Pourquoi la convergence IT/OT signifie plus de ressources pour ces deux secteurs
Cours d'histoire
Nombre d'entre nous connaissent la vidéo tristement célèbre de l'attaque sur la centrale nucléaire ukrainienne en décembre 2015 qui a entraîné une panne d'électricité touchant deux cent cinquante mille personnes dans la région. Tandis que les assaillants prenaient le contrôle à distance de ces centrales, les opérateurs des systèmes de l'usine n'ont pas pu faire beaucoup plus qu'enregistrer avec leurs téléphones portables ce qu'ils voyaient sur les écrans de leurs PC, comme un témoignage pour la postérité. À présent, chacun d'entre nous peut aller sur YouTube et regarder cette vidéo en partageant l'horreur des opérateurs au fur et à mesure que le curseur se déplace sur leur écran, cliquant sur des boutons et déclenchant des disjoncteurs dans diverses sous-stations électriques. Ce qui est intéressant de noter, c'est que, alors qu'ils constataient, impuissants, l'activité de leur écran qui amenait inévitablement la centrale électrique vers le chaos, nous entendons un opérateur dire à un autre : « Nous devrions appeler les responsables informatiques. » Ce à quoi son collègue s'empresse de répondre : « Et si c'était les responsables informatiques qui faisaient tout ça ? »
Je voudrais adresser mes félicitations à ce deux messieurs. Au premier, parce que, dans le feu de l'action, il a songé aux ressources et à l'expertise de ses collègues de l'informatique ; et au deuxième, parce que, de manière si évidente et si dramatique, il a souligné un problème qui mérite toute notre attention aujourd'hui : l'ambivalence et le manque de compréhension qui peuvent exister entre les deux domaines OT et IT.
Une nouvelle ère de coopération
Alors que le secteur travaille (avec plus ou moins de succès) à créer un nouveau monde de partenariat et de convergence IT/OT, avec les limites autrefois distinctes séparant les rôles et les responsabilités de chaque domaine qui deviennent de plus ne plus floues, il est bon de garder les commentaires de ces opérateurs ukrainiens à l'esprit. S'il y avait eu une meilleure coopération entre les techniciens OT et IT dans l'usine au cours des mois qui ont précédé cette attaque, est-ce que celle-ci aurait pu être totalement évitée ou au moins atténuée ?
Si cela avait été ou non le cas, il y a, malheureusement, de plus en plus d'occasions de se poser cette question. Le nombre d'attaques informatiques contre les systèmes de contrôle industriel n'a fait que croître ; très récemment, les systèmes instrumentés de sécurité industrielle dans des installations gazières et pétrolières ont été la cible de cybercriminels. Il s'agit d'une augmentation très préoccupante des cas de malveillance qui visent, en plus des équipements, la vie humaine. Un autre signe alarmant des éventuelles choses qui pourraient survenir se rapporte à une alerte technique récemment envoyée par le département américain de la sécurité intérieure, l'ICS-CERT (Industrial Control Systems Cyber Emergency Response Team). L'alerte du CERT indiquait que le schéma piraté d'une turbine de 8,8 mégawatts appartenant à une centrale électrique américaine avait été récupéré dans un serveur de contrôle et de commandes russe. Imaginer ce que cela aurait pu impliquer est un exercice terriblement effrayant. (On the positive side, being forewarned is the first step towards being forearmed. If you're not yet subscribing to outstanding alerts, advisories, reports and other invaluable resources from ICS-CERT, please consider doing so.)
Fin 2017, le groupe Tripwire de Belden a encore une fois collaboré avec l'organisation SANS Institute à l'occasion de leur étude annuelle concernant l'ICS et les professionnels techniques des opérations industrielles afin d'avoir un petit aperçu. Voici des résultats alarmants : près de 70 % des personnes interrogées-acteurs du secteur pensent que la menace actuelle contre leurs systèmes est élevée ou grave/préoccupante. Leur inquiétude majeure, indiquent-ils, concerne les appareils qui sont incapables de se protéger contre le fait d'être ajoutés au réseau. L'un des problèmes les plus importants concernant les attaques est le ransonware dont l'utilisation explose en atteignant des niveaux qui ont presque doublé d'une année sur l'autre. Voilà la situation dans laquelle nous nous trouvons aujourd'hui.
Comment faire basculer l'expertise du bon côté
Tandis que chez Tripwire et Belden, nous avons de nombreux clients OT avec des ressources en cybersécurité relativement sophistiquées par rapport à la grande majorité des entreprises, une importante proportion de l'expertise en cybersécurité reste dans le domaine IT. Après tout, ils s'en occupent depuis bien plus longtemps que leurs collègues OT et ont développé leurs compétences ainsi que l'infrastructure de l'entreprise sur des dizaines d'années. Et ce sont de bonnes nouvelles ; cela signifie que le domaine OT n'a pas besoin de réinventer la roue et de créer une nouvelle organisation en partant de zéro. Au lieu de cela, ils ont simplement besoin de combler le fossé entre les domaines IT et OT afin de développer leur capacité à éviter les menaces de plus en plus importantes et de continuer à renforcer leurs solutions de cybersécurité.
Aussi, le domaine de l'informatique a de nombreuses choses à apprendre de la part de l'OT. L'OT a approfondi son expertise dans l'optimisation du temps de disponibilité et la résilience, ce qui peut sans aucun doute trouver des applications dans d'autres domaines de l'entreprise, comme c'est aussi le cas pour leur travail acharné sur les questions de sécurité. La sécurité, bien sûr, n'avait jamais été jusque-là une priorité absolue dans le monde de l'informatique, mais c'est une tendance qui va encore se renforcer au fur et à mesure que les limites entre l'IT et l'OT se troublent inexorablement.
Alors dans quelle mesure les professionnels de l'IT et de l'OT peuvent faciliter cette transition ? Dans l'idéal, les forces motrices devraient venir de l'administration générale car c'est elle qui crée la structure de l'entreprise et qui impulse les perspectives dans sa politique commune et ses « références » en matière de procédures ainsi que dans ses instructions données à son personnel. Mais de manière plus informelle, chacun d'entre nous peut apprendre à connaître les collègues de l'autre domaine et les rencontrer pour leur prodiguer des conseils pertinents, sans jamais oublier qu'il y a un facteur humain vital dans la convergence IT/OT en plus d'un facteur technologique évident. Il faudrait peut-être demander aux responsables OT et IT d'organiser des réunions conjointes pour travailler tous ensemble sur des objectifs communs. Si nécessaire, il faudrait peut-être même demander d'envoyer un collègue volant ; par exemple, un expert en cybersécurité prêté à plein temps ou à temps partiel chez ses collègues OT pour les aider à régler certaines problématiques. Bien entendu, toutes les entreprises ont leurs spécificités, mais la convergence OT/IT sera certainement considérée comme un tournant majeur dans la lutte contre la cybercriminalité et les autres attaques technologiques afin de promouvoir la réussite des entreprises. Être un leader proactif de la première heure dans ce contexte précis semble en général être une bonne chose.
Pour avoir un aperçu des autres questions de cybersécurité et problématiques des entreprises, consultez notre webinaire sur demande Défis et listes de contrôle : défendre les avantages informatiques des systèmes de contrôle.
Chez Belden et Tripwire, nous travaillons avec de nombreuses entreprises dans des secteurs très variés à stimuler cette convergence IT/OT à différents niveaux. Nous pourrons certainement vous apporter un point de vue intéressant concernant des problématiques auxquelles vous pouvez vous confronter. Contactez-nous et nous nous ferons un plaisir de dialoguer avec vous.