Protection de l'IoT industriel :un défi de sécurité croissant – Partie 1

Trevor Daughney, vice-président du marketing produit chez Exabeam

La quatrième révolution industrielle a déclenché une myriade d'opportunités pour les organisations désireuses de tirer parti d'une nouvelle génération d'appareils connectés de l'Internet des objets industriels (IIoT) et de récolter les fruits d'un partage de données amélioré, d'une efficacité opérationnelle et d'une productivité, a déclaré Trevor Daughney, vice-président de marketing produit chez Exabeam

Partout dans le monde, les villes déploient des technologies « intelligentes » innovantes pour tout connecter, des réseaux électriques aux infrastructures de transport, dans le but d'améliorer la qualité de vie des citoyens. La santé est un autre secteur qui adopte rapidement la technologie IoT pour rationaliser la prestation des soins et donner aux patients plus de contrôle sur leur traitement. Pendant ce temps, les fabricants augmentent rapidement leurs investissements dans les usines intelligentes, en utilisant tout, des contrôleurs logiques programmables (PLC) et des systèmes embarqués aux appareils IoT dans leurs installations de production.

En conséquence, les technologies opérationnelles connectées (OT) deviennent rapidement l'épine dorsale des solutions d'automatisation commerciale, des opérations commerciales et des infrastructures critiques modernes. Cependant, la prolifération rapide de ces appareils a ouvert la porte à des menaces externes à la sécurité.

En effet, une étude récente de 2019 de l'Institut Ponemon révèle comment les environnements OT utilisés pour exécuter des services publics critiques comme l'électricité et l'eau sont désormais les principales cibles des cyber-attaquants cherchant à causer des dommages « graves ». Avec 54 % des entreprises de services publics déclarant s'attendre à une attaque en 2020, la numérisation des actifs OT représente un danger clair et actuel lorsqu'il s'agit de protéger les infrastructures critiques et d'initier une cyber-résilience qui fonctionne.

De même, selon un récent rapport d'usine intelligente de Deloitte et MAPI (Manufacturers Alliance for Productivity and Innovation) les cybermenaces représentent désormais une menace croissante pour les entreprises manufacturières qui cherchent à faire converger l'IT et l'OT dans leurs opérations.

Les problèmes de la transformation numérique

Jusqu'à récemment, le risque posé par l'adoption de la connectivité IP dans les environnements industriels était largement ignoré. Dans le passé, les anciens systèmes de contrôle avaient des fonctions spécifiques et n'étaient souvent pas connectés à d'autres systèmes, ce qui rendait les attaques improbables et difficiles à réaliser. Cette complaisance a entraîné la montée de l'idée que les actifs industriels sont immunisés contre les cyberattaques s'ils sont isolés d'Internet ou d'autres réseaux d'entreprise vulnérables.

Cependant, la tristement célèbre attaque de ver Stuxnet menée contre une installation nucléaire iranienne s'est avérée être un signal d'alarme majeur pour les entreprises industrielles de divers secteurs. Conçu pour contourner les programmes de sécurité réseau standard, Stuxnet a reprogrammé les centrifugeuses nucléaires pour effectuer des cycles qui ont entraîné leur désintégration.

Il s'agissait d'une attaque qui montrait comment l'adoption d'une connectivité IP entre les systèmes industriels entraînait également une exposition accrue à des cyberattaques très complexes et sophistiquées. En termes simples, les appareils IIoT ont souvent une intégration native avec les réseaux IP. Bien que cela contribue à rationaliser les tâches opérationnelles, cela signifie également que tout ce qui est connecté est désormais une cible souple vulnérable pour les cybermenaces mondiales, à peu près de la même manière que les appareils informatiques standard.

Attention à la faille de sécurité :l'IT et l'OT se déconnectent

Ce ne sont pas seulement les appareils IIoT qui sont exploités dans les systèmes OT. Historiquement, les cyberattaques ont ciblé les actifs informatiques qui permettent les opérations commerciales, comme les ordinateurs et les appareils mobiles, pour le vol de données. Cependant, des cyberattaques contre des appareils informatiques – y compris des réseaux et des systèmes qui transmettent ou distribuent de l'énergie à un système OT – peuvent être déclenchées pour détourner les systèmes de contrôle qui exploitent une infrastructure critique. Le résultat de tels piratages sera des dommages physiques, des pannes généralisées et la perte de données opérationnelles.

Cela représente un défi important pour les organisations où les dirigeants informatiques et OT ont, jusqu'à présent, fonctionné dans des silos indépendants. Un scénario loin d'être idéal si les organisations tirent parti des appareils IoT qui doivent être intégrés, puis gérés, à l'aide des infrastructures de réseau informatique existantes.

La convergence croissante de la sécurité informatique et OT signifie que chaque organisation doit obtenir une vue d'ensemble intégrée des aspects et des vulnérabilités de la sécurité globale afin d'empêcher les infiltrations qui pourraient entraîner la destruction d'infrastructures critiques ou la perte de données.

Il est temps d'appliquer la cybersécurité industrielle

De l'industrie automobile aux villes intelligentes et aux grandes entreprises pharmaceutiques, les organisations dotées d'appareils IIoT et informatiques dans leurs systèmes OT doivent évaluer l'exposition et maximiser leur capacité à détecter, répondre et atténuer rapidement les attaques. Cependant, assurer la sécurité des appareils peut être difficile, d'autant plus que les appareils IIoT et informatiques sont intrinsèquement différents et que les appareils IIoT n'ont jamais été conçus pour s'intégrer aux outils de gestion de la sécurité. Dans mon prochain article, j'explorerai ces défis ainsi que les cadres et les solutions que les organisations peuvent appliquer pour parvenir à une cybersécurité industrielle qui fonctionne.

L'auteur est Trevor Daughney, vice-président du marketing produit chez Exabeam