Dans le domaine de la cybersécurité, les menaces proviennent aussi d’erreurs involontaires des employés, surtout dans les environnements industriels où la collaboration entre équipes internes et externes augmente la surface d’attaque. Assurer une sécurité renforcée des points d’extrémité est alors crucial pour pouvoir suivre les activités des utilisateurs en temps réel, mais les solutions actuelles comme la surveillance passive ou les collecteurs distants ne permettent pas toujours d’identifier précisément qui est actif sur chaque machine. Bien que les technologies aient progressé pour répondre aux besoins spécifiques des industries, notamment avec des agents de sécurité conçus pour être sûrs et non intrusifs, des expériences passées avec des agents IT déployés sur des dispositifs OT ont ralenti l’adoption de ces solutions.
Agents de sécurité dans les environnements industriels OT
Des agents de sécurité pour les points d’extrémité sont couramment utilisés en informatique, mais leur adoption reste limitée dans les systèmes OT, où les opérateurs sont souvent réticents à mettre en place une surveillance active. Cette prudence est cependant justifiée puisque de nombreux dispositifs OT disposent de ressources limitées en calcul et en mémoire, ce qui rend les agents antivirus standards trop exigeants. De plus, leur installation peut nécessiter des redémarrages, entraînant des interruptions coûteuses.
Les méthodes traditionnelles de détection des menaces, basées sur l’heuristique et l’apprentissage automatique, ne répondent pas toujours aux besoins des environnements industriels. Cela peut en effet provoquer des ralentissements ou des erreurs de détection, où des commandes légitimes sontidentifiées à tort comme malveillantes. L’ajout d’agents de sécurité risque donc d’invalider les certifications des dispositifs OT/ICS. Cependant, des agents conçus spécifiquement pour les environnements industriels commencent à intéresser les fabricants d’équipements d’origine (FEO), de plus en plus conscients de l’importance d’améliorer la cybersécurité à ce niveau.
La surveillance des points d’extrémité
Les sondes installées aux points d’extrémité fournissent des informations précieuses, telles que le type d’appareil, le fournisseur, la version du système d’exploitation, ainsi que des données sur les nœuds, les zones, et les activités suspectes des utilisateurs. Celles-ci sont utiles aussi bien pour les opérateurs que pour les analystes de la sécurité. Les sondes permettent en effet de détecter les changements de configuration et les anomalies, tout en offrant une visibilité sur les connexions établies : qui se connecte à quel appareil, quelles autres machines sont impliquées, et quels protocoles sont utilisés. Cette visibilité inclut notamment le suivi du trafic de bout-en-bout et la détection des connexions USB non autorisées, qui sont des atouts majeurs pour la sécurisation du réseau.
De plus, dans le modèle Purdue utilisé en OT, les informations montent de couche en couche, tandis que les pare-feux bloquent la descente, limitant la visibilité de bout-en-bout et compliquant le suivi des communications entre machines. Les clés USB, encore largement utilisées pour le transfert de fichiers en OT, présentent des risques de sécurité, comme les attaques BadUSB. Les sondes de sécurité aux points d’extrémité aident alors à détecter les connexions USB et tout comportement suspect qui pourrait indiquer une attaque.
La détection et l’alerte en temps réel des anomalies sont essentielles pour prévenir les dommages en cybersécurité. Les sondes conçues pour les dispositifs OT offrent une défense spécifiquement adaptée et donc optimale. Ils permettent d’explorer des zones auparavant non surveillées, garantissant une visibilité complète et une protection renforcée dans un paysage de menaces en constante évolution.
_____________________________
Par Marc Coutelan, Directeur Commercial France, Espagne, Portugal & Israël de Nozomi Networks