Lorsqu’il s’agit d’appliquer les correctifs de sécurité pour les équipements de l’informatique industrielle (OT, pour « operational technology »), il n’y a qu’une seule boussole : celle du risque !

Comme nous l’avons largement abordé dans le premier billet de cette série, la visibilité sur les vulnérabilités est certes une étape essentielle… mais non suffisante !

Une fois identifiées les vulnérabilités et leur niveau de criticité intrinsèque (fourni par la CVE), il est impératif d’évaluer la probabilité et l’impact de leur exploitation en fonction de son propre contexte, pour fixer ensuite les priorités de correction en conséquence. C’est d’ailleurs un principe bien connu en sécurité des systèmes d’information.

Toutefois, en ce qui concerne l’informatique industrielle, ce n’est pas toujours aussi simple !

L’application de correctifs aux systèmes industriels est coûteuse et perturbatrice

Le coût de l’administration des correctifs de sécurité est généralement particulièrement élevé dans le domaine de la sécurité des systèmes industriels, qui ne bénéficient pas de la richesse des solutions de gestion automatisée des correctifs disponibles pour les environnements informatiques traditionnels.

Bien souvent, les correctifs OT doivent être testés sur des appareils individuels, ce qui exige beaucoup de temps de la part des équipes et exige d’arrêter les systèmes. Cela limite alors considérablement la capacité globale de correction des vulnérabilités OT, de sorte que les équipes doivent être en mesure de discerner avec précision les vulnérabilités qui présentent le plus grand risque et de concentrer leurs efforts en conséquence.

Par ailleurs, dans de nombreux cas, patcher n’est tout simplement pas une option en raison des exigences de temps de fonctionnement et de disponibilité, de sorte que des contrôles techniques compensatoires doivent être mis en place, ce qui exige là aussi du temps et des ressources afin de les concevoir et les mettre en œuvre.

Le risque dépend de facteurs conjoncturels

Le risque présenté par une vulnérabilité particulière varie au cas par cas. Les caractéristiques uniques du réseau peuvent influencer la probabilité et l’impact de son exploitation. Hélas, l’évaluation de ces facteurs dans un environnement industriel exige une approche complexe, nuancée et techniquement exigeante, qui peut difficilement être menée de front sur l’ensemble des actifs.

Ainsi, de nombreuses solutions de sécurité OT définissent simplement le risque d’une vulnérabilité sur la base de son score de criticité CVE, qui ne tient évidemment pas compte du contexte l’entreprise.

Il est donc important d’être en mesure, localement, d’évaluer le risque présenté par une vulnérabilité non seulement sur la base de sa criticité CVE mais aussi en fonction de tout son environnement d’opération — par exemple en modélisant les systèmes sur lesquelles elle s’applique, et leur propre criticité pour l’entreprise. Une vraie cartographie des systèmes critiques, réalisée en amont, permettra ainsi de positionner chaque nouvelle CVE dans son environnement et d’identifier les points critiques à corriger en priorité.

Car il s’agit d’un tout : les vulnérabilités, les contrôles de sécurité, les menaces et bien d’autres variables se combinent pour affecter la posture de sécurité globale de l’entreprise. Et il est important d’être en mesure de visualiser cela comme un tout, et non une série d’éléments isolés.
___________________

Par Galina Antova, spécialiste de la sécurité des environnements OT, co-fondatrice et Chief Business Development de Claroty

 

A lire également :
Pourquoi la visibilité sur le SI industriel n’est plus une option, par Galina Antova, Claroty.