Zscaler Announces Intent to Acquire Airgap Networks to extend Zero Trust SASE
Learn More

Blog Zscaler

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

S'abonner
Produits et solutions

Les cinq choses que les DSI et les RSSI doivent savoir pour sécuriser les systèmes OT

image
architecture Zero trust

Contenu

  1. Article
  2. Autres blogs

Cet article a été initialement publié sur LinkedIn.

Les DSI et les RSSI sont habitués à prendre les devants en matière de sécurité informatique. Mais pour sécuriser la technologie opérationnelle (OT) de la nouvelle entreprise axée sur le cloud et le mobile, ils doivent mettre de côté les préjugés du « je sais mieux » pour donner la priorité à ce qui soutient les objectifs de l’ensemble de l’entreprise.

Les limitations, les arrêts ou les suspensions de fabrication peuvent entraîner une perte de millions (voire de centaines de millions) de dollars pour une entreprise. La minimisation des risques est primordiale pour la continuité opérationnelle, ce qui rend la cybersécurité particulièrement cruciale pour les systèmes OT. Mais, comme tout responsable OT le fera diplomatiquement comprendre à un DSI ou à un RSSI, les mandats de cybersécurité ne doivent pas compromettre la productivité, la sécurité ou la disponibilité.

Le contraste entre les priorités des services informatiques (« nous devons préserver la cybersécurité à tout prix ») et la gestion OT (« nous devons préserver la productivité, la sécurité et la disponibilité à tout prix ») peut compliquer la communication. Toutefois, ces frictions peuvent se révéler constructives plutôt qu’antagonistes. Du point de vue des responsables informatiques, ce n’est pas que « l’OT ne se soucie pas de la sécurité ». C’est que les priorités informatiques doivent s’aligner sur les objectifs de l’OT, ainsi que sur les objectifs commerciaux plus larges de la société. La sécurité de l’OT doit être une priorité, même si les « incursions » passées de du service informatique dans l’OT ont pu avoir un impact sur la production (et sur les résultats). Alors, comment un DSI ou un RSSI peuvent-ils donner la priorité à la sécurité de l’OT sans s’aliéner les dirigeants de l’OT ?

Les entreprises informatiques progressistes alignent les mandats de cybersécurité sur les priorités OT en matière de productivité, de sécurité et de disponibilité. Pour ce faire, ils assument, acceptent et adoptent cinq principes fondamentaux de sécurité OT :

  1. La technologie doit soutenir l’OT sans compromis.
  2. Les pratiques de sécurité standard ne s’appliqueront pas nécessairement à l’OT.
  3. En matière d’OT, la géographie est importante.
  4. L’OT est toujours en cours d’exécution.
  5. L’OT est plus complexe que l’informatique.

1. La technologie doit soutenir l’OT sans compromis.

Pour les entreprises manufacturières et de chaîne d’approvisionnement, les temps d’arrêt sont synonymes de la mort de l’entreprise. Chaque minute d’arrêt du processus représente une perte de chiffre. Les responsables OT, bien conscients de leurs objectifs et de leurs indicateurs, se battront contre tout ce qui peut affecter la disponibilité ou la productivité. La technologie informatique, sécurité ou autre, doit permettre aux équipes OT d’atteindre leurs objectifs.

Les DSI et RSSI qui prônent les changements informatiques doivent le faire dans une perspective d’amélioration de l’efficacité opérationnelle, de la disponibilité et de la productivité. Par exemple, la mise en œuvre du Zero Trust dans un environnement OT sera probablement accueillie avec plus d’enthousiasme par l’OT si le service informatique met en avant ses principaux avantages : intégration accélérée de l’accès à la maintenance tierce, limitation du risque pour l’environnement OT via des appareils compromis avec un accès basé sur des politiques, élimination du risque est-ouest, etc. 

Les responsables OT soutiendront les initiatives de cybersécurité prônées par le service informatique à condition qu’elles ne nuisent pas à la productivité, à la sécurité ou à la disponibilité. Les responsables informatiques qui souhaitent faire évoluer leurs opérations vers une architecture Zero Trust (ZTA) doivent expliquer la mesure dans laquelle une telle approche basée sur le cloud réduit les temps d’arrêt et minimise les risques de dommages causés par les malwares.

« Si Hydro n’avait pas déjà migré ses communications vers un service cloud géré tel que O365, la situation aurait été plus grave. » Norsk Hydro après l’attaque du ransomware en mars 2019.
 

