Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner

Sécurisation des environnements IT-OT : les défis rencontrés par les professionnels de la sécurité IT

Lorsque les professionnels InfoSec proposent une cyber-sécurité au sein d'environnements IT et des technologies opérationnelles (OT) convergés, il est vital qu'ils comprennent la différence entre les deux et puissent recourir à un ensemble d'outils qui en offre une vision exhaustive dans une seule et même vue.

Si votre organisation dispose d'environnements IT et OT (technologie opérationnelle), il est à peu près certain qu'ils sont convergés, même sans que vous le sachiez. L'époque de l'OT en « air gap » (isolé) est révolue. Désormais, la connectivité est assurée via l'infrastructure IT, laissant aux attaquants la voie libre pour accéder à une infrastructure OT critique. Et, d'après notre expérience de travail avec des organisations réparties aux quatre coins du monde, il nous semble évident que les appareils IT représentent à présent approximativement la moitié du contenu des environnements OT, anéantissant pratiquement toute possibilité de tracer une ligne distincte entre les deux.

Par conséquent, un nombre croissant de professionnels de la sécurité IT se retrouvent à gérer le programme de sécurité pour les deux environnements, et certains ne savent même pas par où commencer. Cela vient du fait que les environnements IT et OT ont été conçus de manière totalement différente. Observez le tableau de comparaison suivant :

Comparaison entre les environnements IT et OT                          

Attribut IT OT
Contrôle Centralisé Basé sur la zone
Connectivité Any-to-any Basée sur le contexte (hiérarchique)
Priorité De haut en bas - opérations et systèmes requis pour exécuter l'activité De bas en haut - production, processus et équipement requis pour exploiter et prendre en charge
Portée Réseau étendu (WAN) Réseau local (LAN)
Posture du réseau CIA : confidentialité, intégrité, disponibilité AIC : disponibilité, intégrité, confidentialité
Réponse aux attaques Quarantaine/fermeture pour limiter les risques Opérations en activité permanente/stratégiques (ne s'arrêtent jamais, même en cas d'attaque)
Plus grande crainte Intrusion du réseau Sécurité réduite ; perte de vue/contrôle
Niveau de sécurité de la cyber-sécurité Élevée Faible
Faiblesse Contrôles de sécurité stricts Comportement non sécurisé

Source : Tenable, décembre 2021

Alors par quoi commencer ? La première étape essentielle consiste à comprendre les différences mises en lumière dans le tableau ci-dessus et à réfléchir sur la manière dont elles pourraient affecter les attributs, les croyances et, au final, les décisions en matière de sécurité.

Qu'est-ce qu'un nom après tout ?

Le mot « sécurité » prend une toute autre signification dans un environnement OT. Je serai à jamais reconnaissant envers une amie et ancienne collègue qui m'a empêché de me ridiculiser devant 1000 professionnels de l'OT alors que je démarrais dans la sécurité IT/OT. J'étais en train de revoir ma présentation avec elle avant une conférence que je m'apprêtais à livrer devant cette audience. Mon plan était de leur déclarer que les professionnels de l'OT devaient commencer à se soucier de la sécurité, voire véritablement la prioriser. Elle s'est mise à m'expliquer que l'audience OT risquait de répondre de manière négative à ce message. Et qu'ils considéraient déjà que la sécurité se situait au coeur de toute leur activité. Alors, quel était le problème ? Moi, je définissais la « sécurité » dans le contexte de mon expérience de l'IT, en d'autres termes : la cyber-sécurité. Dans l'univers OT, le mot « sécurité » signifie protection et sécurité physique. Un terme, donc, doté de significations très différentes.

Mais pourquoi les professionnels de l'IT et de l'OT considèrent-ils la « sécurité » de manière si différente ?

Dans l'IT, les données sont reines. Il devient dès lors évident que la crainte la plus importante soit qu'une brèche survienne dans le réseau. Un attaquant qui accède au réseau risque d'endommager l'intégrité des données, de les exfiltrer, voire de les verrouiller, rendant leur accès impossible par l'organisation. Par contraste, les environnements OT sont intrinsèquement plus dangereux d'un point de vue physique. La plus grande crainte serait qu'un accident se produise qui perturbe les opérations critiques et mette potentiellement en danger la sécurité des employés, ou celle de la communauté. Par conséquent, les professionnels OT sont fortement encouragés à gérer des « activités permanentes », ainsi qu'à maintenir un haut degré de sécurité, et, par extension, des contrôles de sécurité physique de l'environnement.

