En rassemblant les technologies opérationnelles et informatiques moyennant la convergence OT-IT, les entreprises peuvent fournir plus de valeur ajoutée à leurs clients grâce à des processus, produits et services commerciaux plus intelligents et connectés. En IT, des applications, des bases de données, des réseaux et des systèmes sont utilisés pour collecter des informations qui aident les utilisateurs à prendre des décisions commerciales. L’OT rassemble des informations non seulement à des fins décisionnelles, mais également pour surveiller et modifier « l’état » d’un appareil OT, de ses sorties ou de son environnement. La combinaison des deux peut être utilisée pour améliorer l’efficacité de la chaîne logistique.
L’OT est traditionnellement présente dans les usines et les environnements industriels tels que les installations de traitement du pétrole et du gaz. Les systèmes de contrôle et d’acquisition de données (SCADA), qui font partie des systèmes de contrôle industriels (ICS), permettent à une usine d’optimiser ses rendements et son assurance qualité tout en minimisant les temps d’arrêt imprévus. Au fil du temps, la définition de la technologie opérationnelle s’est étoffée pour englober une vaste gamme de machines et d’outils connectés utilisés notamment dans les secteurs de la construction, des mines, de la logistique et de la vente au détail.
L’OT surveille les besoins cyber-physiques, permettant aux entreprises d’atteindre leurs objectifs de contrôle. Il s’agit notamment d’avertir les ingénieurs lorsqu’une pièce de grue sur un chantier de construction doit être remplacée, de modifier la température des climatiseurs dans un magasin de vente au détail en fonction des conditions météorologiques, de maintenir le débit d’un liquide dans un pipeline de pétrole et de gaz à une valeur définie de pression ou de température, ainsi que de fabriquer un produit selon des paramètres et des niveaux de qualité donnés.
En effet, l’OT est présente aujourd’hui dans la plupart des environnements de bureau grâce à la numérisation des systèmes de construction automatisés, notamment des systèmes de vidéosurveillance et de contrôle d’accès, ainsi que des unités HVAC (chauffage, ventilation et climatisation).
Identification des risques
Par le passé, l’OT n’était pas mise en réseau et était gérée indépendamment de l’IT. Les outils de surveillance ou de réglage des équipements physiques utilisaient pour la plupart des protocoles fermés, propriétaires et dédiés. Aujourd’hui, de plus en plus de systèmes OT utilisent Internet. En effet, Forrester décrit l’Internet des Objets Industriels (IIoT) comme le principal catalyseur de la convergence IT-OT et de la prochaine génération OT. Une cyberattaque sur les infrastructures OT et d’IIoT peut avoir des conséquences considérables, notamment l’arrêt de services essentiels, des dommages environnementaux importants, voire des pertes en vies humaines.
Dans ce nouveau monde, les machines, les matières premières, les pièces et les produits finis sont de plus en plus connectés à l’aide de capteurs IoT, et les données sont continuellement partagées entre les entreprises et leurs fournisseurs et clients externes. Des machines installées dans un atelier ou des unités de climatisation présentes dans un magasin de vente au détail peuvent par exemple être connectées à Internet afin que des fournisseurs tiers puissent effectuer des diagnostics à distance et une maintenance prédictive.
Selon Gartner, d’ici 2020, 25 % des dépenses des fabricants consacrées aux programmes « d’achat et de maintenance » de matériel seront réorientées vers des « modèles de services dynamiques », dans lesquels des frais récurrents sont payés aux fournisseurs pour de la maintenance prédictive. Connu comme une « stratégie de servitisation », le fournisseur vend un « résultat en tant que service », autrement dit le fonctionnement continu de l’équipement qui sous-tend les activités d’un fabricant, d’une compagnie aérienne ou d’une entreprise de construction.
« Orange Business appelle cela l’ère « Internet des entreprises » des écosystèmes commerciaux dans laquelle les personnes, les objets, les processus métier et les infrastructures sont connectés au sein d’une entreprise et de ses chaînes logistiques », observe Werner Reuss, responsable de la division IoT industrielle d’Orange Business. « Cela crée des gains d’efficacité grâce à une connaissance des données en temps réel, mais cela introduit également de nouveaux risques en matière de sécurité. Les attaques liées à l’OT et à l’IIoT sont de plus en plus fréquemment le fait d’acteurs malveillants qui pénètrent dans l’ergonomie d’une entreprise par l’intermédiaire d’un partenaire ou d’un fournisseur externe. »
Selon le cabinet d’analyse Pierre Audoin Consultants, pour 77 % des entreprises équipées de systèmes OT et de ICS (Operational Technology and Industrial Control Systems) interrogées, la sécurité est désormais une priorité absolue. Les attaques ciblées et les menaces persistantes avancées (APTs) y sont particulièrement redoutées.
