Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Rechercher Ressource - BlogRessource - WebinaireRessource - RapportRessource - Événementicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner
  • Twitter
  • Facebook
  • LinkedIn

Les implications de la directive sur les gazoducs 2021-1 de DHS-TSA

Les implications de la directive sur les gazoducs 2021-1 de DHS-TSA

Le Département de la Sécurité intérieure des États-Unis a publié des directives clés pour les opérations pétrolières et gazières à la suite des récentes cyber-menaces. Voici trois façons pratiques de bloquer les chemins d'attaque dans votre infrastructure OT. 

L'industrie du gaz et du pétrole a largement recours à l'automatisation pour un grand nombre d'opérations différentes. La pléthore d'opérations nécessaire pour trouver, extraire, raffiner, mélanger, collaborer et livrer du pétrole et du gaz repose sur l'infrastructure des technologies opérationnelles (OT).

Les récentes perturbations survenues dans les environnements OT d'infrastructures critiques, notamment l'incident de Colonial Pipeline, ont souligné la vulnérabilité des infrastructures critiques aux vulnérabilités, aux menaces et aux pannes potentielles liées à la cyber-sécurité. 

Parmi les autres attaques perpétrées contre le secteur pétrolier et gazier, signalons les événements suivants :

  • Février 2020 : une cyber-attaque est lancée contre un site de gaz naturel, chiffrant simultanément les réseaux IT et OT, verrouillant l'accès à l'IHM (interface homme-machine), aux historiens opérationnels des données et aux serveurs d'interrogation. Le pipeline est contraint de fermer pendant deux jours.
  • Décembre 2018 : une entreprise italienne de l'industrie pétrolière et gazière est victime d'une cyber-attaque qui frappe ses serveurs basés au Moyen-Orient, en Inde, en Écosse et en Italie.

  • Avril 2018 : une cyber-attaque sur un réseau 
 de données partagé aux États-Unis contraint quatre des opérateurs de gazoducs du pays à interrompre temporairement les communications informatiques avec ses clients.

  • Août 2017 : un site de pétrole et de gaz naturel en Arabie Saoudite a été fermé par le groupe de pirates Xenotime.


La directive sur les gazoducs 2021-1 de DHS-TSA

Le 28 mai 2021, le Département de la Sécurité intérieure (DHS) des États-Unis et la Transportation Security Administration (TSA) ont publié la directive de sécurité 2021-1 spécifiquement conçue pour les opérations au niveau des gazoducs. Alors que d'autres normes de l'industrie pétrolière et gazière ont déjà été adoptées (voir la liste ci-dessous), cette directive a été publiée en raison d'une menace permanente pour la sécurité des opérations au niveau des gazoducs aux États-Unis. Elle représente un point d'inflexion important dans la sécurisation des environnements d'infrastructures critiques qui pourraient autrement être en danger.

La Directive de sécurité pour les gazoducs 2021-1 fournit des conseils aux exploitants de gazoducs dans trois domaines clés :

  1. Les propriétaires et exploitants de gazoducs doivent signaler les incidents de sécurité à la Cybersecurity and Infrastructure Security Agency (CISA).

  2. Un coordinateur de la cyber-sécurité doit être affecté et disponible 24 h/24 et 7 j/7 pour coordonner les pratiques de sécurité, répondre aux exigences spécifiques décrites dans la directive et réagir en cas d'incident.

  3. Les installations pétrolières et gazières doivent évaluer leurs pratiques et activités de cyber-sécurité actuelles pour faire face aux cyber-risques par rapport aux directives de la TSA sur la sécurité des gazoducs publiées en 2018, identifier les écarts entre leurs pratiques de cyber-sécurité actuelles et celles énumérées dans les directives, et élaborer des plans de remédiation pour combler ces écarts. 


Normes clés applicables à l'industrie pétrolière et gazière

NIST (National Institutes of Standards and Technology) Cybersecurity Framework (CSF) : Le cadre prééminent adopté par les entreprises de tous les secteurs de l'industrie. Les sociétés de gaz naturel et de pétrole orientent de plus en plus leurs programmes à l'échelle de l'entreprise autour du NIST CSF.


