Le marché mondial de la cybersécurité des systèmes de contrôle industriels (ICS) devrait poursuivre sa forte croissance pour atteindre entre 22,5 milliards et 22,8 milliards d’USD (soit environ 19,7 milliards d’euros) à l’horizon 2025-2026, avec un taux de croissance annuel cumulé estimé entre 5,81 % et 7,2 %. Si le secteur public / privé manifeste un intérêt croissant pour ce marché, c’est également le cas des cybercriminels qui ne cessent de multiplier les attaques contre des sites industriels.
Les professionnels de la cybersécurité disposent aujourd’hui d’une solide quantité d’informations et proposent déjà un certain nombre de solutions permettant de protéger ces sites critiques. Cependant, il est temps de se pencher plus en détail sur l’évolution de la cybersécurité des ICS et ses enjeux afin d’aider les entreprises à élaborer ou modifier dès maintenant leur stratégie de défense pour faire face à la recrudescence des cyber-attaques.
Un nécessaire état des lieux
La protection des infrastructures industrielles est une mission complexe qui nécessite une protection multicouche des technologies opérationnelles. Cela s’applique aux divers contrôleurs industriels, aux réseaux, à la protection des ordinateurs et à la gestion globale de la sécurité de l’entreprise, voire de la maison mère. En matière de cybersécurité, la priorité pour les usines ou les sous-stations consiste à détecter et à éliminer à temps les menaces pesant sur les terminaux et sur le réseau afin de sécuriser le périmètre. Plus vite une activité malveillante est détectée, moins elle aura de conséquences néfastes.
Si le site industriel dispose de systèmes de contrôle et d’automatisation complexes (systèmes d’automatisation de centrales ou de sous-stations électriques, systèmes d’automatisation des processus discrets ou continus, systèmes de contrôle distribués ou centralisés…), il est important qu’il soit protégé face aux défaillances accidentelles et aux attaques délibérées. L’idée est d’utiliser des outils dédiés pour détecter des anomalies mineures à l’aide d’indicateurs de performance et de réagir avant qu'une panne ne se produise.
Pour réduire les risques de cyberattaque, prévoir des mises à jour régulières et patcher les vulnérabilités à temps dans le firmware industriel est essentiel. Moins il y a de failles au niveau des équipements, moins les hackers disposent de points d’entrée potentiels pour infiltrer le réseau. C’est pourquoi instaurer une démarche de collecte de données sur les vulnérabilités auprès d'une source fiable, capable de fournir des informations aussi complètes que possible sur le dispositif touché et sa configuration se révèle indispensable. Cela permet d’avoir les informations nécessaires pour décider de l’application d’un correctif ou si des mesures d’atténuation optionnelles peuvent suffire, en cas d’indisponibilité du patch, ou si son application n’est pas justifiée.
Enfin, les entreprises doivent mettre en place des capacités de détection et de réaction dédiées face aux menaces persistantes avancées (APT). Collecter et analyser l’ensemble des événements survenus à l’échelle du réseau permet de déceler les signes d’attaques ciblées, de les stopper à temps et d’enquêter sur leurs origines. Un tel dispositif empêche les APT de se dissimuler à l’intérieur du réseau.
Le tendon d’Achille de la cybersécurité industrielle
Les systèmes OT sont plus complexes car ils font intervenir une multitude de dispositifs et de connexions à distance répartis sur des sites distincts, ce qui induit des contraintes plus lourdes en matière de protection. Différents outils, à l'image de ceux énumérés ci-dessus, répondent à divers besoins, certains nécessitant une intégration, et chacun possédant son propre tableau de bord. Le plus compliqué pour les entreprises consiste donc à gérer la protection de l’infrastructure dans son ensemble.
Vouloir configurer chaque outil séparément et gérer tout ou presque manuellement peut se révéler fastidieux et inefficace, voire, in fine, réduire le niveau de protection. L’échange d’informations sur les menaces ne peut intervenir entre des solutions distinctes, et celles-ci n’offrent aucune visibilité sur l’infrastructure OT prise dans son ensemble.
Bâtir sa sécurité autour d’un dénominateur commun
Face à ce constat, réunir toutes les composantes de sécurité dans un seul et même écosystème s’avère indispensable. Celui-ci doit permettre aux utilisateurs d'accéder à l’ensemble des solutions et services disponibles et pouvoir s'adapter aux exigences des entreprises. Il doit proposer une plateforme unique pour gérer toutes les tâches de sécurité, y compris celles prises en charge par des services tiers. Toutes les équipes intervenant dans la sécurité des systèmes OT pourront ainsi accéder aux données et processus dont elles ont besoin.
La plateforme doit pouvoir suivre et traiter les anomalies détectées par différentes sources (module anti-malware installé au niveau des terminaux, système EDR, base de renseignements sur les menaces…) et les corréler avec celles relevées au sein du réseau informatique. L’analyse des données issues de différentes sources et la recherche de corrélations via des systèmes de type SOAR permettront de détecter plus efficacement les attaques ciblées les plus complexes.
En outre, et dans le but de renforcer leurs capacités de détection et d’investigation en matière de menaces, les entreprises peuvent intégrer une approche XDR – détection et réponse étendue – qui associe les fonctions de détection, d’investigation et de réaction dans toutes les composantes de l’infrastructure.
Un tel écosystème permettra d’atteindre un degré de maturité supérieur dans la protection des systèmes OT. Les entreprises pourront protéger leurs actifs de manière plus systématique, mieux comprendre ce qui se passe dans leurs réseaux et établir une base solide en vue de poursuivre leur digitalisation. La plateforme sera en mesure de créer ou consolider des centres de suivi et d’assurer la sécurité industrielle au sein des grandes entreprises. Elle pourra également être déployée aux niveaux régional, national, voire international, pour donner plus de moyens aux équipes d’intervention informatique d’urgence (CERT) ainsi qu’aux prestataires de services délégués.
Par Kirill Naboyshchikov, Business Development Manager chez Kaspersky