
Travel mania - stock.adobe.com
Comment garantir un accès à distance sécurisé à l'OT et prévenir les attaques ?
Les systèmes OT sont menacés par des attaquants qui ciblent leurs capacités d'accès à distance. La segmentation des réseaux est une étape importante. Découvrez d'autres moyens de protéger vos systèmes OT.
La technologie opérationnelle (OT) est à la base des infrastructures qui supportent les systèmes industriels critiques dans le monde entier. La protection de ces infrastructures est devenue plus difficile à mesure que la connectivité à Internet a été introduite dans ces environnements et que les cybermenaces sont devenues plus pressantes.
De nombreuses menaces de sécurité OT ciblent les accès à distance. Bien que les accès à distance soient une nécessité pour la plupart des systèmes industriels, cette inter-connectivité entraîne des risques importants en matière de cybersécurité.
Nous allons aborder la question de l'accès à distance sécurisé et discuter des stratégies clés conçues pour protéger ces systèmes critiques.
Qu'est-ce que l'accès à distance OT ?
L'accès à distance permet aux utilisateurs et aux systèmes hors site de se connecter aux systèmes de contrôle industriel (ICS), aux systèmes SCADA et à d'autres environnements similaires. Cela permet aux organisations de maintenir, de dépanner et de surveiller les systèmes OT, et donne aux opérateurs industriels les outils dont ils ont besoin pour entretenir et contrôler efficacement leurs systèmes, améliorer la fiabilité des systèmes et réduire les temps de réponse.
Les défis de la sécurisation des accès distants OT
Malgré les avantages qu'ils présentes, les accès distants OT ouvrent la voie à de nombreux problèmes de sécurité.
Les deux principaux défis de sécurité des accès distants aux systèmes opérationnels sont la disponibilité et les technologies patrimoniales. Tout d'abord, les systèmes OT supportent les processus de production de l'énergie, de l'eau de son traitement et d'autres services essentiels. Ils doivent fonctionner 24 heures sur 24, 7 jours sur 7, tout au long de l'année, avec peu ou pas de temps d'arrêt. Les mettre hors ligne pour appliquer des correctifs n'est tout simplement pas une option, dans de nombreuses situations.
Deuxièmement, de nombreux systèmes OT - et les systèmes ICS et SCADA auxquels ils sont connectés - reposent sur des technologies anciennes qui ne peuvent pas supporter les correctifs et autres mises à jour ou qui sont si anciennes qu'elles ne bénéficient plus de l'assistance de leurs fournisseurs.
À cela s'ajoutent des défis additionnels :
- Absence de segmentation réseau adéquate. Lorsque la séparation entre les réseaux IT et OT est minimale, la surface d'attaque augmente. Sans une segmentation réseau adéquate, les défenses du réseau risquent d'être compromises.
- Capacités d'authentification inefficaces. De nombreux environnements OT sont directement intégrés à des technologies anciennes qui disposent souvent de contrôles d'authentification limités. En outre, la plupart des systèmes OT utilisent généralement des mots de passe faibles ou des informations d'identification partagées. Il est donc plus difficile de mettre en œuvre des contrôles de sécurité d'authentification plus solides, tels que l'authentification à deux facteurs (2FA) et la MFA.
- Risques liés aux tiers et à la chaîne logistique. Travailler avec des fournisseurs externes est désormais une nécessité pour la plupart des entreprises. Mais des failles de sécurité peuvent apparaître lorsque des tiers peuvent accéder à distance à un réseau OT. Des attaques de la chaîne logistique peuvent survenir si les politiques d'accès sont mal gérées ou surveillées de manière inefficace.
- Journalisation et surveillance insuffisantes. L'utilisation de logiciels mal sécurisés, tels que le protocole de bureau à distance (RDP), les réseaux privés virtuels (VPN) ou d'autres outils basés sur le Cloud, peuvent accroître les vulnérabilités. Cela ouvre la porte aux attaques de phishing, aux cleptogiciels et à d'autres formes de vol d'informations d'identification. L'enregistrement limité des événements de sécurité complique également la tâche des équipes d'intervention en cas d'incident.
Lorsque les systèmes OT sont compromis, les dommages se répercutent rapidement. Exemple : l'attaque de Colonial Pipeline en 2021. L'oléoduc a dû être mis hors service et les ressources en carburant ont dû être détournées d'autres oléoducs pendant que Colonial remédiait au problème du ransomware dans ses systèmes critiques.
Comment sécuriser l'accès OT distant
Les systèmes d'accès à distance nécessitent un ensemble de contrôles et de mesures de sécurité pour les protéger de manière proactive contre les cybermenaces. Voici quelques stratégies clés qui peuvent donner des résultats positifs et aider les organisations à mieux sécuriser les systèmes d'accès à distance aux équipements OT :
- Adopter une approche de sécurité sans confiance pour toujours vérifier, puis faire confiance, avant de s'authentifier.
- Segmenter correctement les réseaux IT et OT afin de les isoler les uns des autres.
- Contrôler et effectuer des audits continus des environnements OT afin de s'assurer que tous les accès à distance sont autorisés.
- Mettre en œuvre des protocoles d'authentification forte qui exigent soit 2FA, MFA ou des contrôles d'accès basés sur les rôles pour garantir que les systèmes d'accès à distance de l'OT sont sécurisés et empêchent les accès non autorisés.
- Désactiver les protocoles de communication d'accès à distance non sécurisés, tels que Telnet, et utiliser des alternatives sécurisées, par exemple SSH.
- Utiliser la détection et la réponse dans le réseau (NDR) pour traiter les activités illégitimes indétectables sur des systèmes ne supportant pas les systèmes d'EDR.
- Appliquer des politiques de gestion des correctifs pour s'assurer que les outils d'accès à distance sécurisés et les systèmes OT sont à jour.
- Élaborer et tester un plan complet de réponse aux incidents qui détaille les lacunes de l'organisation en matière de sécurité et fournit des conseils sur la manière de gérer les violations de manière plus proactive.
- Exiger des fournisseurs tiers qu'ils adhèrent à davantage de procédures de cybersécurité et mettre en place un accès limité dans le temps ou basé sur l'approbation pour tous les fournisseurs.
- Sensibiliser les employés à la sécurité grâce à une formation simple et efficace qui leur permet d'agir s'ils voient quelque chose de suspect.