Easi offre, lors de Behind Closed Doors, un large aperçu du paysage de la sécurité. Non seulement l’IT, mais également l’OT y reçoivent beaucoup d’attention, et ce n’est pas un hasard. OT et IT se rapprochent de plus en plus, tout en restant fondamentalement différents.
Easi rassemble une grande diversité de participants issus de nombreux secteurs pour son événement Behind Closed Doors. Les portes de l’hôtel Van der Valk à Gand, qui surplombe le stade de football voisin, sont heureusement encore ouvertes à notre arrivée. Après le discours de bienvenue, ceux qui continuent d’arriver cherchent rapidement une place libre à l’une des seize tables.
Behind Closed Doors est une véritable « place de marché » dédiée à la sécurité. À chaque table, les vendeurs sélectionnés présentent le meilleur d’eux-mêmes lors de huit sessions de quarante minutes. À l’image d’une soirée de speed dating, les participants passent de table en table. Une grande variété de sujets est abordée : des tests de pénétration aux SOC, en passant (évidemment) par l’IA. Le modérateur surveille de près le planning, et une alarme sonore retentit pour indiquer qu’il est temps de changer de table.
Chaînon faible
Les tables rondes ne se limitent pas à la sécurité IT. Les technologies opérationnelles, ou OT, y occupent également une place importante. Longtemps considérées comme deux mondes distincts, l’IT et l’OT convergent de plus en plus, notamment sous la pression de réglementations européennes comme la directive NIS2. Pourtant, l’OT est encore souvent perçue comme le « chaînon faible » de la sécurité.
Cette réputation est-elle méritée ? Nous avons posé la question à Jeroen Colpaert, Business Unit Manager chez Easi, et à son collègue Gerrit Neyrinck, Executive Security Engineer. Neyrinck pointe immédiatement le problème principal : « L’IT a vingt ans d’avance sur l’OT en matière de sécurité. Si les machines fonctionnent, on n’y touche pas, car arrêter la production coûte très cher. La plupart des ingénieurs OT de l’ancienne génération ont peu ou pas de connaissances en matière de sécurité. L’OT restait autrefois locale, mais avec l’IoT, il y a davantage de convergence avec l’IT. »
« Les priorités sont complètement différentes », ajoute Colpaert. « En IT, la sécurité concerne principalement l’intégrité des données. En OT, les trois mots-clés sont disponibilité, fiabilité et sécurité. L’OT et l’IT doivent apprendre à se comprendre et à partager leurs connaissances. Pour l’instant, ils ignorent encore trop souvent ce que fait l’autre. »
L’IT a vingt ans d’avance sur l’OT en matière de sécurité.
Gerrit Neyrinck, Executive Security Engineer chez Easi
Bouton d’urgence
La convergence entre l’IT et l’OT ne se fait pas sans heurts, précisément parce que ces deux mondes sont si différents. Souvent, la sécurité OT est abordée selon les principes de l’IT, mais cette approche ne fonctionne pas, constate Neyrinck.
lire aussi
La Belgique, pionnière en matière de réglementation NIS2 : pourquoi ?
« Il n’existe pas de ‘bouton d’urgence’ pour l’OT : appuyer dessus pourrait, en quelque sorte, faire exploser votre usine. Appliquer des correctifs comme on le fait en IT ne fonctionne pas non plus, car il est impossible de tester dans un environnement OT. Une fois qu’une mise à jour commence, vous ne pouvez plus redémarrer, car cela prendrait trop de temps pour revenir en production. Les risques sont bien plus élevés dans un contexte OT, ce qui nécessite une approche plus prudente. »
« Autrefois, la production se faisait dans un environnement air-gapped, mais aujourd’hui, tout est connecté. Un accès distant sécurisé devient crucial, même pour les machines de production. Comment savoir si c’est sûr lorsque quelqu’un appuie sur un bouton à distance ? Tant que tout fonctionne, c’est bien, mais si une machine tombe en panne, les conséquences peuvent être catastrophiques. Vous ne pouvez pas isoler les appareils : cela ne fonctionne tout simplement pas dans un environnement OT. Les problèmes OT ont un impact énorme : non seulement financier, mais potentiellement aussi sur la sécurité des personnes ou de l’environnement », avertit Colpaert.
