Le Gimelec, syndicat professionnel français de l’industrie, a publié un livre blanc qui expose les contraintes spécifiques aux systèmes OT (Operational Technology) et qui dresse un plan complet de remédiation. Une étude de Trend Micro pointait dans ce domaine les limites des dispositifs et des réseaux existants (45 %), des technologies IT non conçues pour les environnements OT (37 %). Ainsi que le manque de connaissances OT parmi les équipes en place (40 %). Dans ce domaine, il est essentiel d’échanger avec les métiers pour mieux comprendre leurs besoins spécifiques.
Le livre blanc de Gimelec propose quatre piliers pour renforcer la sécurité OT. Le premier consiste à cartographier le SI afin d’avoir une meilleure visibilité sur les vulnérabilités, les menaces et les correctifs applicables. Il faut une vision complète sur les mises à jour de sécurité des applications utilisées ainsi que de l’infrastructure (serveurs, routeurs et autres dispositifs sur les différents sites industriels).
En second lieu, il convient de dresser un état des lieux en faisant appel à des bases de données telles qu'Exploit Database, Metasploit, et Packet Storm Security. Ces bases fournissent des informations précieuses sur les vulnérabilités, notamment les failles « zero-day », pour lesquelles il n’existe aucun correctif.
Définir un plan de remédiation et l’appliquer
Le troisième pilier est la définition d’un plan de remédiation pour réduire l’exposition aux risques cyber après la collecte des informations sur les actifs, les vulnérabilités et les correctifs. Le but est de prioriser les actions à mettre en œuvre. Une planification particulièrement complexe dans l'industrie, car il faut maintenir la continuité de la production en tenant compte de la rotation du personnel, souvent en mode de travail 3×8. Sans oublier la qualification des systèmes et de la compatibilité logicielle. Tout cela avec des compétences en cybersécurité, plus rares que dans d’autres secteurs d’activitéLe quatrième pilier consiste à tester le plan de remédiation. En particulier, il s’agit d’identifier les données critiques telles que les images de clients et de serveurs, les bases de données et les fichiers de configuration. À ce stade, la sauvegarde qui est le parachute en cas d’attaque doit être soigneusement préparée. Il s’agit des sauvegardes sur le cloud ou hors-ligne avec planification de la fréquence, quotidienne, mensuelle et annuelle selon les besoins. En particulier, il faut que les serveurs de sauvegarde soient indépendants des domaines Windows (Active Directory) de production, avec un système d’authentification distinct.
Réaliser des tests sur un banc d’essai, un exercice couteux mais efficace
Ces mesures devraient, dans l’idéal, être validées par des simulations afin de réduire les risques de dysfonctionnements susceptibles d’engendrer des coûts financiers importants (perte de production, modes dégradés, retards, pénalités).Parmi les difficultés spécifiques à sécuriser les systèmes OT, figurent la mise à jour des firmwares des équipements sur des infrastructures multisites. Autre contrainte, la mise à jour des automates programmables avec les versions des composants (CPU, modules spécialisés, etc.). Enfin, il faut sécuriser les OS obsolètes tels Windows XP, 7, 2000 et autres. Pour cela, il est recommandé d’installer un logiciel EDR compatible sur les postes de travail, économe en ressources et capable de fonctionner sans connexion permanente
au cloud.
On l’aura compris, les défis pour sécuriser les systèmes industriels sont particulièrement nombreux et critiques.