En outre, les tiers constituent l’un des risques les plus importants en termes de croissance des données sensibles d’une entreprise dans tous les domaines. Selon l’Institut Ponemon, 58 % des entreprises reconnaissent avoir été victimes d’une violation de données provoquée par l’un de leurs fournisseurs ou par des tiers. Pourtant, moins de 50 % des entreprises font de la gestion des risques liés aux relations avec des tiers une priorité. En outre, de nombreuses violations ne sont pas détectées : 22 % des entreprises ont avoué ignorer l’existence d’une violation de données par un tiers au cours des douze derniers mois.
« Compte tenu de la croissance exponentielle des services technologiques externalisés et du nombre croissant de tiers, les entreprises doivent prendre en charge leur exposition et mettre en œuvre des mesures de protection et des processus propres à réduire leur vulnérabilité », estime le Dr. Larry Ponemon.
C’est un domaine prioritaire d’Orange Cyberdefense, division d’experts en cybersécurité du groupe Orange. « Nous constatons un besoin croissant de cyberdéfense proactive dans la chaîne de valeur de nos clients », estime Jean-Christophe Mathieu, responsable de la sécurité industrielle chez Orange Cyberdefense. « Cela implique non seulement d’adopter une approche axée sur la protection, la défense et la détection pour sécuriser les données et les actifs critiques de l’entreprise via toutes les fonctions OT et IT, mais également de gérer les risques associés aux chaînes logistiques connectées. »
Tirer les leçons des récentes attaques
Le ver Stuxnet est l’un des meilleurs exemples de cyberattaque grave de type OT utilisant les vulnérabilités « zero-day » de Windows pour attaquer les centrifugeuses de maintenance et d’administration d’une centrale nucléaire iranienne. Récemment, les pirates informatiques ont accédé au réseau du géant de la vente au détail Target via un tiers qui surveillait et entretenait ses systèmes de chauffage, de ventilation et de climatisation (HVAC) à distance via Internet, ce qui leur a permis de voler les données des clients.
Dans son rapport de 2018 sur les menaces à la sécurité Internet, Symantec a signalé une augmentation de 200 % du nombre de pirates informatiques qui injectent des logiciels malveillants dans les chaînes logistiques. Un groupe de menaces appelé Xenotime (auteurs du programme malveillant Trisis/Triton, qui a attaqué une société pétrolière et gazière en Arabie saoudite) est par exemple réapparu l’année dernière et a lancé plusieurs attaques liées au contrôle industriel contre des sociétés non nommées. Le détournement de mises à jour logicielles de systèmes a été identifié comme un moyen en rapide développement permettant aux attaquants d’obtenir un point d’entrée dans des cibles bien protégées.
Le défi en matière de sécurité OT
Gartner estime qu’environ 80 % des problèmes de sécurité OT sont presque identiques à ceux de l’IT, alors que 20 % sont vraiment uniques et ne peuvent pas être ignorés. La sécurité par l’obscurité règne toujours dans de nombreux environnements OT. Les équipements sont souvent laissés sans correctifs, soit parce qu’il est difficile d’appliquer des correctifs aux systèmes propriétaires non IP, soit parce qu’ils sont trop critiques pour les opérations ou trop coûteux pour être mis hors ligne. Les longs cycles de remplacement des principaux éléments de machinerie industrielle augmentent l’exposition au risque.
Pour Werner : « Les environnements OT sont pour la plupart des friches industrielles où les solutions OT et IIoT existantes coexisteront longtemps dans un avenir prévisible. Cela signifie que les entreprises doivent travailler avec des partenaires qui comprennent ces deux mondes. C’est un besoin qu’Orange Business est capable de satisfaire grâce à ses partenariats dans le monde entier, notamment avec Siemens, principal fournisseur d’équipements d’automatisation d’usine, et GHD, groupe mondial de services professionnels travaillant dans les secteurs des mines, des transports, de l’eau et des villes intelligentes. À cela s’ajoutent nos atouts en matière de sécurité grâce à Orange Cyberdefense. »
Les entreprises manquent souvent des ressources et de l’expertise internes nécessaires pour faire face à un nombre sans précédent de menaces de sécurité de plus en plus sophistiquées. La complexité vient également du fait que les systèmes OT relèvent traditionnellement des équipes opérationnelles plutôt que des services informatiques et de la fonction CISO (Chief Information Security Officer). Il peut être difficile de réunir des départements jusque-là cloisonnés.
