NIS2 introduit soudainement des exigences de sécurité concrètes dans les environnements OT. Pour y intégrer une protection adéquate, les organisations ne peuvent pas se fier au manuel informatique.
« Les organisations considèrent souvent l’OT comme totalement distinct de l’IT », explique Patrick Banken, Business Development Manager chez Kappa Data. « Lorsque nous arrivons, nous constatons que les administrateurs sont parfois surpris de voir combien d’appareils de l’environnement OT sont en réalité connectés au monde extérieur. »
Impact majeur
Dans le cadre de NIS2, les organisations doivent suffisamment sécuriser leurs actifs critiques. Il ne s’agit pas seulement des bases de données informatiques, mais aussi des environnements de production. Ces dernières années, il est devenu douloureusement clair à quel point l’impact d’une attaque de ransomware peut être important lorsqu’elle paralyse également les chaînes de production.
Banken participe à une table ronde sur NIS2, organisée par ITdaily, pour analyser ce problème. Il est accompagné de quatre autres experts : Sabine van Hoijweghen, Head of Sales et Partner chez Secutec, Bart Loeckx, Director Networking & Security chez Telenet Business, Ron Nath Mukherjee, Cybersecurityconsultant chez Eset, et Johan Klykens, Cybersecurity Certification Authority (NCCA) au CCB.
Effrayant
« Il est presque effrayant de voir combien de protocoles différents sont utilisés au sein de l’OT », constate Loeckx. « Chaque fournisseur utilise son propre protocole et ce qui fonctionne dans les usines est parfois si exotique qu’il n’est pas réaliste de l’assimiler à l’ensemble du domaine informatique. Parfois, vous n’avez pas d’autre choix que d’opter pour une solution isolée. »
Pour la sécurité des environnements OT, vous devez vous tourner vers d’autres technologies.
Johan Klykens, Cybersecurity Certification Authority (NCCA), CCB
« Pour la sécurité des environnements OT, vous devez vous tourner vers d’autres technologies », explique Klykens. « Nous constatons que des solutions avec de nombreuses fonctionnalités qui sont beaucoup plus accessibles arrivent progressivement sur le marché. Du point de vue de l’OT, les solutions de sécurité techniques sont de plus en plus en vogue. »
Autre réalité économique
Il n’est pas réaliste de s’attendre à ce que la sécurité OT évolue soudainement au même rythme que l’IT, tout le monde autour de la table en est conscient. Banken donne un exemple : « Le cloud est tout à fait normal dans le paysage informatique, mais pour l’OT, son utilisation reste diabolique. L’OT est vraiment à un niveau totalement différent de l’IT. Le monde de l’IT change presque quotidiennement et l’OT ne suit pas à la même vitesse. »
L’OT est vraiment à un niveau totalement différent de l’IT.
Patrick Banken, Business Development Manager Kappa Data
« C’est logique », ajoute Loeckx. « Il s’agit d’une histoire purement économique. Le cycle de vie des investissements dans les environnements OT est très différent de celui des investissements informatiques et, de plus, les montants sont beaucoup plus élevés. Vous ne pouvez pas simplement remplacer une chaîne de production ou même l’arrêter. L’impact économique est trop important et nous ne devons pas ignorer cette réalité. »
Loeckx trouve cela également rassurant. Il n’y a en effet pas de problème fondamental si les systèmes fonctionnant de manière autonome finissent par faire une transition et sont remplacés selon les principes du Zero Trust.
Pas d’EDR
Ce qui est logique dans l’IT ne peut pas simplement être appliqué dans l’OT. Vous ne pouvez pas simplement déployer une solution EDR. Banken : « C’est un défi de scanner les systèmes sensibles de manière sûre et stable, surtout lorsqu’ils ne peuvent pas traiter autant de paquets de données. Les responsables de la sécurité OT doivent se tourner vers l’hypersegmentation et d’autres formes de sécurité. »
« Il ne faut pas mettre la charrue avant les bœufs et penser : nous achetons des outils lourds ou une technologie coûteuse et notre problème est résolu », explique Mukherjee. « Il s’agit d’abord de bien faire les bases, de savoir quels actifs vous avez et ce qui est critique. »
Qu’est-ce qui est visible ?
« Je pense aussi qu’il est important de regarder de l’extérieur, ajoute Van Hoijweghen. Il s’agit rapidement de la gestion des actifs. Il est bien sûr important de savoir ce qui fonctionne, mais ce n’est pas tout. »
Elle précise : « Quels aspects de l’organisation sont visibles de l’extérieur ? En fin de compte, c’est ce que les cybercriminels trouvent. S’il y a un appareil vulnérable ou une application ouverte sur Internet, et que les attaquants peuvent ainsi pénétrer facilement, il importe peu, pour ainsi dire, quels actifs se trouvent au sein du réseau. La sécurité de l’extérieur est généralement notre premier point. »
La sécurité de l’extérieur est généralement notre premier point.
Sabine van Hoijweghen, Head of Sales et Partner, Secutec
En appuyant sur un bouton
En attendant, des solutions créatives se présentent. « J’ai vu une PME avec un petit environnement OT qui devait communiquer très peu vers l’extérieur », raconte Klykens. « Ils ont installé un bouton physique qu’un opérateur doit appuyer. Ce n’est qu’alors qu’une connexion vers le monde extérieur est établie. Cela montre la créativité des entreprises pour relever les défis. Et ce genre de solutions me rend profondément heureux », conclut-il.
En général, les participants à la table ronde sont positifs quant à la situation. La sécurité OT est un défi unique, mais cette prise de conscience s’est répandue. Alors que de plus en plus de solutions apparaissent qui permettent la surveillance et la sécurité de l’environnement OT, il existe également des plans d’action alternatifs, dans lesquels une séparation approfondie de l’OT et de l’IT est généralement importante. De temps en temps, penser out of the box en fait certainement partie.
C’est le deuxième article d’une série de trois à la suite de notre table ronde sur NIS2. Cliquez ici pour visiter la page thématique avec les autres articles, la vidéo et nos partenaires.