Les risques de la convergence IT et OT

By Giovanni Prinetti

Les mondes des technologies de l'information (TI) et des technologies d'exploitation (OT) ont été séparés pendant de nombreuses années. Les réseaux informatiques sont utilisés exclusivement pour l'interconnexion d'ordinateurs, de centres de données et de réseaux publics, tandis que les réseaux opérationnels interconnectent généralement les machines de production industrielle.

Cette séparation "hermétique" a largement permis d'isoler les réseaux OT et de les mettre à l'abri des problèmes causés par les cyberattaques qui touchent les réseaux informatiques, mais au prix d'un manque de synergies entre les deux mondes.

Toutefois, ces dernières années, on a assisté à un mouvement de convergence des réseaux IT et OT vers une infrastructure physique unique basée sur le protocole IP. Cette tendance a permis aux systèmes de production de collaborer avec d'autres fonctions de l'entreprise (ventes, marketing, achats, etc.). Bien que cela entraîne une réduction des coûts et des possibilités d'accroître la souplesse de l'entreprise, la convergence a exposé les réseaux OT à des cyber-attaques, avec des risques économiques accrus pour les entreprises.

Une attaque qui touche une zone de bureaux peut causer des dommages importants, mais les sauvegardes et les systèmes de reprise après sinistre peuvent constituer des mesures d'atténuation efficaces. En revanche, les attaques qui touchent les lignes de production ou les infrastructures critiques causent des dommages immédiats, peuvent s'étendre rapidement et ne sont pas toujours faciles à réparer.

Les sources des cyber-attaques

Le premier aspect à prendre en compte lors de l'élaboration d'un système défensif est la source des attaques. Nous savons que la plupart des cyberattaques proviennent de l'internet. Comme chaque réseau d'entreprise se connecte au réseau public, cela ouvre la porte à d'innombrables tentatives d'attaques.

Les systèmes de défense conventionnels basés sur les technologies de l'information protègent la frontière entre les réseaux privés et publics. Par conséquent, l'approche habituelle consiste à insérer un pare-feu, de préférence avec des capacités UTM (Unified Threat Management), pour empêcher les menaces de franchir la frontière et d'infecter l'intérieur du réseau.

Local virus infection too strong for the firewall at the edge of the network

Diagramme 1 : Le pare-feu à la frontière du réseau étendu ne peut pas protéger contre les infections locales et les menaces latérales.

Cependant, d'autres limites du réseau peuvent également constituer des surfaces d'attaque. Ces limites sont souvent moins bien protégées et peuvent exposer le réseau à des risques inutiles. Par exemple, les réseaux sans fil peuvent être vulnérables, et si un acteur malveillant a un accès physique à un réseau, chaque port de chaque commutateur de réseau représente un point d'attaque potentiel.

Dans un réseau OT, tout appareil connecté, comme un capteur IoT ou une caméra IP, peut devenir un cheval de Troie capable d'attaquer le réseau de l'intérieur. Par exemple, remplacer un capteur ou une caméra à distance par un ordinateur en usurpant l'adresse MAC du capteur est un moyen évident d'essayer d'accéder au réseau de production.

Le principal problème des cyberattaques menées depuis l'intérieur du réseau est qu'elles se déplacent latéralement (d'un appareil à l'autre), ne rencontrant le pare-feu que lorsqu'elles communiquent avec leur serveur de commande et de contrôle sur l'internet. Cela rend les attaques internes beaucoup plus dangereuses, car elles risquent de se propager sur le réseau local pendant des heures, voire des jours, sans que le pare-feu ne puisse les détecter ou les intercepter.

Des architectures qui minimisent les risques

Il existe des architectures de sécurité qui dépassent les capacités d'un simple pare-feu de frontière Internet pour accroître la protection du réseau, même contre les attaques internes. Deux architectures possibles peuvent améliorer la protection, mais elles sont généralement peu pratiques pour des raisons de coût ou de performance :

  1. Utiliser un seul pare-feu très puissant à travers lequel tout le trafic du réseau est redirigé.
  2. Diviser le réseau en sous-réseaux et placer un pare-feu dédié pour protéger chaque sous-réseau.
Cyber attack on an added in-line firewalls, IT-based network

Diagramme 2 : Les pare-feu en ligne avec les commutateurs peuvent analyser l'ensemble du trafic, mais ils augmentent le temps de latence et sont coûteux.

Le temps de réponse est essentiel

Jusqu'à présent, nous avons discuté des moyens de prévenir une attaque, mais nous devons également envisager la meilleure réponse au cas où une attaque réussirait à infecter un appareil connecté.

En fonction de l'architecture de sécurité mise en œuvre, il peut s'écouler un certain temps avant que le pare-feu ne détecte l'attaque. En effet, les pare-feu empêchent les attaques de franchir une frontière, mais ne peuvent rien faire pour empêcher une menace de se propager latéralement.

Dans le scénario classique, lorsqu'une attaque est détectée, le pare-feu informe le responsable informatique, qui doit alors agir rapidement pour éviter d'autres dommages, mais ce n'est pas toujours le cas.

Les actions requises pour identifier la source, remédier au problème et remettre les appareils dans un état sûr sont du ressort du groupe informatique et sont donc liées aux temps de réponse de la réaction humaine. En outre. Chaque fois que des personnes doivent réagir sous pression à une situation qui évolue rapidement, il y a un risque d'erreur humaine. Souvent, ces erreurs peuvent entraîner des retards et des dommages supplémentaires ou laisser des vulnérabilités non détectées qui exposent l'entreprise à davantage de risques à l'avenir.

