Le contrôle d’accès au réseau est un élément essentiel de votre sécurité OT
Lorsque vous comparez les systèmes OT et IT en termes de cybersécurité, chacun a ses propres particularités et exigences.
Pour examiner de plus près comment le contrôle d’accès au réseau soutient les efforts robustes de sécurité OT, nous nous sommes entretenus avec le professeur Tobias Heer, qui enseigne la sécurité informatique et la mise en réseau à l’Université des sciences appliquées d’Esslingen, en Allemagne. Il fait également partie de l’équipe Belden depuis 2012, en tant que chercheur en technologies de mise en réseau du futur chez Hirschmann, une marque de Belden.
Ci-dessous, nous partageons ses réponses aux questions sur la sécurité OT.
Question : pourquoi certains des concepts de sécurité éprouvés du secteur, tels que l’air gapping, ne sont-ils plus pratiques ?
Réponse :
Avant la numérisation, il n’était pas nécessaire de connecter la production au réseau. Aujourd’hui, à l’ère de l’industrie 4.0, les entreprises et les productions sont fortement numérisées et basées sur l’échange d’informations, ce qui n’est pas possible avec les systèmes air-gapped. Si vous voulez moderniser la production, un air gap n’est pas pragmatique.
J’ose aussi douter que les entreprises qui comptaient sur un air gap aient toujours eu un air gap. Souvent, les modems étaient connectés pour échanger des informations au sein de l’usine de production, ou les données étaient transférées via des supports de stockage, tels que des clés USB ou des disquettes. Ceux-ci ne sont pas souvent contrôlés, ce qui laisse place aux attaques de sécurité OT.
Question : quel rôle joue le contrôle d’accès aux réseaux dans les réseaux industriels ?
Réponse :
Le contrôle d’accès au réseau (NAC) est l’un des nombreux outils de sécurité OT. Ce n’est pas une solution miracle qui couvre toutes les mesures de sécurité, mais c’est l’un des outils les plus efficaces disponibles. Cela fonctionne lorsque les attaquants sont locaux (sur site), ainsi que pour les attaques de l’extérieur.
La cyberattaque locale
Dans les grandes installations ou les installations dispersées géographiquement, les attaques locales contre la sécurité OT sont fréquentes. La sécurité d’une installation de production est physiquement difficile à contrôler. Il est facile de simplement brancher un appareil et d’accéder au réseau. Le système peut également être compromis car quelque chose n’est pas connecté correctement. Dans ces cas, le NAC est utile car les périphériques ne peuvent pas simplement être connectés au réseau local de manière incontrôlée. Lors d’une attaque de l’intérieur, l’attaquant doit s’authentifier ne serait-ce que pour connecter un appareil au réseau industriel. Avec l’aide du NAC, vous pouvez voir tous les périphériques et terminaux du réseau connectés au réseau et y répondre. Cela crée de la transparence afin que vous puissiez comprendre ce qui se passe dans le réseau.
La cyberattaque de l’extérieur
L’autre possibilité est que les attaquants viennent de l’extérieur et infiltrent les systèmes qui sont déjà dans le réseau. Une attaque venant de l’extérieur conduit toujours à des appareils compromis à l’intérieur. Le NAC peut également vous aider dans ce domaine. Lors d’une attaque venant de l’extérieur, un bon système NAC s’appuie sur d’autres outils. Un scanner de vulnérabilités, par exemple, identifie les terminaux et les périphériques réseau vulnérables qu’un attaquant pourrait utiliser pour y accéder. Avec un système NAC, vous pouvez décider comment traiter un appareil vulnérable ou compromis. Voulez-vous le garder dans le réseau, le déplacer vers un réseau de quarantaine ou informer quelqu’un ? NAC vous aide à répondre aux changements imprévus du réseau et agit comme une mesure d’hygiène.
Question : qu’est-ce qu’un environnement industriel exige du contrôle d’accès au réseau ?
Réponse :
Les choses sont un peu différentes dans la sécurité OT et dans la sécurité informatique. Dans l'OT, les processus dépendent de la communication. Leur interruption, en excluant un appareil impliqué, peut entraîner un problème physique.
Par exemple, lorsque les processus de contrôle sont interrompus, cela peut entraîner des temps d’arrêt ou des dommages physiques. Si certaines parties d’une installation doivent être fermées, il peut être très difficile de les remettre en service. Dans certains types d’installations industrielles, comme dans l’industrie de transformation, ce n’est jamais une option.