Des structures très différentes

Dans ce contexte, le reste du tableau devient beaucoup plus clair. Les professionnels de la sécurité IT optent pour un contrôle centralisé, en offrant une infrastructure pouvant à priori être utilisée pour permettre à n'importe quel asset ou individu d'accéder à n'importe quel autre asset, ou donnée, quel que soit leur emplacement sur le réseau. Il s'agit ici de réseaux étendus (WAN) hébergeant les systèmes et les processus requis pour exécuter l'activité.

Inversement, les environnements OT sont conçus avec à l'esprit une plus grande confidentialité et un contrôle limité. Ces environnements hautement segmentés ne permettent pas aux personnes et aux assets autorisés d'accéder à d'autres assets situés en dehors de leurs cadres. Il s'agit de réseaux locaux (LAN) qui hébergent les systèmes et les processus qui prenent en charge l'activité. La plupart de ces appareils ne sont censés communiquer qu'avec d'autres appareils de la même zone et non avec le monde extérieur.

Des points de vue divergents

Au vu de leurs topologies de réseau disparates et de la différence entre leurs définitions de la notion de sécurité, il n'est pas étonnant que les priorités des groupes de sécurité OT et IT, ainsi que leurs réaction aux attaques, soient diamétralement opposées, même au sein des mêmes organisations. Alors que les professionnels de la sécurité IT priorisent leur monde sous l'angle C-I-A (confidentialité, intégrité, disponibilité), les professionnels de l'OT adoptent une perspective totalement opposée, en priorisant la tendance A-I-C, soit disponibilité, intégrité, confidentialité. Comme indiqué plus haut, pour la sécurité IT, les données sont au cœur des préoccupations. En assurer la confidentialité et l'intégrité permet de mettre la disponibilité au premier plan. Mais pour un professionnel de la sécurité, les opérations doivent toujours être disponibles pour garantir que l'environnement s'exécute en toute fluidité et sans le moindre échec pouvant mener à des situations catastrophiques.

À quoi ces différentes priorités ressemblent-elles en action ? Dans l'éventualité d'une attaque, les professionnels de la sécurité IT mettent en quarantaine et verrouillent les systèmes affectés aussi vite que possible afin de contenir le problème et de minimiser toute fuite de données. Les professionnels de l'OT, quant à eux, opteront pour une approche totalement différente en s'efforçant de maintenir l'infrastructure critique en cours d'exécution. La seule entorse à cette stratégie étant si l'attaque provoquait un dysfonctionnement des appareils OT, et la menace d'un potentiel danger pour l'entreprise, ses employés ou la communauté environnante.

Une variété d'outils

Le plus gros défi rencontré par les professionnels de l'IT qui tentent de s'attaquer à la sécurité OT vient du fait que la plupart de leur outils de sécurité traditionnels ne fonctionnent pas dans un environnement OT. En réalité, l'outil de sécurité IT le plus basique, le scanner, peut faire crasher un réseau OT. Dès lors, vous devez absolument vous assurer de choisir un scanner qui soit éprouvé dans un environnement OT. Mais vous courez alors le risque de disposer de deux ensembles d'outils de sécurité, un pour chaque environnement. Même si cette solution permet de garantir que vous disposez des bons outils pour chaque tâche, la situation devient plus problématique, au mieux, au moment de les gérer ensemble, tout en veillant à ce que vos équipes les utilisent de manière appropriée.

Puis surviennent les véritables complications, ou comment fusionner l'ensemble des données disparates, issues des deux environnements au sein d'un même dashboard, de sorte à visualiser tous les problèmes de sécurité sur toute votre surface d'attaque. Sans cette habilité à visualiser et évaluer globalement tous les environnements sur l'étendue de votre surface d'attaque dans une solution unique et totalement intégrée, votre équipe passerait exponentiellement plus de temps à se faire une idée de la situation sécuritaire dans son ensemble. Sans compter que vous courez le risque très probable de passer à côté de problèmes de sécurité majeurs.

