« Mieux vaut prévenir que guérir », peu de RSSI diront le contraire. Mais pour prévenir, encore faut-il bien connaître le terrain.

Savoir détecter et éliminer les menaces est une stratégie fondamentale, quels que soient les actifs à protéger. Être en mesure d’identifier, de hiérarchiser et de remédier aux vulnérabilités de manière efficace est un minimum absolu. Hélas, il est courant de constater que la protection de l’informatique industrielle bénéficie rarement de la même attention que le système d’information traditionnel.

Il n’y a rien de neuf ici : comme de nombreux autres aspects fondamentaux de la cybersécurité, la gestion des vulnérabilités est particulièrement difficile dans les environnements d’OT en raison d’une multitude de facteurs… dont le plus contrariant et pourtant le plus fondamental est le manque de visibilité.  Car après tout, il est difficile de protéger ce que l’on ne voit pas.

Identifier tous les actifs OT

Ainsi, avant de pouvoir évaluer les vulnérabilités à prioriser, il faut d’abord déterminer quels CVE (Common Vulnerabilities and Exposures) existent dans l’environnement OT. Et afin d’identifier ces CVE, il faut pouvoir s’appuyer sur un inventaire complet, détaillé et à jour de chaque actif du réseau d’OT. Mais disposer d’une visibilité sur ses ressources OT est souvent difficile, pour plusieurs raisons :

 1- Il est fréquent que les entreprises exploitent un mélange d’actifs historiques (vraiment historiques… souvent de l’ordre de la décennie ou plus) et de matériels plus récents, le tout provenant de nombreux fournisseurs différents et réparti sur des dizaines, voire des centaines, de sites physiques.

2- Les actifs OT communiquent à l’aide de protocoles propriétaires propres à chaque fournisseur, de sorte qu’ils ne peuvent être identifiés et inventoriés qu’à l’aide d’outils souvent propriétaires, ou en tout cas spécialisés.

3- De nombreuses solutions d’inventaire OT ne remontent que les attributs de base, car leur rôle n’est que de réaliser, justement, un inventaire ! Mais afin de déterminer quelles vulnérabilités sont présentes dans leur environnement d’OT, les équipes ont besoin d’accéder à des attributs beaucoup plus granulaires, tels que le modèle exact, la version du micro logiciel et la configuration précise.

Toutes ces spécificités contribuent à faire que les actifs OT sont, au mieux, gérés dans un silo décorrélé des pratiques et des outils IT qui permettraient un inventaire et une supervision simplifiée.

Associer les actifs OT aux CVE correspondantes

Si un inventaire détaillé et précis des actifs de l’OT est une condition préalable à l’identification des vulnérabilités, ce n’est que la moitié du puzzle. Car une fois que l’on sait ce qui est sur le réseau, il faut pouvoir croiser la version de chaque outil avec une base à jour de vulnérabilités connues.

La difficulté, c’est qu’une telle base de données de vulnérabilités doit couvrir un large éventail de modèles, de versions de firmware et de configurations spécifiques afin d’identifier avec précision toutes les CVE potentielles. Et comme de nombreux actifs OT peuvent avoir une durée de vie utile de plusieurs décennies, il faut tenir compte de technologies quasiment antédiluviennes qui peuvent encore être utilisées.

Non seulement la constitution d’une base de données de vulnérabilités vraiment complète n’est pas une mince affaire, mais en prime la plupart des équipements OT ne disposent pas d’un cadre formel de recensement des plateformes communes (Common Platform Enumeration – CPE). Et donc, en l’absence d’une méthode normalisée de description et d’identification qui couvrirait applications, OS et matériel, le processus de mise en correspondance des actifs OT est souvent long, imprécis et inefficace. Et comme la base de données nationale sur les vulnérabilités (NVD) annonce généralement des centaines de nouveaux CVE au cours d’un mois donné, même les équipes de sécurité les plus performantes peuvent facilement se retrouver dans une course sans fin et à faible valeur ajoutée.

C’est pourquoi il est important, alors même que les entreprises prennent conscience des besoins de visibilité et de protection de leurs réseaux OT, que les acteurs du monde l’OT œuvrent à formaliser des cadres et des références communes pour apporter le même niveau de standardisation en matière d’actifs et de vulnérabilités que ce qui se fait dans le domaine IT.
___________________

Par Galina Antova, spécialiste de la sécurité des environnements OT, co-fondatrice et Chief Business Development de Claroty