Vous avez besoin d’un NAC plus sophistiqué dans un réseau industriel. Il permet de contrôler quelles activités sont déclenchées lorsqu’une défaillance ou une attaque est détectée dans le réseau, et quelles mesures de sécurité peuvent être prises si des réponses drastiques, telles que l’exclusion du réseau, ne sont pas possibles.
Le NAC apporte de la transparence aux réseaux industriels et révèle les dispositifs qui s’y trouvent. Il détecte les mouvements inhabituels du réseau et les schémas d’attaque typiques.
Une bonne solution NAC doit permettre de diviser les points de terminaison en groupes appropriés. Selon le groupe, différentes actions défensives sont exécutées.
Par exemple, un ordinateur portable de maintenance qui ne respecte pas les directives de conformité peut facilement être exclu du réseau. Le point de terminaison ne fait pas partie d’un processus critique pour l’entreprise. Rien d’imprévisible ne s'y produit généralement. En revanche, un PC industriel faisant partie d’une boucle de contrôle ne peut pas être facilement retiré du réseau car les processus de l’installation pourraient être perturbés. Le contrôle d’accès au réseau peut être utilisé pour faire cette distinction et définir des réponses appropriées, réduisant ainsi les tâches manuelles chronophages.
Question : comment les zones jouent-elles un rôle dans la sécurité d’accès au réseau ?
Réponse :
Un principe important de la sécurité OT est la création de zones et de transitions de zones. Elle tellement importante pour le secteur qu’elle est spécifiée dans la norme ISO IEC 62443.
Avec le zonage, les points de terminaison, les unités, les machines, etc. qui appartiennent logiquement ensemble sont affectés à la même zone. Lorsque quelque chose se passe dans une zone, cela n’affecte que cette zone. Si un attaquant pénètre dans la zone, il y reste et ne peut pas la dépasser, de sorte que les autres zones ne sont pas affectées.
Avec l’aide du NAC, ces zones peuvent être implémentées à l’aide de VLAN. La gestion des réseaux locaux virtuels peut être basée sur les ports ; l’attribution est également possible via des adresses MAC, un nom d’utilisateur et un mot de passe, ou un certificat. Cela rend la conception de la zone pratique et fiable, réduisant ainsi la charge administrative. Au lieu de configurer des commutateurs individuels, les zones de sécurité sont attribuées aux points de terminaison et aux classes d’appareils.
L’accès temporaire au réseau pour les sous-traitants et le personnel de maintenance peut être fourni rapidement et en toute sécurité à l’aide de la solution NAC. Imaginez qu’un employé de maintenance ait besoin d’accéder à une machine spécifique pour une inspection régulière. Le NAC permet un accès réseau sécurisé facile et limité dans le temps pour le point de terminaison à la zone de la machine qui doit être entretenue.
Si vous souhaitez mettre en œuvre la même chose sans NAC, quelqu’un doit configurer manuellement un commutateur, autoriser le point de terminaison et le reconfigurer à la fin de la journée, un processus long et sujet aux erreurs qui nécessite des connaissances spécialisées.
Si trop d’efforts sont nécessaires, les gens ont rapidement tendance à assouplir les mesures de sécurité. Vous créez de plus en plus de failles dans votre concept de sécurité pour des raisons d’efficacité. Le NAC peut donc être utilisé pour augmenter à la fois la sécurité et l’efficacité. Des processus habituellement restrictifs et complexes peuvent être mis en œuvre avec peu d’effort.
En savoir plus sur la sécurité OT
La mise en œuvre d’une solution de contrôle d’accès au réseau flexible, évolutive et efficace vous aide à apporter une valeur significative à la sécurité du réseau en améliorant la visibilité du réseau, en réduisant les cybermenaces et en augmentant les performances du réseau.
En savoir plus sur la cybersécurité OT et comment améliorer la sécurité avec le contrôle d’accès au réseau macmon et les commutateurs industriels Hirschmann.
Ressources connexes :
À propos de l'auteur
![Système.Chaîne[]](https://assets.belden.com/transform/616b1b14-b747-4d86-baa5-e7cdc801c997/tobias-heer?io=transform:fill,width:300,height:300)
Tobias est professeur à l’Université d’Esslingen. Il enseigne la sécurité informatique et les réseaux. Il est également actif en tant que chercheur dans le domaine des technologies de mise en réseau du futur chez Hirschmann Automation and Control. Auparavant, il a dirigé le département de développement de logiciels embarqués (développement embarqué - fonctions) avec un accent sur la communication sans fil, la sécurité et la redondance chez Hirschmann Automation and Control, et dirigeait des projets de développement de matériel et de logiciels en tant que chef multiprojets. Tobias a participé au développement et à la normalisation du protocole Host Identity au sein de l’IETF (Internet Engineering Task Force).