Cybersécurité industrielle
Obstacles à l'adoption du Cloud par les OT/ICS
02.22.2022
Le travail à distance est devenu la norme pendant la pandémie. Le travail à distance a créé un besoin accru de solutions en cloud dans les environnements OT/ICS. Cependant, cette transition vers l'informatique dématérialisée s'accompagne de plusieurs obstacles en ce qui concerne la cybersécurité.
Belden a interrogé un groupe d'experts en sécurité sur certains des principaux obstacles auxquels sont confrontés les OT/ICS, pour mieux comprendre comment ces obstacles peuvent être surmontés. Leurs réponses sont présentées ci-dessous.
Tobias Heer | Architecte en chef en R&D chez Belden
Il est indéniable que les services en cloud joueront un rôle de plus en plus important dans les futurs réseaux industriels. Cependant, l'intégration sécurisée d'un service en cloud ou même de plusieurs services en cloud dans un environnement OT peut engendrer divers défis pour l'architecture du réseau et le concept de sécurité. Ce qui est particulièrement délicat, c'est que la connectivité du cloud est souvent fournie avec des appareils et des systèmes IoT, ce qui lui permet de se dissimuler dans les réseaux de production.
Plus le niveau dans lequel les services en cloud sont intégrés est élevé (imaginez les niveaux 0 à 2 du modèle Purdue, c'est-à-dire les cellules de production), plus il faut adapter des mécanismes de sécurité bien établis et efficaces. Le concept de zones et de conduits, qui segmente un réseau industriel en réseaux fins et largement isolés, doit être spécialement adapté pour ouvrir la voie aux dispositifs sur le champ afin qu'ils puissent communiquer avec un cloud local ou mondial. Dès lors, les politiques de pare-feu ainsi que les politiques de surveillance doivent être réexaminées ou nouvellement établies.
Afin de contrer la possibilité pour les attaquants et les logiciels malveillants de se propager dans les couches inférieures d'un réseau industriel, la connectivité accrue aux réseaux informatiques, voire à l'Internet, exige également une administration actualisée des correctifs et des vulnérabilités. Il en va de même pour les systèmes de détection des intrusions et les systèmes SIEM. Les entreprises qui ont déjà mis en place un dispositif de sécurité approprié ont un avantage sur ce plan.
Enfin, il convient d'établir un processus bien défini et bien documenté pour intégrer les services en cloud et les dispositifs IoT qui en ont besoin. Si des connexions au cloud mal gérées apparaissent en divers endroits d'une usine, il est pratiquement impossible de conserver des informations sûres et à jour. Assurer une surveillance, une administration des vulnérabilités et des correctifs ainsi qu'une réponse aux incidents appropriées est voué à l'échec sans une bonne vue d'ensemble des services cloud autorisés et réellement utilisés et des appareils IoT industriels qui les utilisent. Le cloud sera l'avenir de nombreuses fonctions innovantes dans les réseaux IoT modernes. Cependant, cela a pour prix une réduction du contrôle et de la segmentation qui doit être compensée par d'autres mesures de sécurité.
Ben Jackman | Directeur des comptes stratégiques chez Tripwire
Le principal obstacle que j'évoquerais dans un premier temps est le modèle Purdue. En fait, certains clients sont encore persuadés que leur ICS est « aérien », ce qui, nous le savons, est un mythe dans 99,9 % des cas. Le modèle Purdue place l'environnement ICS/OT à plusieurs niveaux de pare-feu et de réseaux loin de l'Internet public (c'est-à-dire des services en cloud).
Le deuxième obstacle est la perception que le cloud n'est pas sûr ou qu'il ouvre votre OT/ICS à davantage de vulnérabilités de sécurité et augmente votre surface d'attaque. Des technologies telles que le SDN permettent d'opter pour une architecture convergente plutôt que pour le modèle Purdue.
Argiro Birba | Directeur principal, Assurance cybersécurité chez ADACOM Cybersecurity
Le lancement de solutions en cloud pour les environnements OT/ICS est considéré comme un mouvement révolutionnaire vers leur administration entièrement à distance. Au cours de la pandémie en particulier, la gestion des systèmes industriels sur site s'est avérée être un défi et un grand nombre d'organisations se sont lancées et ont adopté lesdites solutions, afin de pouvoir gérer leurs systèmes depuis la sécurité de leur domicile. La transition au cloud peut donner l'impression que nous sommes sur le point d'ouvrir une boîte de Pandore qui offrira une surface d'attaque supplémentaire que les utilisateurs malveillants pourront identifier et exploiter.
Une recherche publiée en juillet dernier par la Team82 de Claroty analyse comment un accès non autorisé aux systèmes d'administration dans le cloud peut compromettre totalement l'infrastructure OT/ICS. Il est particulièrement intéressant de souligner que l'accès initial peut maintenant être obtenu par des techniques d'ingénierie sociale, une catégorie d'attaque qui est introduite après le déploiement de services basés sur le cloud dans des environnements OT/ICS autrement protégés.
