Combler l’écart de sécurité entre OT / IT

Spread the love
Combler l'écart de sécurité entre OT / IT

L’étude OT/ICS publiée en 2019 par SANS Institute a mis en évidence trois principales catégories de menaces pour l’entreprise :

  • Dispositifs et « objets » (qui ne peuvent se protéger) ajoutés au réseau 
  • Menaces internes (accidentelles)
  • Menaces extérieures (chaîne logistique ou partenariats)
publicité

Entreprises industrielles : une cible de choix

Les entreprises industrielles doivent souvent faire face à des infrastructures héritées non protégées, ainsi qu’à un manque de ressources qualifiées, pour gérer les cyber risques de manière adéquate. Les assaillants savent pertinemment que l’environnement de ces entreprises présente de nombreuses vulnérabilités, et qu’une attaque peut avoir des conséquences majeures pour l’organisation concernée.

Une question se pose donc : que font les entreprises pour adresser ces menaces ?

La plupart des environnements industriels automatisés sont faiblement inventoriés. Faute de savoir ce qui est vraiment connecté à votre environnement, il est impossible d’en assurer la sécurité. Pour réduire ces failles, les équipes IT et OT doivent travailler ensemble, aux côtés d’experts industriels.

Il se peut qu’une entreprise soit confrontée à des priorités divergentes entre les équipes en charge de la sécurité, avec des failles dans les stratégies, ou des fonctions mal définies dans ce domaine. Lorsque les employés font l’objet d’une procédure de télétravail en raison de la crise sanitaire du Covid-19, cela augmente ainsi de facto les risques pour l’infrastructure, en raison de dispositifs inconnus et de connexions non sécurisées.

Si vous êtes connectés, vous devez vous protéger

Mettre en place les protections et mesures de sécurité dans l’ensemble des écosystèmes de production doit être une priorité – depuis les composantes individuelles jusqu’à l’ensemble de la structure industrielle, ce qui inclut les connexions aux différentes entités corporate, la chaîne logistique, mais aussi les tierce parties pouvant intervenir dans les processus.  

Pour de nombreuses personnes, la question de la sécurité est du même ordre que la souscription d’une police d’assurance. Elles espèrent que tout se passera bien, mais elles préfèrent se couvrir afin d’être en mesure de rebondir si les choses tournent mal. D’autres questions surgissent : comment gérer alors la perte de réputation, en tant qu’entreprise sérieuse et responsable, liée à une cyber-attaque assortie d’une demande de rançon ?

 Dans une telle situation, à l’instar d’une police d’assurance, on vous demande de l’argent pour vous épargner des désagréments à venir. Raison pour laquelle la décision peut être difficile. La sécurité ne donne lieu à aucune production tangible. Et elle ne vous rend ni plus rapide ni plus efficace.

Une priorité pour la transformation digitale

La cyber-sécurité est un élément critique de la transformation digitale. L’objectif est de pouvoir disposer d’une structure digitale transparente – en amont du processus de fabrication du produit, en remontant même à la phase de recherche-développement, jusqu’à la fabrication proprement dite, à sa fourniture et à sa mise en œuvre sur le terrain. Autrement dit, l’ensemble de la chaîne logistique.

Identifiez vos failles

La numérisation requiert un flux de données intégrées et l’aptitude à identifier les failles – et comment ces failles et silos ouvrent la porte à différents types de menaces. Ici, les erreurs se payent très cher. Les éviter nécessite un véritable investissement en ressources humaines, mécanismes globaux, connaissances et formation.

  • Ressources humaines, en investissant dans des spécialistes, et en suscitant une prise de conscience globale afin d’opérer un changement complet dans l’état d’esprit de tous – la cyber-sécurité est la responsabilité de chacun d’entre nous.
  • Mécanismes globaux, avec des stratégies exhaustives pour la structure des réseaux, des politiques d’accès à distance et la gestion du cycle de vie des actifs, entre autres.
  • Connaissances, avec la compréhension des risques, des vulnérabilités, des menaces et des adversaires, et un tableau précis du mode opératoire et du type d’attaques.
  • Formation, avec notamment des exercices de simulation des incidents cyber, permettant de répéter des scénarios couvrant les différents thèmes évoqués ci-dessus, dans un contexte chargé en adrénaline.

Une approche holistique

Une entreprise entièrement connectée requiert une approche holistique à l’égard de la sécurité industrielle.Cette approche inclut des politiques et des procédures qui couvrent les risques liés aux individus, aux processus et aux technologies. Un système interconnecté complexe s’accompagne bien évidemment d’un certain nombre de défis.

Il est important de comprendre les risques potentiels et de s’atteler sans délai à l’élaboration d’une stratégie cyber adaptée, pour tous les systèmes de contrôle d’automatisation industrielle.

Les actifs industriels nécessitent une approche de défense en profondeur, couvrant à la fois les menaces internes et extérieures. Une architecture de ce type repose sur l’idée que tout point de protection, quel qu’il soit, peut être battu en brèche.

Cette approche utilise des couches physiques, électroniques et procédurales, et applique les contrôles appropriés pour opposer une défense efficace à différents types de risques.

Leave a Reply