Selon Jean-Christophe Mathieu, « L’absence de suivi et d’analyse de l’accès des partenaires de la chaîne logistique aux systèmes OT est un gros problème. Souvent, les entreprises n’enregistrent pas qui accède à leur réseau ni quel type de communication a lieu, et elles n’effectuent pas d’audits réguliers. À cela s’ajoutent de piètres plans d’intervention et de reprise après incident. »
Une approche de la sécurité axée sur la protection, la défense et la détection
Avec plus de 2 100 experts de la sécurité dans 10 centres de surveillance et de réponse gérés, 16 centres de services fournisseurs de solutions de sécurité gérées, 4 équipes d’intervention en cas d’urgence informatique et 3 centres de nettoyage dans le monde, Orange Cyberdefense dispose d’une vaste expertise pour répondre à ce besoin.
Les acquisitions récentes de SecureData et de SecureLink ont fait d’Orange Cyberdefense le deuxième fournisseur de services de sécurité gérés en Europe en termes de chiffre d’affaires avec plus de 3 700 clients. La société prend en charge l’intégralité du cycle de vie des risques IT-OT, IIoTet cloud. Elle identifie notamment les menaces par le biais de services de conseil et d’audit en stratégie de sécurité, y compris des tests de pénétration de l’OT pour aider les entreprises à vérifier si les mesures de sécurité existantes fonctionnent efficacement.
Une protection multicouche est disponible sur l’ensemble de la pile informatique (couvrant les couches réseau, cloud, Web et périphériques d’accès) pour protéger les actifs et les données critiques de l’entreprise de toute attaque éventuelle. Un atout majeur de ce système est la détection des menaces persistantes avancées et des violations de sécurité. Les analystes des CyberSOC d’Orange Cyberdefense qualifient, maîtrisent et corrigent ensuite les attaques, garantissant ainsi la continuité des activités. Enfin, les équipes recherchent de manière proactive les menaces et enquêtent pour identifier les violations de données déjà commises.
Récemment, Orange Cyberdefense a collaboré avec la branche européenne d’un important constructeur automobile APAC pour réaliser un audit des risques de sécurité OT-IT et mettre en place un plan d’action pour les atténuer. Des incidents OT se sont produits dans plusieurs usines. D’où la nécessité d’améliorer la compréhension et la visibilité de l’environnement de OT et comprendre les niveaux de sécurité de base des différentes usines, d’identifier les lacunes et de définir un plan d’action. L’étape suivante consiste à déployer des sondes OT pour surveiller en permanence les menaces.
Dans certains cas, par exemple lors d’une récente mission pour une société d’ingénierie nordique, Orange Cyberdefense peut même fournir une solution CISO-as-a-service pour informer le conseil d’administration de la société des risques existants en l’absence d’un responsable de l’information au sein de la société.
Parmi les autres missions récentes figurent la prise en charge d’un réseau de distribution compatible IoT et la possibilité pour les sociétés de OT d’utiliser les Cloud publics en toute confiance moyennant des réponses à leurs besoins de sécurité de bout en bout.
Surveillance des empreintes de chaînes logistiques
Avec l’avènement de l’ère de l’ « Internet des entreprises » des écosystèmes d’entreprise, la montée en puissance de l’Internet des objets industriel et la multiplication des nouveaux appareils, il sera désormais d’une importance cruciale de savoir quoi et qui est connecté à votre réseau, et cela inclut tous les tiers.
La réalité, c’est que le paysage des menaces liées à l’OT concerne presque tous les secteurs, de la fabrication au pétrole et au gaz, en passant par la vente au détail et la logistique. La convergence entre OT et IT est inévitable dans le cadre des tendances de l’industrie 4.0 et de la transformation numérique. Les avantages liés à une connectivité croissante s’accompagnent d’une vulnérabilité accrue, mais la bonne nouvelle, c’est que ces risques sont gérables à condition de mettre en place les contrôles et les stratégies de sécurité appropriés.
Lire l’article en anglais : Why cyberdefense needs to underpin entire supply chains et accéder à la deuxième partie de cette série (en anglais), qui décrit les 5 étapes pratiques que vous pouvez suivre pour gérer votre sécurité en matière d’OT, IIoT et cloud.