Par ailleurs, un certain nombre de CVE ont été attribués à des vulnérabilités découvertes dans les plateformes d'administration à distance basées sur le cloud, la plus critique étant celle de l'exécution de commandes à distance. De nombreux autres cas de vulnérabilités critiques ont été publiés et le seront à l'avenir, ce qui soulève des questions quant au risque pour la sécurité des données et la conformité aux réglementations.
Des mesures appropriées doivent être prises, tant par les fournisseurs que par les clients, car ce phénomène d'interaction et d'exploitation de nouvelles vulnérabilités dans les environnements OT/ICS gérés par des services en cloud n'est pas près de s'arrêter. Il est conseillé aux fournisseurs d'engendrer un programme d'administration des correctifs, afin que les correctifs soient rapidement fournis aux clients, tandis que les clients devraient revoir leurs politiques de sécurité et commencer à prendre sérieusement en compte la sécurité des environnements OT/ICS (aussi sérieusement que la fonctionnalité et la disponibilité).
Patrick C. Miller | PDG et propriétaire de Ampere Industrial Security
Les options immédiates de cloud computing concernent réellement les systèmes d'administration et les environnements d'exploitation agrégés, étant donné que les points d'interface cyberphysiques (détection du point final, équipement opérationnel et éventuellement de télémétrie de première ligne) devront être sur place. Il est également possible de stocker et d'analyser des données à grande échelle ou à long terme, car tout le monde numérise de plus en plus son environnement.
Une plus grande numérisation entraînera des avantages opérationnels et générera des revenus supplémentaires grâce aux produits de données analytiques créés à partir de leurs données brutes. Ces plateformes peuvent être très coûteuses à entretenir ainsi qu'en terme de licence. Il peut être plus rentable d'acheter une plateforme d'administration partagée ou virtualisée en tant que service, pour certaines des plus petites opérations. Dans le cas d'opérations plus importantes, il peut être plus rentable de payer pour l'éventuelle capacité illimitée des ressources disponibles dans le cloud.
Les défis à relever pour choisir des solutions en cloud sont conceptuellement les mêmes que pour les solutions sur site : sécurité et fiabilité. La différence est que vous n'avez plus le contrôle direct de ces facteurs de risque. Des assurances peuvent être données par le biais de contrats, de certifications, de normes, d'audits, etc., mais elles restent essentiellement hors de votre contrôle direct.
La plupart des environnements ICS et OT sont par ailleurs des infrastructures critiques. Nombre de ces infrastructures critiques sont réglementées de diverses manières, éventuellement au niveau national, régional ou local, et ce dans le monde entier. Nombre de ces réglementations sont en train de rattraper (ou n'ont pas encore rattrapé) les options de cloud pour ces technologies, ce qui peut restreindre considérablement la possibilité d'utiliser des solutions de cloud. Certaines fonctions ICS/OT dans le cloud sont inévitables, mais la sensibilité des systèmes et des données, en plus des problèmes de disponibilité (latence comprise), le tout dans un dédale réglementaire complexe, peut signifier que les progrès sont lents.
Jason Louviere | Chef de produit technique principal chez Tripwire
La crainte et l'incertitude sont les principaux obstacles à l'adoption du cloud pour les environnements OT/ICS. La crainte vient du fait qu'ils doivent disposer d'un type de connexion cohérente au monde extérieur pour leurs environnements industriels, même si les ports du pare-feu ne sont ouverts qu'aux sorties. Je pense que cette crainte peut être résolue en introduisant des outils comme Prosoft de Belden, qui permet d'établir un tunnel crypté entre les réseaux industriels et des applications comme Tripwire Anywhere.
En ce qui concerne l'incertitude, celle-ci est plus difficile à surmonter et est liée à la sécurité, mais pas de la manière dont nous le pensons. La plupart des installations industrielles de moyenne et grande taille, qu'elles soient agricoles, chimiques ou pour la fabrication, fonctionnent généralement 24 heures sur 24. Pourtant, l'accès à ces réseaux et systèmes est fortement limité. L'idée que le personnel ou le système d'une autre entreprise puisse avoir un accès permanent à ces processus industriels et communiquer avec eux, en particulier à distance, entraîne la possibilité que le processus soit affecté par inadvertance et même arrêté par des variables qu'ils ne contrôlent pas. Ils peuvent être arrêtés soit en saturant la largeur de bande de leur réseau par des analyses et des transferts de données, soit en arrêtant accidentellement un processus système, ce qui peut coûter des centaines de milliers ou des millions de dollars pour redémarrer et comptabiliser les produits perdus.