CEI 62443 de la Commission électrotechnique internationale. Famille de normes pour la sécurité des systèmes de contrôle industriels (ICS). Largement adoptées par le segment de la production de l'industrie du gaz naturel et du pétrole. Applicable à tout type d'ICS pour le gaz naturel et le pétrole.


Norme API 1164 : Contenu propre aux gazoducs non couverts par le NIST CSF et la CEI 62443.


Modèle de maturité des capacités de cyber-sécurité du ministère de l'Énergie : Processus volontaire utilisant les meilleures pratiques reconnues par l'industrie pour mesurer la maturité des capacités de cyber-sécurité d'une entreprise et renforcer ses opérations.


Organisation internationale de normalisation ISO 27000 : Norme de pointe fournissant des obligations pour un système de gestion de la sécurité de l'information (ISMS).


Trois bonnes pratiques clés en matière de sécurité OT pour réduire le risque

Alors que la directive 2021-1 de DHS-TSA met en évidence les besoins clés pertinents pour les opérateurs pétroliers et gaziers, pour la plupart des entreprises, le plus grand défi est de savoir comment opérationnaliser les trois composants clés de la directive :

  • identifier le risque ; 

  • combler les angles morts en matière de sécurité ; et

  • mitiger les incidents lorsqu'ils se produisent. 


Voici trois pratiques d'excellence clés en matière de sécurité OT qui, selon nous, devraient être mises en œuvre de manière approfondie et urgente pour sécuriser les opérations au niveau des gazoducs et assurer leur résilience.

  1. Gagner en visibilité et obtenir des informations approfondies. L'industrie pétrolière et gazière nécessite des opérations synchronisées dans l'ensemble de l'infrastructure, ainsi que l'accès d'un public large et hétérogène aux informations d'authentification. Active Directory (AD) occupe ici un rôle clé et, dans le cas de Colonial Pipeline, l'attaque de ransomware a profité de ce vecteur d'attaque. Les personnes qui utilisent AD peuvent inclure des employés, partenaires, agents et sous-traitants autorisés. Les exigences d'accès peuvent s'étendre au-delà de l'usine même jusqu'à des emplacements de forage ou des gazoducs hors site et éloignés, dans le monde entier. Par conséquent, il est essentiel de maintenir un contrôle des accès et des configurations qui s'étend de l'installation principale à tous les emplacements, quelle que soit leur distance ou leur distribution. La solution de sécurité OT doit toujours comprendre des informations sur les appareils individuels dans tous les emplacements, y compris, mais sans s'y limiter, les contrôleurs logiques programmables (PLC), les contrôleurs IHM, les stations d'ingénierie, les équipements réseau, les passerelles et tout autre appareil critique pour les opérations régulières du réseau. Une connaissance approfondie, notamment une visibilité sur tous les types d'appareils, les niveaux de correctifs, les versions de firmware et les informations sur le fond de panier, est essentielle. De plus, il est indispensable de prendre en compte les appareils dormants qui ne communiquent pas régulièrement sur le réseau.
  2. Identifier les menaces. Alors que les opérations OT des fournisseurs de pétrole et de gaz étaient autrefois isolées, elles sont aujourd'hui connectées à l'IT et accessibles partout. Cette convergence crée un environnement qui peut avoir un impact sur l'intégrité de l'exploration, de l'extraction, du raffinage et de la livraison du pétrole. L'élimination de l'air-gap permet aux acteurs malveillants de pénétrer dans certaines parties de l'environnement d'exploitation soit du côté IT soit du côté OT. Pour identifier divers comportements suspects, il est essentiel d'utiliser trois moteurs de détection :

    • La cartographie et la visualisation du trafic permettent d'identifier les tentatives de communication provenant de sources externes en plus des appareils qui ne devraient pas communiquer, et de recevoir des alertes.

    • La détection des anomalies permet de repérer les schémas de trafic qui ne correspondent pas à un fonctionnement réseau normal.
    • La détection basée sur les signatures permet d'identifier les menaces connues, utilisées par les attaquants.

