Nos 7 prévisions en matière de cyber-sécurité industrielle pour 2020

En 2020, nous nous attendons à voir de nouveaux vecteurs d'attaque, une interactivité OT/IT accrue et une augmentation du recours aux solutions cloud. Voici nos sept prévisions en matière de cyber-sécurité industrielle, ainsi que des recommandations pour vous préparer à l'année qui s'annonce.

Avec l'adoption de l'Internet industriel des objets (IIoT), les technologies de l'information (IT) et les technologies opérationnelles (OT) évoluent et convergent rapidement. Au fur et à mesure de leur évolution, les pirates informatiques recherchent de nouveaux vecteurs d'attaque et de nouvelles surfaces d'attaque à exploiter.

Qu'est-ce que cela signifie pour votre entreprise et pour la cyber-sécurité industrielle en 2020 ?

Découvrez ci-dessous nos sept prévisions clés concernant les défis que devra relever l'industrie cette année, ainsi que nos recommandations pour vous y préparer. Mais d'abord, examinons les changements intervenus dans le secteur qui sont à l'origine de ces nouvelles tendances.

Contexte

L'isolement de type « air gap » était autrefois suffisant pour protéger les réseaux et les appareils. Aujourd'hui, vous ne pouvez pas ignorer que vos processus critiques et industriels sont vulnérables et risquent de faire l'objet d'intrusions ou de subir des perturbations.

Le ver informatique Stuxnet a attaqué et mis à mal un système protégé par « air-gap » il y a de cela déjà 10 ans, en 2010. Depuis lors, le nombre d'attaques sur les environnements IT et OT n'a cessé d'augmenter. 

Une étude menée en 2019 par le Ponemon Institute et Tenable a révélé que 90 % des sondés disposant d'une infrastructure OT avaient subi au moins une cyberattaque IT ou OT préjudiciable au cours des deux dernières années. Et pour près de deux tiers d'entre eux, il s'agissait de deux attaques.

C'est la raison pour laquelle de nombreuses entreprises d'infrastructures industrielles et critiques investissent dans des solutions conçues pour sécuriser leur infrastructure OT en plus de leur infrastructure IT.

Au vu des défis que nous voyons se profiler à l'horizon, la majorité des entreprises qui exploitent des infrastructures et des installations industrielles critiques ont tout intérêt à mettre en place sans plus attendre des processus pour assurer la sécurité des systèmes de contrôle industriels (ICS), quel que soit leur localisation, leur taille ou leur domaine d'activité.

Nos prévisions 2020 pour l'environnement des systèmes ICS se basent sur nos observations du marché et nos interactions quotidiennes avec les professionnels dont le rôle est d'assurer la sécurité des systèmes de leur entreprise. Voici nos sept prévisions en matière de cyber-sécurité industrielle pour 2020 et nos recommandations pour aider votre entreprise à s'y préparer :

1. De nouveaux vecteurs d'attaque générés par la convergence des technologies

La convergence des environnements IT et OT, ainsi que l'adoption de l'IoT, vont s'accélérer à un rythme sans précédent en 2020. Les frontières entre ces différents environnements vont continuer à s'estomper. Ce contexte va voir émerger de nouvelles surfaces et vecteurs d'attaque que votre équipe devra surveiller et défendre.

Les systèmes OT, qui se caractérisent par un large éventail de protocoles et d'interfaces traditionnels, propriétaires et non standard, présenteront de nombreuses opportunités d'attaque et seront de plus en plus difficiles à protéger. 

Recommandation : même si vous avez placé vos systèmes de contrôle industriels en « air gap », les attaques sur les environnements OT constituent un danger bien réel. Vous ne pouvez pas gérer vos environnements OT en définissant des paramètres sans jamais les faire évoluer. La détection précoce des menaces OT va nécessiter des capacités de surveillance continue adaptées aux systèmes ICS au niveau du réseau et des appareils.

2. Les attaques OT vers IT, une réalité

Alors que les attaques latérales, de plus en plus virulentes dans les environnements IT et se propageant aux réseaux OT, ont fait la une au cours des 24 derniers mois, l'année 2020 sera marquée par l'émergence d'attaques OT vers IT.

Par exemple, nous pouvons nous attendre à des attaques qui compromettent intentionnellement les systèmes ICS dans les réseaux OT dans le but d'accéder aux réseaux et aux assets IT tels que les bases de données des clients.

Les attaquants cibleront les environnements OT, car ceux-ci ne sont généralement pas aussi bien défendus que les systèmes IT et constituent donc des cibles idéales pour ceux qui cherchent à cibler les référentiels de données informatiques.

Recommandation : créez un écosystème de confiance et de coopération entre les équipes chargées de la sécurité des environnements IT et OT et encouragez le partage d'informations pour mieux détecter ces attaques. Enfin, utilisez l'intégrité des appareils pour identifier les problèmes et stopper les attaques avant qu'elles ne se propagent sur le réseau.

3. Les maillons faibles de la sécurité OT ciblés par les attaques

Les attaquants qui cherchent à s'en prendre aux environnements les moins défendus cibleront les infrastructures OT telles que les succursales ou les sites distants des grandes entreprises.

