Cela fait plus de 20 ans que nous parlons des besoins en plateformes de sécurité entièrement intégrées. Et pourtant, à chaque fois qu’un nouveau défi de sécurité surgit, des centaines de fournisseurs se précipitent pour apporter une solution ciblée à cette menace spécifique. Résultat : un ensemble disparate de technologies et d’outils que les RSSI et leurs équipes de sécurité peinent à utiliser de manière efficace. Un rapport récent de l’institut Ponemon et d’IBM confirme cette tendance et révèle que les entreprises utilisent plus de 45 outils de sécurité différents en moyenne, et chaque incident traité nécessite un effort de coordination sur environ 19 outils.

Et cela rend finalement la sécurité beaucoup moins efficace : en effet, les entreprises qui utilisent plus de 50 outils de sécurité ont une position 8 % moins élevée au classement concernant leur capacité de détection, et 7 % moins élevée concernant leur capacité à réagir face à une attaque, par rapport aux entreprises qui disposent de moins d’outils…

Mais bonne nouvelle ! Alors que la cybersécurité industrielle commence à figurer parmi les priorités des RSSI et de leurs comités, nous avons l’opportunité d’envisager la protection des opérations industrielles sous un angle nouveau.

Nul besoin de répliquer la complexité qui empêche la détection et la réponse du côté bureautique. Comme la plupart des environnements d’infrastructures critiques commencent sont des environnements quasi vierges en matière de cybersécurité industrielle, nous avons là une opportunité d’adopter une approche plus simple. Au lieu d’introduire plus d’outils isolés au sein de l’infrastructure de sécurité globale, il faut une solution unique sans agent qui inclut la visibilité des actifs pour identifier les vulnérabilités et les comportements suspects, une surveillance continue des menaces afin de détecter et de suivre les menaces qui vont au-delà de la frontière IT/OT, et de sécuriser les solutions d’accès à distance avec des contrôles stricts sur les sessions. Les fonctions de connexion de la sécurité OT aux systèmes, workflows et endpoints IT, y compris les terminaux IIoT et IoT, permettent de supprimer la complexité et les angles morts introduits par les solutions ponctuelles.

L’association de plusieurs fonctionnalités au sein d’une plateforme de cybersécurité industrielle élimine également le besoin d’avoir recours à d’autres consultants et de déployer davantage de ressources pour gérer et maintenir des solutions qui ont chacune leur propre interface.

Il n’y a plus de temps à perdre

Deux exemples récents soulignent l’urgence de cette approche.

Tout d’abord, l’aspect sournois de l’attaque contre la supply chain SolarWinds, les fonctionnalités avancées et les moyens détournés utilisés, nécessitent que toutes les entreprises exécutant des versions impactées du logiciel SolarWinds Orion soient en alerte, y compris les opérateurs d’infrastructures critiques, de systèmes de contrôle industriel (ICS) et SCADA. Une fois à l’intérieur de l’environnement, il est probable que le cybercriminel soit capable de se déplacer latéralement sur les réseaux clients Orion pour accéder à d’autres domaines de réseau et voler des données ou exploiter d’autres vulnérabilités. Puisque les entreprises ont tendance à inscrire les systèmes de gestion des réseaux sur la liste blanche pour éviter les faux positifs, les attaquants utilisent cette passerelle pour se cacher au vu et au su de tous. Leur présence est encore renforcée lorsque les entreprises manquent de visibilité sur le contenu de leurs réseaux industriels et de techniques de détection pour repérer les comportements inhabituels.

Plus récemment, l’attaque contre l’installation de traitement de l’eau d’Oldsmar en Floride qui a impliqué un attaquant à distance connecté via le logiciel de partage de bureau TeamViewer, est un exemple probant d’attaquants qui se déplacent facilement entre les postes de travail et les réseaux industriels et leurs actifs. Heureusement, les opérateurs ont pu bloquer l’accès de l’attaquant et empêcher l’eau contaminée de parvenir jusqu’au public, mais derrière cette intervention rapide se cachent des problèmes systémiques présents dans les infrastructures critiques, qui vont s’aggraver à mesure que de plus en plus d’entreprises se connectent à distance aux systèmes industriels critiques.

Nous devons envisager la sécurité de manière holistique, car il est clair que pour les cybercriminels, un réseau est un réseau, et les attaques s’imbriquent donc entre elles.

Donner les clés aux entreprises

Une approche plus simple et complète de la cybersécurité industrielle permet d’identifier, de gérer et de protéger ses actifs OT, IoT et IIoT. De plus, lorsque l’on élargit l’intégration pour inclure la connexion de son programme de cybersécurité industrielle à son programme de sécurité informatique, le résultat obtenu est encore plus puissant.

D’un point de vue stratégique, il est possible d’envisager la gouvernance et les processus de manière holistique et centraliser la responsabilité et les devoirs liés à la gestion des risques à l’échelle de l’entreprise auprès du RSSI. Sur le plan tactique, les équipes IT et OT sont capables de travailler ensemble afin d’éviter la duplication des processus et des efforts et d’économiser de précieuses ressources. Il en résulte des opérations plus sûres et plus efficaces et une réduction des risques pour un coût total de possession plus bas, ainsi qu’un soutien et un alignement bien plus importants avec le reste de l’entreprise.

L’innovation permanente en matière de cybersécurité est essentielle et passionnante. Mais pour concrétiser la vision à long terme des entreprises de l’espace industriel, qui consiste à dégager une nouvelle valeur commerciale grâce à la digitalisation, l’heure est venue d’adopter des solutions complètes qui fonctionnent de manière transparente et sécurisée dans l’écosystème à plus grande échelle. Il s’agit du seul moyen pour les entreprises de fonctionner, d’augmenter leur résilience et d’innover dans le secteur de l’économie industrielle avec un niveau de risque acceptable.
___________________

Par Yaniv Vardi, PDG de Claroty