Des systèmes existants peu résilients

L’OT (Operational Technology) repose sur des équipements souvent en place depuis des années, voire depuis plusieurs décennies. Une époque où la cybersécurité n'avait pas lieu d'être. Cet existant est également caractérisé par son hétérogénéité tant pour les équipements, serveurs, OS... que pour les protocoles, réseaux notamment. Parallèlement, les fusions, acquisitions et autres logiques économiques comme la présence des industriels sur plusieurs sites de production ont démultiplié la dispersion des SI et limité les tentatives de rationalisation.

Depuis quelques années, un facteur aggravant a étendu la surface d'attaque : les attaques provenant de la Supply Chain par exemple, via un fournisseur moins sécurisé. Des tendances qui compliquent encore une mise en œuvre de la cybersécurité qui, pour être efficace, se doit de couvrir les SI industriel de bout en bout.

Pour une hygiène numérique

Parallèlement, la mise en place de l'OT s'est rarement accompagnée de processus destinés à faire repartir la production en cas d’attaques cyber, en un mot de résilience. Le facteur humain reste également peu pris en compte pour limiter les risques. Dans l’industrie comme ailleurs, les équipes doivent être sensibilisées à une bonne hygiène informatique pour éviter d’ouvrir les courriels suspects et, plus largement, pour adopter des pratiques prudentes dans l’usage du numérique.

Selon une étude du Cesin de 2022, une association qui regroupe plus 600 RSSI, la compromission arrive souvent sous la forme de courriels qui restent le vecteur d’entrée principal des attaques type ransomware. Enfin, trouver des profils spécialisés en cybersécurité disponibles reste une gageure. Facteur aggravant, sécuriser un système d’information industriel suppose de trouver des profils dotés de compétences hybrides, IT et OT. Et, les différences tant culturelles que techniques entre ces deux mondes rendent ces recherches encore plus hasardeuses pour dénicher le ou les bons spécialistes.

Rapprocher OT et IT

Les solutions existent ! Première étape, classique et indispensable, la sécurisation passe par une évaluation du système d'information industriel et de ses vulnérabilités. Ensuite, la mise en place de solutions de virtualisation permet de dissocier la couche physique, les équipements, serveurs...de la couche logicielle, et de faciliter la mise en place des mises à jour de sécurité. À partir de cette virtualisation, un management centralisé assure à la fois une cohérence et une mise à jour de la couche logicielle. La mise en place d’une zone démilitarisée va permettre la séparation IT-OT, qui auront chacun leurs politiques de sécurité dédiées, comme le recommande l’IEC 62443.

Parallèlement, la formalisation de processus dédiés à la résilience garantit la continuité, même partielle de la production. Il s'agira par exemple de définir le processus de sauvegarde et de restauration d'équipements industriels, tant pour les aspects techniques qu’organisationnels. À terme, cette centralisation devient le socle d'une surveillance 24/7. Elle facilite également la poursuite de l'activité sur certains périmètres en cas d'attaques en isolant les menaces.

Faire appel à des experts

Cette mise à niveau repose sur l'intervention de compétences rares et chères. Outre l'expertise nécessaire, celles-ci se doivent de conjuguer sur le terrain le système d'information classique, l'IT et l'OT. Un rapport du Cigref a souligné le rapprochement inéluctable et bénéfique entre ces deux mondes sans omettre ses difficultés liées notamment aux différences culturelles. Pour pallier toutes ces questions, le recours à des spécialistes maîtrisant à la fois toutes les facettes de la sécurisation de l'OT et du rapprochement IT-OT s'impose. De plus, la présence souvent internationale des industriels suppose de trouver des sociétés de services capables d’implémenter des mesures de cybersécurité à grande échelle.

Par Pierre Paterni, expert Réseaux et Cybersécurité chez Rockwell Automation