2. Les pratiques de sécurité standard ne s’appliqueront pas nécessairement à l’OT.

En raison des cycles de vie des systèmes OT, les environnements OT utilisent souvent des équipements, des dispositifs et des logiciels qui ont été développés il y a des années, voire des décennies. C’est pourquoi de nombreuses pratiques courantes de sécurité informatique ne s’appliquent pas. Par exemple, le service informatique doit appliquer avec prudence les correctifs Microsoft Windows aux postes de travail du réseau OT : les correctifs peuvent entraîner un arrêt de la production si le logiciel de contrôle de supervision et d’acquisition de données (SCADA) est incompatible avec le correctif.

Les fournisseurs d’équipements OT (et non les responsables OT des entreprises) déterminent souvent les logiciels qui peuvent coexister avec le logiciel de gestion SCADA. Par exemple, une solution de sécurité des terminaux approuvée pour le reste de l’entreprise peut ne pas fonctionner pour l’environnement OT en raison de l’incompatibilité du matériel OT. Le service informatique doit évaluer le risque et contourner ces limitations. Les mandats généraux pour la cohérence des solutions de sécurité des terminaux se heurteront à une forte résistance du chef des responsables OT si les restrictions imposées par les fournisseurs de matériel limitent la compatibilité. 

Dans de nombreuses entreprises, l’OT n’est pas connecté au réseau de l’entreprise, généralement pour de bonnes raisons. Une fois l’intrusion réussie, les réseaux traditionnels, plats et dotés d’une sécurité du périmètre obsolète facilitent la propagation des ransomwares. Dans ces environnements traditionnels, il peut être nécessaire de maintenir les systèmes OT sur un réseau distinct avec un domaine différent.

Les pertes mondiales imputables au ransomware NotPetya ont dépassé les 10 milliards de dollars grâce à la propagation non contrôlée du malware par escalade des privilèges et à des réseaux plats aisément exploitables.
 

3. En matière d’OT, la géographie est importante.

Les grandes entreprises manufacturières sont généralement des entreprises mondiales, dont les usines sont situées dans différents pays, avec des réglementations et des niveaux d’infrastructure différents. La planification informatique doit prendre en compte la géographie et les besoins opérationnels de sites spécifiques. Il existe rarement une solution de cybersécurité OT « universelle » applicable à toutes les régions. Le service informatique doit évaluer la criticité, l’accessibilité et les normes des installations.

  • Criticité de l’usine : toutes les usines de fabrication ne fournissent pas les mêmes services, certains services (et donc les usines) sont plus critiques que d’autres. Certains emplacements peuvent disposer d’une connectivité Internet câblée fiable, et d’autres peuvent uniquement disposer d’un accès satellite à forte latence et à faible bande passante. Le service informatique doit donner la priorité aux plans de sécurité OT pour les sites critiques plutôt qu’aux exceptions de sécurité pour les emplacements secondaires moins importants.
  • Accessibilité des sites de production : certains sites sont physiquement faciles d’accès. D’autres sont « en rase campagne ». Améliorez les protocoles d’accès à distance pour les sites difficiles d’accès.
  • Normes régionales : les normes relatives aux processus industriels peuvent différer selon les pays, et une technologie utilisable dans un pays peut se heurter à des problèmes juridiques dans un autre. Sachez ce qui doit être surveillé dans chaque usine et facilitez la communication des mesures essentielles susceptibles d’avoir un impact sur les opérations. 

« Des pays sont favorables à une localisation pour des raisons qui vont au-delà des avantages immédiats de la rémunération du personnel local. Ils souhaitent que des aspects plus complexes de la production soient exécutés sur leur territoire parce que cela améliore la base de compétences de leur population. »
 

4. L’OT est toujours en cours d’exécution.

Pour atteindre les objectifs commerciaux, l’OT fonctionne généralement en continu, 24 heures sur 24, 7 jours sur 7 et 365 jours par an. Pour les parties critiques de l’infrastructure de fabrication et des lignes de production, les opérateurs mesurent les temps d’arrêt en minutes (voire secondes) par an. Les responsables de l’OT, avec le soutien tacite des dirigeants et du conseil d’administration de l’entreprise, ne peuvent pas et ne veulent pas arrêter les opérations pour installer une nouvelle technologie. Ils n’accueilleront pas non plus les nouvelles technologies à bras ouverts sans une évaluation approfondie de leurs conséquences et de leur impact.

Les DSI et RSSI doivent sécuriser l’OT dans ce monde qui ne tolère aucun temps d’arrêt. La mise en œuvre de Zero Trust doit commencer dans une partie non critique de l’infrastructure OT. Les responsables informatiques peuvent procéder à des tests approfondis, déployer et mesurer les résultats dans ce domaine, pour ensuite exploiter ces résultats afin d’en démontrer la valeur et d’obtenir l’adhésion des responsables OT. Les stratégies de sécurité Zero Trust pourront ensuite être déployées dans d’autres domaines plus sécurisés. Ce déploiement progressif offre des avantages tangibles, tels que l’accès à la maintenance des systèmes par des tiers via des connexions à distance plutôt que sur site, ce qui peut accélérer le temps moyen de résolution (MTTR).
 