En conclusion

Si vous êtes responsable de la gestion du programme de sécurité d'un réseau IT/OT convergé, il est absolument essentiel de comprendre les différences et les défis uniques propres à un environnement OT. Il est tout aussi important de vous assurer d'utiliser les outils de sécurité appropriés, qui prennent en charge un environnement OT, et qui s'intègrent pleinement aux outils de sécurité IT complémentaires, afin de fournir une description complète du paysage de la sécurité de l'organisation. Ensuite, d'un point de vue humain et en termes de processus :

  • Assurez-vous que vos professionnels de la sécurité IT communiquent avec les responsables OT pour comprendre véritablement les différences inhérentes et uniques aux environnements OT.
  • Prenez le temps de bien cerner les besoins et les priorités de l'OT, et de comprendre leur importance, plutôt que de tenter de leur insuffler la philosophie propre à la sécurité IT.
  • Prenez en compte que les environnements OT ont une expérience très récente des connectivités extérieures et que les responsables OT n'en sont, de ce fait, qu'aux prémices de leur maturité en termes de sécurité.
  • Il est indispensable de conquérir les cœurs et les esprits : montrez-vous ouvert aux changements progressifs et par étapes, plutôt qu'à des chamboulements brutaux pour obtenir une solution de sécurité « idéale ».

Pour en savoir plus

Articles connexes

Êtes-vous à la merci des derniers exploits ?

Indiquez votre adresse e-mail pour recevoir les dernières alertes de Cyber Exposure.

tenable.io

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Votre version d'essai Tenable.io Vulnerability Management inclut également Tenable Lumin, Tenable.io Web Application Scanning et Tenable.cs Cloud Security.

tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Acheter Nessus Professional

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24 et 7 j/7 à une assistance par téléphone, via la communauté et via le chat.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance et une formation

Tenable.io

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Votre version d'essai Tenable.io Vulnerability Management inclut également Tenable Lumin, Tenable.io Web Application Scanning et Tenable.cs Cloud Security.

Tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Tenable.io Web Application Scanning

Profitez d'un accès complet à notre nouvelle offre Web Application Scanning conçue pour les applications modernes et s'intégrant à la plateforme Tenable.io. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Votre version d'essai Tenable Web Application Scanning inclut également Tenable.io Vulnerability Management, Tenable Lumin et Tenable.cs Cloud Security.

Acheter Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer Tenable.io Container Security

Profitez d'un accès complet à la seule offre de sécurité des conteneurs intégrée dans une plateforme de gestion des vulnérabilités. Surveillez les images de conteneur pour détecter d'éventuelles vulnérabilités, malwares ou violations des politiques. Intégrez la solution aux systèmes d'intégration et de déploiement continus (CI/CD) pour soutenir votre démarche DevOps, renforcer la sécurité et assurer la conformité aux politiques de l'entreprise.

Acheter Tenable.io Container Security

Tenable.io Container Security permet la mise en œuvre sécurisée et fluide de processus DevOps en fournissant une visibilité sur l'état de sécurité des images de conteneur, notamment en ce qui concerne les vulnérabilités, malwares et violations des politiques, par le biais d'une intégration au processus de compilation.

Essayer Tenable Lumin

Visualisez et explorez votre Cyber Exposure, suivez la réduction des risques au fil du temps et comparez-vous à vos pairs grâce à Tenable Lumin.

Votre version d'essai Tenable Lumin inclut également Tenable.io Vulnerability Management, Tenable.io Web Application Scanning et Tenable.cs Cloud Security.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous aider à obtenir une visibilité sur l'ensemble de votre entreprise et à gérer votre cyber-risque.

Essayer Tenable.cs

Bénéficiez d'un accès complet aux fonctionnalités permettant de détecter et de corriger les mauvaises configurations de l’infrastructure cloud et de visualiser les vulnérabilités en runtime. Inscrivez-vous dès maintenant pour commencer votre évaluation gratuite.

Votre version d'essai Tenable.cs Cloud Security inclut également Tenable.io Vulnerability Management, Tenable Lumin et Tenable.io Web Application Scanning.

Contactez un commercial pour acheter Tenable.cs

Contactez un commercial pour en savoir plus sur Tenable.cs Cloud Security. Vous découvrirez avec quelle facilité et rapidité vous pourrez intégrer vos comptes cloud et obtenir une visibilité accrue sur vos mauvaises configurations et vos vulnérabilités dans le cloud en quelques minutes.

Essayez Nessus Expert gratuitement

GRATUIT PENDANT 7 JOURS

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Vous utilisez déjà Nessus Professional ?
Passez à Nessus Expert gratuitement pendant 7 jours.

Achetez Nessus Expert

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Sélectionnez votre licence

Tarification promotionnelle prolongée jusqu'au 31 décembre.
Achetez une licence pluriannuelle pour économiser davantage.

Ajoutez une assistance et une formation