En général, ces sites distants/de petite taille sont connectés à un réseau OT plus vaste et, dans le cas des fournisseurs d'énergie, à des réseaux électroniques régionaux. Leurs défenses sont également plus faibles, ce qui signifie qu'ils sont plus vulnérables aux attaques. Par conséquent, les attaquants chercheront à cibler un site distant, ou même un petit fournisseur d'énergie, en espérant créer une réaction en cascade.

Recommandation : pour éviter une perturbation des opérations critiques et empêcher les attaques latérales avec fuite de données dans les environnements IT, accordez autant d'importance à la surveillance et à la protection de l'infrastructure OT de vos succursales et de vos sites distants qu'à celles de vos sites principaux. Les attaquants peuvent exploiter ces sites distants pour lancer des attaques qui se propageront ensuite vers le siège ou les sites partenaires.

4. Élargissement de la définition d'« infrastructure critique »

En 2020, le concept d'infrastructure critique couvrira une réalité beaucoup plus vaste. Elle ne concernera plus uniquement les réseaux électriques et incluera plus d'environnements non traditionnels.

Les infrastructures critiques inclueront probablement désormais des secteurs tels que les systèmes de gestion des bâtiments, le transport et la logistique, les équipements de construction lourds et les chaînes logistiques de l'agro-alimentaire.

On peut également s'attendre à une plus grande reconnaissance des 16 secteurs d'infrastructures critiques identifiés par le Département de la sécurité intérieure américain. Par ailleurs, l'année 2020 étant marquée par une élection présidentielle aux États-Unis, la sécurité du système électoral ne manquera pas d'être scrutée à la loupe.

Recommandation : les infrastructures qualifiées de non critiques, trop petites ou trop isolées, qui n'étaient pas considérées auparavant comme des cibles, devront désormais être protégées et surveillées. La sécurité des environnements OT doit être envisagée partout où vous déployez un automate programmable (PLC), un système de contrôle distribué (DCS) ou un appareil électronique intelligent (IED), indépendamment de leur taille, de leur localisation ou de leur connectivité avec le monde extérieur.

5. La large adoption des « ICS-as-a-Service » basés sur le cloud

Les entreprises reconnaîtront que le cloud est un moyen fiable d'assurer la sécurité des environnements OT pour les sites où un déploiement physique n'est pas pratique ou réalisable.

La sécurité OT fournie par le cloud suit le même parcours objection/acceptation qu'ont connu d'autres briques de l'infrastructure technologique auparavant : la CRM sur site contre les outils SaaS basés sur le cloud comme Salesforce, les antivirus locaux contre les antivirus en ligne et, plus récemment, les solutions EDR (Endpoint Detection and Response) basées sur l'hôte contre celles basés sur le cloud.

Recommandation : envisagez de déployer des solutions cloud de sécurité OT pour les sites distants ou distribués qui ne disposent pas actuellement de contrôles aussi rigoureux que ceux de vos installations principales.

6. L'IT : un plus grand rôle à jouer dans la sécurité collaborative

En 2020, la plupart des entreprises industrielles comprendront que la sécurité doit être une responsabilité partagée entre les équipes IT et les équipes OT.

Avec l'avènement des menaces de sécurité internes et externes et la prise de conscience qui en découle, la collaboration entre les équipes IT et OT s'est renforcée au cours des 24 derniers mois. Les équipes OT ont toujours été opposées à l'intervention des équipes IT sur les réseaux ICS. Mais, nous prévoyons qu'en 2020, les équipes IT, fortes de leur expérience, seront celles qui prendront les décisions en matière de sécurité OT.

Les équipes IT établiront des directives pour les projets de sécurité des environnements OT, avec le soutien et la contribution des équipes OT.

Recommandation : l'approche de sécurité IT diffère considérablement de l'approche OT en termes de priorités et de problématiques à résoudre. En conséquence, les entreprises devront fusionner les deux approches. Adoptez les meilleures pratiques des protocoles de sécurité IT et OT pour développer une nouvelle architecture optimisée pour plus de visibilité, de contrôle et de sécurité.

7. La pénurie de compétences en sécurité va s'étendre au secteur OT

D'ici à 2022, (ISC)2 prévoit que 1,8 million de postes dans le domaine de la sécurité OT resteront non pourvus et viendront s'ajouter au plus de 4 millions non pourvus actuellement pour la sécurité IT au niveau mondial.

Au cours de l'année à venir, nous pensons que la pénurie de personnel qualifié dans les domaines de l'IT et de l'OT va engendrer de nouveaux risques. En effet, les salariés en poste d'une entreprise n'ont peut-être pas les compétences requises pour s'occuper à la fois de la sécurité IT et OT, et les candidats qualifiés pour remplir ces nouveaux rôles se feront rares.

Recommandation : identifiez vos lacunes actuelles. Ensuite, évaluez rigoureusement les compétences de vos équipes OT chargées des systèmes de contrôle et d'acquisition de données (SCADA) et de vos équipes IT. Mettez en place des programmes de formation croisée ciblés pour combler les lacunes de vos équipes. Profitez également de cette situation pour recruter de jeunes diplômés ou des candidats moins expérimentés et les former dès le premier jour aux pratiques de sécurité IT/OT.

Pour en savoir plus

Visionnez le webinaire à la demande : Tenable et Indegy : la première plateforme unifiée et basée sur le risque pour la sécurité IT et OT.