans l’intégrité de l’entreprise ou en cas de paiement des rançons.
Alors que la sécurité informatique offre déjà des solutions sophistiquées, ces approches sont peu appliquables à l’OT. Lorsque des cybercriminels prennent la main sur les systèmes de contrôle industriels (ICS), ces derniers peuvent prendre le contrôle des applications OT hors de l’entreprise et paralyser la production pendant plusieurs jours.
Et toujours selon le rapport d’IBM, il faut en moyenne 287 jours (soit sept jours de plus qu’en 2020) pour identifier et contenir un incident de sécurité. Une situation à laquelle de plus en plus d’entreprises se retrouvent confrontées en raison de la recrudescence et de la pluralité des cyberattaques.

D’une part, le déploiement prévu de la 5G offre des opportunités sans précédent : les infrastructures, les organisations et les ressources sont encore  mieux connectées et alignées dans un large éventail d’applications qu‘auparavant. Les applications 5G offriront de nouveaux modes de gestion des infrastructures, des ressources et des organisations, comme les villes intelligentes avec un trafic et une planification urbaine intelligents, les soins de santé et la sécurité publique. De l’autre côté, le nombre d‘attaques DDoS est en hausse, mais les attaques par déni de service distribué augmentent également en portée et en durée. Dans son rapport d’activité pour le premier trimestre 2020, AWS affirme avoir enregistré une hausse de 44 % de la puissance des attaques DDoS et une prolongation de 24 % de celles-ci. Un facteur clé de la propagation de ces attaques DDoS est la prolifération des appareils IoT, et la super connectivité à haut débit offerte par la 5G qui ouvre également la voie à des cyberattaques plus dangereuses et plus destructrices.

Autre forme de cybercriminalité en pleine expansion : celle parrainée par les États. Qu’elles soient utilisées pour influencer les élections, pour l’espionnage industriel ou pour attaquer des personnes riches et influentes, les cyberattaques à motivations politiques gagnent de plus en plus de terrain. En raison de leurs coûts et de leurs risques relativement faibles, les États les considèrent comme un moyen extrêmement lucratif de mener des activités d’espionnage. Ce phénomène est aujourd’hui souvent attribué à des pays comme la Russie, la Corée du Nord et la Chine, mais d’autres sont également tentés d’étendre leur influence grâce à cette guerre de l’information. La cybercriminalité à motivation politique peut également toucher les entreprises dont les défenses numériques sont moins solides que celles des entités gouvernementales ou militaires. En particulier, les entreprises qui travaillent avec des organismes gouvernementaux et fournissent des services publics, gèrent des données très sensibles ou génèrent des revenus importants sont ainsi fortement visées par des attaques parrainées par l’État.

Une visibilité de tous les actifs OT et IoT sur le réseau pour une productivité et sécurité accrues

Grâce aux dispositifs OT, ICS et IoT, les entreprises de nombreux secteurs augmentent leur productivité, améliorent la qualité des produits et des services et réduisent les coûts. Toutefois, sans une gestion et une surveillance efficaces, ces appareils risquent de faire l’objet de nouvelles menaces, telles que les logiciels malveillants, et d’accroître le risque de violation de la sécurité. Dans la recherche d’une stratégie de solution, un point commun aux systèmes informatiques, OT et IoT est la visibilité complète du réseau et la surveillance des actifs et des points d’attaque potentiels. Cette visibilité permet de détecter et de traiter rapidement les vulnérabilités et les anomalies. Il est essentiel de disposer d’une visibilité complète et cohérente sur tous les environnements informatiques modernes et traditionnels : sur l’ensemble de l’infrastructure, y compris le trafic est-ouest et les autres angles morts. Pour mieux gérer le risque lié à l’intégration de l’IT et de l’OT, les organisations ont besoin d’une visibilité complète de leur réseau en suivant et en surveillant les actifs, les vulnérabilités et les contrôles opérationnels, et en identifiant rapidement tout changement inhabituel. Les réseaux OT sont souvent peuplés de nombreux appareils « fantômes », inconnus des gestionnaires et représentant une menace importante pour la sécurité. Avec une telle incertitude, il est primordial pour les entreprises que leurs outils IT, OT et IoT travaillent conjointement pour verrouiller leurs réseau.

Il est simplement impossible de protéger et sécuriser ce que l‘on ne peut pas voir. La visibilité est fondamentale pour la cyber résilience, la détection, la protection et l’atténuation. Aujourd’hui plus que jamais, la convergence informatique et technologie de l’information, le déploiement de la 5G, les attaques DDoS,  ou encore le piratage habilité par les États sont en hausse. Prises individuellement, chacune a le potentiel de causer des dommages importants. Mais collectivement, ces facteurs de risque pourraient se combiner pour déclencher des attaques d’une ampleur sans précédent dans l’histoire de la cybercriminalité. Cette attaque ultime pourrait avoir des conséquences dévastatrices et dangereuses pour les individus, les entreprises et les économies à l’échelle mondiale. On ne le répètera jamais assez, mais les organisations doivent mettre toutes les chances de leurs côtés en se dotant de solutions qui conjuguent visibilité et efficacité, tout en minimisant la distribution et le traitement redondants des données sources et des événements de sécurité qui en résultent.
___________________

Par Pascal Beurel, Senior SE Gigamon