Technologie obsolète
La présence de technologies vieillissantes ajoute une couche de complexité à la sécurité OT. Neyrinck explique : « Les systèmes OT peuvent durer jusqu’à trente ans et doivent fonctionner 24 heures sur 24, 7 jours sur 7. De plus, aucune usine n’est identique. Si le fournisseur d’une machine spécifique fait faillite, vous risquez de ne pas trouver de solutions aux problèmes. En IT, vous renouvelez le matériel tous les cinq ans environ, mais demander aux entreprises de production de remplacer leurs machines, qui coûtent des millions d’euros, tous les cinq ans est irréaliste. »
Visibilité
La sécurité OT nécessite une approche dédiée, sur laquelle Colpaert et Neyrinck s’accordent. Tout commence par obtenir de la visibilité sur son environnement. Colpaert explique : « Vous devez savoir non seulement ce qui se trouve dans votre usine, mais aussi quels composants se trouvent dans les machines. Ensuite, vous identifiez les vulnérabilités potentielles du réseau et les politiques qui pourraient poser un problème. Sans cette connaissance, il est impossible d’appliquer une sécurité adaptée. L’objectif est d’avoir une visibilité complète sur ce que vous possédez et de trouver comment le faire fonctionner en toute sécurité. »
« Nous voyons le marché évoluer », note Neyrinck. « Les fournisseurs du monde de la sécurité IT voient une opportunité et intègrent l’OT dans leur offre. Personnellement, je pense qu’il y a un besoin de solutions OT dédiées qui comprennent les protocoles spécifiques. »
Colpaert ajoute : « Les fabricants de puces pour machines jouent également un rôle ici. Les fournisseurs veulent aider à développer des outils. Mais la question n’est pas de passer de l’IT à l’OT, mais de rassembler ces deux mondes. »
Formation et sensibilisation
En IT, on met aujourd’hui beaucoup l’accent sur la formation des utilisateurs pour adopter des pratiques technologiques sûres. Colpaert et Neyrinck y voient également un potentiel pour l’OT, mais avec des nuances. « Les opérateurs doivent comprendre comment gérer les machines dans le contexte de la sécurité, et pas seulement au niveau opérationnel », dit Colpaert.
Neyrinck complète : « Une approche différente est nécessaire. Les équipes de production ne travaillent pas derrière un ordinateur. Des formations vidéo obligatoires ne les toucheront pas. Par exemple, des flashcards sont plus efficaces pour sensibiliser les utilisateurs. Mais la sécurité physique reste la priorité absolue en OT. »
L’impact des problèmes OT est immense : non seulement sur le plan financier, mais aussi pour les personnes et l’environnement.
Jeroen Colpaert, Business Unit Manager chez Easi
La tête hors du sable
Neyrinck observe une prise de conscience positive en matière de sécurité, un changement qui s’impose, car la directive NIS2 ne fait aucune exception pour les environnements OT. « Autrefois, les entreprises savaient que la sécurité OT existait, mais elles n’agissaient pas. Aujourd’hui, la stratégie de l’autruche n’est plus une option. Les entreprises seront sanctionnées si elles ne prennent pas ce sujet au sérieux. Les normes pour l’OT vont devenir aussi importantes que celles pour l’IT. »
« Je trouve que c’est une bonne chose que NIS2 inclue également l’OT et pas seulement l’IT », approuve Colpaert. « Les cadres reposent sur les mêmes théories, mais les approches diffèrent. Les entreprises recherchent les bonnes personnes avec les bonnes compétences, mais dans le monde de l’OT, ces profils restent rares. »
En résumé, il reste encore beaucoup à faire, conclut Neyrinck. « NIS2 établit une distinction stricte entre les PME et les grandes entreprises. Cela crée de l’incertitude pour les PME, qui ne savent pas toujours si elles seront également concernées. Par ailleurs, il faut accorder plus d’attention aux sauvegardes et aux plans de reprise après sinistre. Les grandes entreprises peuvent plus facilement constituer une équipe dédiée à l’OT, mais même dans ce cas, on ne rattrape pas un retard de vingt ans en un claquement de doigts. »
Cet article est une contribution rédactionnelle réalisée en collaboration avec Easi. Cliquez ici pour en savoir plus sur les solutions de sécurité.