5. L’OT est plus complexe que l’informatique.

La gestion des systèmes OT diffère de la gestion des systèmes informatiques en termes de complexité administrative, de gestion du cycle de vie, de surveillance réglementaire et d’influence des fournisseurs. 

  • Complexité administrative : les responsables OT n’ont pas le temps d’effectuer une gestion pratique des produits informatiques et de sécurité. La configuration et la gestion des appareils de sécurité sur site ou des logiciels hébergés constituent un défi compte tenu de la nature critique des systèmes OT et les limitations de bande passante associées de ceux qui gèrent ces systèmes OT. 
  • Gestion du cycle de vie : les systèmes informatiques ont généralement une durée de vie comprise entre quatre et six ans. Les cycles de vie des systèmes technologiques OT peuvent s’étendre sur des décennies.
  • Surveillance réglementaire : les contrôles des systèmes OT sont souvent très réglementés. Par exemple, les réglementations de la FDA exigent que le fabricant prenne en charge les appareils de diagnostic pendant vingt ans à compter de la date de déploiement. 
  • Influence des fournisseurs : les responsables OT n’ont souvent pas beaucoup de choix en ce qui concerne les systèmes SCADA ou les systèmes de postes de travail d’ingénierie. Les fabricants d’équipements OT tels que Siemens, Rockwell Automation, Schneider Electric et Emerson Automation favorisent souvent la technologie à adopter (et finalement, en décident).

Toute cette complexité supplémentaire implique que la planification du changement est un processus différent pour les systèmes d’OT et pour les systèmes informatiques. Les responsables informatiques doivent développer un cahier des charges de cybersécurité spécifique à leur OT unique.
 

La sécurité des systèmes OT requiert la collaboration et l’empathie de l’équipe informatique

Le service informatique doit privilégier la prévention des attaques visant l’OT sur la préservation de la disponibilité. Les ransomwares et autres attaques de sécurité ciblant les réseaux OT ont rarement pour objectif le vol de propriété intellectuelle. Les attaques visent plutôt à perturber et à affecter les résultats d’une entreprise avec des temps d’arrêt inopinés. 

La sécurité de l’OT, bien que différente, est cruciale. Comme l’illustre le récent piratage de SolarWinds, les équipes chargées de la cybersécurité de l’OT doivent s’attendre à ce que les attaques sophistiquées contre les systèmes de contrôle industriels et les chaînes d’approvisionnement deviennent une nouvelle norme.

Les responsables des technologies opérationnelles sont confrontés à des défis qui leur sont propres, et les services informatiques doivent en tenir compte pour garantir la sécurité de l’OT. Toute modification apportée aux systèmes ou aux architectures OT exige des DSI et des RSSI qu’ils réévaluent la manière dont ils font le lien entre les équipes OT et les préoccupations en matière de sécurité.

Avant que les responsables informatiques n’abordent la question des cybermenaces avec leurs homologues des technologies opérationnelles, ils doivent connaître leur point de vue et s’aligner sur leurs objectifs de productivité, de sécurité et de disponibilité afin de garantir un partenariat collaboratif et fructueux. Établir cette relation avec les parties prenantes de l’OT qui peuvent souscrire à la philosophie « pas besoin de réparer ce qui n’est pas cassé » est une condition préalable à l’amélioration de la posture de sécurité globale de l’entreprise.Une fois que les responsables informatiques ont acquis cette confiance, ils peuvent aborder le sujet de la transition des systèmes OT vers une architecture Zero Trust.

 

form submtited
Merci d'avoir lu l'article

Cet article a-t-il été utile ?

vote yes
Oui, très utile !
vote no
Pas vraiment

Découvrez d'autres blogs Zscaler

Une expérience client exceptionnelle commence à domicile
Une expérience client exceptionnelle commence à domicile
Lire le blog
The Power of Zscaler Intelligence: Generative AI and Holistic View of Risk
The Power of Zscaler Intelligence: Generative AI and Holistic View of Risk
Lire le blog
Take Cloud Native Security to the Next Level with Integrated DLP and Threat Intel
Take Cloud Native Security to the Next Level with Integrated DLP and Threat Intel
Lire le blog
Cloud Compliance
The Impact of Public Cloud Across Your Organization
Lire le blog
01 / 02
dots pattern

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

En envoyant le formulaire, vous acceptez notre politique de confidentialité.