DIGITAL SOLUTIONS
Le challenge de la sécurisation des technologies opérationnelles
Assurer la sécurité des éléments numériques impliqués dans un processus de production peut s’avérer complexe en raison de la nature des équipements ou de leur rôle. Dans l’optique de sécuriser des environnements OT ou IoT, Fortinet déploie des solutions alternatives adaptées aux divers besoins.
October 3, 2023
De plus en plus, le numérique s’intègre aux chaînes de production industrielle avec le déploiement de nombreux équipements connectés. Ces évolutions, si elles contribuent à la performance des opérations, ont aussi pour désavantage d’élargir la surface d’attaque, exposant les organisations à des risques cyber plus importants. « Les équipements connectés au réseau de l’entreprise sont toujours plus nombreux, explique Christophe Pléger, Major Account Manager au sein de la société Fortinet, fournisseur de solutions de cybersécurité. Dans l’industrie ou encore dans le secteur médical, de nombreux fournisseurs déploient des équipements dont ils assurent le suivi à distance. Ces installations, réelles boîtes noires, sont connectées et peuvent présenter des failles, permettant par exemple à des cybercriminels de pénétrer le réseau de l’entreprise. Dans ces organisations, il n’est pas toujours simple de corriger des failles connues, dans la mesure où il n’est pas possible d’arrêter la production pour de telles opérations.»
Une attaque sur deux vise des technologies opérationnelles
Une récente étude a révélé que sur 1.500 entreprises interrogées, 8 sur 10 avaient fait l’objet d’attaques. 47 % de ces attaques touchaient les technologies opérationnelles, visant un impact financier plus important pour l’entreprise. En raison de la nature des équipements connectés, des failles connues peuvent demeurer ouvertes pendant un certain moment. « En matière de technologies opérationnelles (OT) ou d’Internet of Things (IoT), le fait que ces éléments ne sont le plus souvent pas directement mis en œuvre et gérés par l’IT, mais par la production, ajoute une difficulté supplémentaire, assure l’expert de Fortinet. Les responsables de la sécurité ne disposent pas de la visibilité requise sur l’activité réseau afin de détecter toute anomalie. »
Renforcer la visibilité
Comme le confirment régulièrement les statistiques, les attaques profitent de brèches anciennes. En moyenne, il faut 270 jours pour détecter une attaque et la résoudre. Si les équipes ne sont pas coordonnées, ces délais sont plus longs encore. « Le premier défi est de renforcer la visibilité sur l’activité de l’ensemble du réseau, explique Christophe Pléger. Dans un premier temps, il y a donc lieu de déployer un ensemble d’éléments, comme des Next-Generation Firewalls au niveau des équipements opérationnels, afin de pouvoir superviser l’ensemble des événements, détecter efficacement les attaques et contribuer à l’amélioration de la sécurité », commente l’expert. À cet effet, Fortinet peut déployer un ensemble de solutions adaptées dans l’optique de faire converger les réseaux OT et IT et assurer une visibilité unifiée.
Au-delà, si l’on ne peut pas apporter des correctifs aux éléments connectés contribuant directement à la production, comment garantir la sécurité des environnements informatiques ? Le contexte particulier d’une chaîne de production implique de mettre en œuvre des approches alternatives aux solutions de sécurité traditionnelles et adaptées aux enjeux de l’organisation.
« Ces évolutions, si elles contribuent à la performance des opérations, ont aussi pour désavantage d’élargir la surface d’attaque, exposant les organisations à des risques cyber plus importants. »
Simuler des machines vulnérables
Au cœur de l’écosystème de solutions de sécurité qu’il propose, Fortinet suggère une autre approche. Avec la solution FortiDeceptor, par exemple, il est possible de simuler virtuellement au cœur du réseau des machines de production qui, volontairement, présenteront des vulnérabilités connues. « Dans leur démarche, les attaquants cherchent toujours la voie la plus accessible pour mener à bien leurs opérations, commente Christophe Pléger. L’idée, grâce à des leurres, est de les orienter vers ces éléments virtuels, pour plus facilement détecter leur présence, comprendre leurs intentions, identifier l’origine de l’attaque et réagir efficacement. »
Il importe que ces machines virtuelles réagissent comme le ferait n’importe quel élément opérationnel. Si un cyberattaquant vient à interagir avec l’une d’elles, il est essentiel qu’il ait l’impression d’agir avec un élément qui ne soit pas factice, sans quoi il comprendra rapidement qu’on essaie de le piéger. « Ces machines se trouvant dans le réseau, sans être impliquées dans les opérations, toute activité les concernant constitue une alerte sérieuse, ajoute l’expert. La démarche, à ce titre, permet de réduire les faux positifs.
Sans que la production ne soit mise en danger, on peut alors identifier le chemin pris par le cyberattaquant pour atteindre la machine, détecter les terminaux infectés et prendre les mesures qui s’imposent pour éviter toute propagation. »
Réponse automatique
À cette fin, les solutions Fortinet permettent d’automatiser la réponse sur incident, en bloquant par exemple une adresse IP malveillante ou en bloquant un terminal considéré comme infecté au sein du réseau de l’entreprise. « Si, en effet, il n’est pas possible d’appliquer des correctifs sur les éléments en production, ces mesures permettent d’éviter que les attaques aboutissent et mettent en danger la production », assure Christophe Pléger.
Pour déployer ce dispositif, Fortinet peut s’appuyer sur l’intelligence qu’il a développée au fil des années en matière d’exploitation des failles par les cyberattaquants via son équipe de recherche et ses services FortiGuard Labs. En fonction de l’entreprise, elle peut placer un ensemble de machines virtuelles au cœur du réseau, fonctionnant de manière crédible.