Cependant, le temps de réponse peut varier en fonction d'une multitude de facteurs : la complexité du réseau, l'expérience du groupe informatique, la présence ou la disponibilité du personnel dans le bureau au moment de la détection, la capacité à détecter l'attaque et le temps nécessaire pour contrecarrer l'attaque et prévenir d'autres dommages. Les cyberattaques sont souvent lancées le soir ou le week-end, lorsque l'équipe informatique n'est pas présente ou est plus lente à réagir.

Le préjudice subi par l'entreprise est directement proportionnel au temps nécessaire pour remettre le réseau en état. Par conséquent, plus le temps passe, plus les effets se font sentir et plus les dommages économiques subis par l'entreprise sont importants.

Il faut parfois des jours, voire des semaines, pour identifier la source d'une attaque et remédier à la situation, ce qui peut être l'effet le plus préjudiciable d'une cyberattaque. Outre l'impact économique, l'atteinte à la réputation, aux relations d'affaires et, dans le cas d'infrastructures critiques, le risque pour la vie humaine peuvent être graves.

Automatisation pour une réponse immédiate

La solution consiste à réduire autant que possible le temps qui s'écoule entre la détection de l'attaque et le fonctionnement en toute sécurité. Cela signifie qu'il faut s'appuyer sur des réponses automatisées qui permettent au réseau de se défendre lui-même et d'éviter les retards typiques de l'intervention humaine. En d'autres termes, nous créons un "réseau d'autodéfense".

Pour qu'un réseau d'autodéfense puisse réagir de manière autonome, tous les éléments concernés doivent fonctionner ensemble. Les principales exigences d'un tel système sont donc les suivantes :

  • Un système de détection efficace basé sur une approche multidisciplinaire dans laquelle les pare-feu avec des outils intégrés basés sur l'IA peuvent détecter toutes les menaces, y compris les attaques "zero-day" non reconnues.
  • Un adaptateur intelligent capable d'interpréter les alertes du système de détection et de décider comment réagir. AMF-Sec d'Allied Telesis s'intègre à la plupart des pare-feu et peut bloquer le port câblé ou sans fil auquel l'appareil est connecté, rediriger le trafic vers un VLAN sûr ou alerter l'administrateur.
  • Un réseau programmable qui reçoit des instructions de l'adaptateur et les met en œuvre immédiatement. Les instructions peuvent utiliser des protocoles standard tels que OpenFlow, qui nécessitent un développement personnalisé, ou une solution d'automatisation de réseau prête à l'emploi, telle que l'Autonomous Management Framework (AMF), qui fonctionne de manière transparente avec AMF-Sec.

Le diagramme ci-dessous montre comment ces composants se combinent pour détecter et isoler immédiatement les dispositifs compromis, en minimisant l'impact sur le reste du réseau et sur l'entreprise.

Cyber attack solution using AMF-Sec in an IT-based network

Diagramme 3 : Le pare-feu "monobras" analyse une copie du trafic du commutateur et alerte l'AMF-Sec en cas de détection d'une menace.

Cette solution est efficace parce que les commutateurs du réseau envoient une copie de leur trafic au pare-feu pour qu'il l'inspecte, ce qui résout plusieurs problèmes posés par d'autres conceptions :

  1. Comme le pare-feu inspecte tout le trafic provenant des commutateurs, il peut détecter les menaces qui se déplacent latéralement d'un appareil à l'autre.
  2. Le pare-feu n'introduit aucune latence puisqu'il inspecte une copie du trafic, de sorte que les performances du réseau ne sont pas affectées.
  3. Même lorsque des sous-réseaux sont utilisés pour la sécurité, un seul pare-feu peut être utilisé pour une solution plus pratique et plus rentable.

Se préparer et réagir rapidement

En matière de cybersécurité, la prévention est nécessaire, mais il est toujours possible qu'une attaque contourne nos défenses. Il faut donc être prêt à réagir rapidement à toute situation grâce à des systèmes automatisés qui n'introduisent pas de retards. Et évitez autant que possible les interventions manuelles, car les retards et les erreurs peuvent entraîner des dommages et des coûts supplémentaires.

Un système automatisé intelligent qui coordonne les réactions et les interventions est la seule solution pour créer un réseau d'autodéfense capable de se protéger immédiatement et indépendamment de l'intervention humaine.

Vous pourriez aussi aimer...

Gestion intelligente des actifs : Surfer sur la vague de la maintenance prédictive

Les opérations de maintenance et de réparation (MRO) comptent parmi les activités les plus...

L'importance de la sécurité pour l'informatique en périphérie

Cet article décrit le besoin de sécurité dans les applications informatiques de pointe et propose le...

En relation

Automated Cybersecurity Solution Protects School Network

AMF-Sec cybersecurity provides cutting-edge endpoint security and protection from insider threats for large vocational high school in Taiwan.

Vidéo : Réseau autodéfensif

Un réseau autodéfensif permet de se protéger contre les menaces internes, que ce soit sur la partie filaire ou sans fil, en mettant automatiquement en quarantaine les périphériques suspects.

A Scalable Automation System for Large Steel Manufacturer

Allied Telesis delivers a network automation solution to help steelmaker manage its large-scale operational network without increasing costs.