Schneider Electric veut quantifier avec BitSight les risques liés à l’OT

BitSight et Schneider Electric se sont associés pour développer une nouvelle façon de quantifier le risque lié aux technologies opérationnelles, un domaine de plus en plus difficile à défendre.

Cette collaboration a été annoncée lundi dans un billet de blog qui décrit en détail une capacité « première du genre » que les fournisseurs ont baptisée Operational Technology (OT) Risk Identification and Threat Intelligence. L’offre s’appuiera sur les évaluations d’exposition au risque cyber et d’analyse des données de BitSight pour aider à identifier les menaces potentielles sur la surface d’attaque des systèmes opérationnels.

Bon nombre de ces surfaces relèvent d’infrastructures critiques des secteurs privé et public, notamment dans les domaines de l’énergie, de la santé publique et des transports.

Les principales difficultés pour la sécurité OT sont notamment un manque de connaissance du nombre de connexions externes existantes et la gestion des vulnérabilités et correctifs. Les préoccupations concernant la sécurité des OT et des infrastructures critiques ont augmenté à la suite de l’invasion de l’Ukraine par la Russie en février dernier.

Deux objectifs du nouveau partenariat, soulignés dans le billet de blog de BitSight, sont l’amélioration des capacités de détection de l’exposition pour les environnements OT en identifiant les appareils connectés mal configurés et la fourniture d’une visibilité accrue de l’infrastructure industrielle (ICS).

Schneider Electric est la première entreprise avec laquelle BitSight a établi ce niveau de partenariat. Mais ce dernier a travaillé par le passé avec des centaines d’entreprises d’infrastructures critiques qui utilisent la télématique. Stephen Boyer, cofondateur et directeur technique de BitSight, a déclaré à la rédaction de TechTarget (maison mère du MagIT) que ses produits traditionnels ne s’adressent pas spécifiquement à l’OT, mais que les nouveaux engagements et son travail avec Schneider élargissent sa base de données.

« BitSight fournit à Schneider des renseignements exploitables sur l’exposition de ses produits et appareils à l’échelle de l’Internet et sur les organisations utilisatrices, ce qui permet à Schneider de s’engager auprès de ces organisations et de sécuriser ces appareils avant qu’ils ne soient compromis par des acteurs malveillants », explique Stephen Boyer.

Ce partenariat n’est d’ailleurs pas nouveau : Schneider Electric avait déjà décidé de recourir aux solutions d’Infoblox afin d’améliorer son score BitSight.

La quantification des risques liés aux technologies opérationnelles présente plus d’obstacles que celle des technologies de l’information. Selon Stephen Boyer, la principale différence entre les deux est que les systèmes informatiques gèrent les données, tandis que les dispositifs OT contrôlent le monde physique. Cependant, les deux domaines convergent, ce qui, en cas de succès, permettra à l’OT de devenir plus efficace, a-t-il déclaré.

Les problèmes se posent lorsqu’il s’agit de connecter ces technologies à l’internet en toute sécurité, car les systèmes OT ont des fonctions de sécurité limitées et souffrent de difficultés à corriger les vulnérabilités. Selon Stephen Boyer, de nombreux appareils qui sont mis en ligne n’ont même pas été conçus pour cette fonction.

« Ils utilisent parfois des protocoles propriétaires qui les rendent plus difficiles à sécuriser. Le plus souvent, les correctifs de sécurité ne sont pas disponibles ou le temps d’arrêt pour les appliquer n’est pas acceptable », souligne-t-il. « Du fait de leur nature même, l’impact physique que les systèmes OT peuvent avoir sur le monde les rend intrinsèquement critiques ».

C’est pourquoi, selon Stephen Boyer, les menaces contre les environnements OT peuvent avoir des conséquences désastreuses. La sensibilisation, une plus grande visibilité, des audits, des tests d’intrusion et une surveillance continue deviennent essentiels, car les systèmes OT et IT s’entremêlent de plus en plus. Outre l’amélioration de la détection des risques, l’un des objectifs du nouveau partenariat est d’attribuer les attaques.