Des entreprises comme Belden et Tripwire disposent de la technologie nécessaire pour sécuriser les transactions de données et peuvent limiter la quantité de largeur de bande et l'impact des ressources utilisées dans ces transactions techniques. Nous transmettons cette capacité au client et lui apportons la preuve que notre produit ne risque pas d'affecter ses systèmes industriels, alors que nous contribuons à les protéger. Je pense que ce sera l'obstacle le plus difficile à surmonter, en particulier pour les clients de petite et moyenne taille.
Markus Bloem | Ingénieur commercial industriel chez Tripwire
Avant tout, l'informatique dématérialisée est devenue plus attrayante pour le monde industriel. De nombreuses entreprises qui se lancent dans le cloud doivent choisir entre une stratégie cloud unique et une stratégie multicloud. Un cloud unique signifie un seul fournisseur et multicloud signifie plusieurs fournisseurs. Par conséquent, il est possible de ne pas être lié à un seul fournisseur (Vendor-Lock-in).
Les arguments qui poussent les entreprises à utiliser le cloud sont les suivants : économiser de l'argent, externaliser et avoir plus de flexibilité dans leur travail. La sécurité est également un moteur et un obstacle à l'adoption du cloud. La sécurité du cloud comprend les données et la confidentialité, la conformité et la perte de données, ou une attaque via les vulnérabilités du cloud. La plupart des entreprises craignent les attaques et les formes généralisées d'espionnage économique et industriel.
Les entreprises manquent souvent de ressources et de savoir-faire en matière de protection des données et de directives de conformité, et ne veulent donc pas prendre de risques dans ce domaine. De plus, l'importance croissante accordée aux normes internationales telles que ISO 27001/CEI 62443 progresse, ce qui signifie que les entreprises doivent suivre un grand nombre de réglementations et évaluer leur environnement.
Tim Erlin | VP de la stratégie chez Tripwire
Nous rendons un mauvais service à l'industrie lorsque nous la réduisons à un seul groupe et essayons de généraliser, car il existe de nombreux types d'organisations industrielles. Les différences deviennent rapidement évidentes si l'on prend quelques exemples, tels qu'une compagnie d'électricité, une usine de fabrication et une installation de traitement des eaux. Bien qu'il existe des différences opérationnelles évidentes, essayons de nous concentrer sur la question de l'adoption du cloud. Chacun de ces types d'organisations dispose bien sûr d'environnements OT et IT, et dans la plupart des cas, leurs environnements IT ne sont pas limités par l'adoption du cloud.
Pour les compagnies d'électricité, la restriction la plus importante et ayant le plus d'impact provient de la norme CIP (Critical Infrastructure Protection) du NERC. Très simplement, la NERC CIP rend essentiellement impossible l'adoption de services en cloud dans leurs environnements OT. Si vous êtes dans le monde de la NERC CIP, il y a une chance que vous ayez répondu à cette dernière affirmation avec incrédulité. Oui, il existe des cas où il n'est pas littéralement impossible d'adopter des services en cloud, mais la combinaison de la charge de l'audit, du manque d'exemples existants d'utilisation du cloud dans des environnements de services publics et du manque de services en cloud conçus pour les services publics d'électricité, rend la chose essentiellement impossible.
Pour une usine de fabrication, les obstacles sont beaucoup moins nombreux. L'industrie de la fabrication étant plus souvent motivée par le profit et l'efficacité, les services basés sur le cloud computing disposent d'une base solide pour plaider en faveur de leur adoption. Un service en cloud a de bonnes chances d'être adopté si cela permet d'augmenter le rendement, de minimiser les interruptions de service ou d'avoir un impact positif sur la production. Cela ne signifie pas qu'il n'y a pas d'obstacles organisationnels à surmonter, mais simplement qu'il est plus facile de les surmonter.
Pour finir, nous avons tous pu observer de plus près la technologie employée dans les installations de traitement de l'eau lorsqu'une alerte a été déclenchée à Oldsmare, en Floride, où un pirate a failli modifier à distance les réglages de traitement de l'eau. Dans ces cas, les installations ne sont pas vraiment prêtes pour l'adoption du cloud et, franchement, le secteur n'a pas réellement fourni de produits convaincants. Le traitement de l'eau et des eaux usées ne figure pas souvent en tête de liste des clients cibles des entreprises technologiques, alors que ce secteur fait incontestablement partie de nos infrastructures essentielles.
Ce ne sont là que trois exemples d'organisations industrielles, mais il existe de nombreux autres sous-segments qui ont leurs propres défis et obstacles à surmonter. L'adoption du cloud est globalement inévitable, mais elle se fera à des rythmes différents selon les organisations industrielles.
Si vous souhaitez en savoir plus sur les avantages potentiels de l'adoption du cloud dans l'espace OT/ICS, cliquez ici.