  3. Mettre fin aux vulnérabilités plus rapidement. La plupart des environnements pétroliers et gaziers comprennent souvent un mélange d'appareils plus anciens que l'on ne trouve généralement pas dans les environnements IT. Avec différents niveaux de correctif sur chaque type d'appareil, il est difficile de maintenir un programme de gestion des correctifs à jour. Étant donné que les environnements pétroliers et gaziers n'ont pas forcément de fenêtres de maintenance suffisamment fréquentes ou longues, les vulnérabilités connues peuvent ne pas être corrigées pendant une période prolongée. Vous devez toujours connaître parfaitement l'état et les caractéristiques de tous les appareils. Cela nécessite également d'établir une correspondance précise entre les états spécifiques des appareils et la base de connaissances disponible sur les vulnérabilités associées à des exploits. En raison de la nature dynamique des environnements pétroliers et gaziers, cette base de connaissances doit être synchronisée avec les nouvelles vulnérabilités découvertes. Le classement VPR de Tenable peut, par exemple, trier les vulnérabilités de la plus grave à la moins grave, sur la base d'un grand nombre de facteurs tels que le score CVSS, la sévérité et l'exploitabilité de la vulnérabilité, et bien plus. 


En résumé

La cyber-sécurité OT est aujourd'hui largement reconnue comme essentielle pour garantir des infrastructures critiques fiables, efficaces et sûres sur lesquelles la société peut compter. Vous avez besoin d'une visibilité totale sur tous vos assets opérationnels, et vous devez être en mesure de les sécuriser et de les contrôler. Utiliser les meilleures approches en termes de sécurité OT est plus critique que jamais pour la conformité aux normes existantes, ainsi qu'à cette nouvelle directive du DHS, mais aussi dans le cadre d'un devoir de diligence envers nos communautés. Les menaces étant en constante évolution, elles nécessitent d'avoir une connaissance approfondie de la situation en temps réel, à la fois au niveau du réseau et des appareils. L'état des lieux doit être régulièrement mis à jour et synchronisé avec les vulnérabilités, menaces et angles morts nouvellement découverts. Tout écart doit être capturé en temps réel et documenté. Des traces écrites complètes, capturant tous les changements de l'environnement, sont essentielles. L'enregistrement et la mise à jour de ces informations détaillées peuvent aider à accélérer la réponse aux incidents, à mettre en avant et à prioriser les nouvelles vulnérabilités découvertes, et à démontrer proactivement sa conformité à la fois en interne et auprès des autorités de conformité.

En savoir plus

Articles connexes

Êtes-vous à la merci des derniers exploits ?

Indiquez votre adresse e-mail pour recevoir les dernières alertes de Cyber Exposure.

Essayer gratuitement Acheter dès maintenant
Tenable.io ESSAI GRATUIT PENDANT 30 JOURS

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Abonnez-vous dès maintenant.

Tenable.io ACHETER

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant
Essayer gratuitement Acheter dès maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Acheter Nessus Professional

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24, 7 j/7 à une assistance par téléphone, via la communauté et via le chat. Cliquez ici pour plus d'informations.

Essayer gratuitement Acheter dès maintenant

Essayer Tenable.io Web Application Scanning

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à notre nouvelle offre Web Application Scanning conçue pour les applications modernes et s'intégrant à la plateforme Tenable.io. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Acheter Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer gratuitement Contacter le service commercial

Essayer Tenable.io Container Security

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à la seule offre de sécurité des conteneurs intégrée dans une plateforme de gestion des vulnérabilités. Surveillez les images de conteneur pour détecter d'éventuelles vulnérabilités, malwares ou violations des politiques. Intégrez la solution aux systèmes d'intégration et de déploiement continus (CI/CD) pour soutenir votre démarche DevOps, renforcer la sécurité et assurer la conformité aux politiques de l'entreprise.

Acheter Tenable.io Container Security

Tenable.io Container Security permet la mise en œuvre sécurisée et fluide de processus DevOps en fournissant une visibilité sur l'état de sécurité des images de conteneur, notamment en ce qui concerne les vulnérabilités, malwares et violations des politiques, par le biais d'une intégration au processus de compilation.

Essayer gratuitement Contacter le service commercial

Essayer Tenable Lumin

GRATUIT PENDANT 30 JOURS

Visualisez et explorez votre Cyber Exposure, suivez la réduction des risques au fil du temps et comparez-vous à vos pairs grâce à Tenable Lumin.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous aider à obtenir une visibilité sur l'ensemble de votre entreprise et à gérer votre cyber-risque.