Une liste de contrôle de sécurité ICS

Dans la cybersécurité traditionnelle, une violation peut exposer, corrompre ou même maintenir captifs les systèmes de données d'entreprise .

Alors qu'une violation de données traditionnelle peut coûter de l'argent et affaiblir les systèmes informatiques de l'entreprise, une cyberattaque contre les systèmes de contrôle industriels peut affecter les données et les opérations critiques. Étant donné que les systèmes de contrôle industriels contrôlent tout, des centrales nucléaires aux raffineries, en passant par les réseaux électriques, les usines et les équipements lourds, la sécurité des SCI est vitale.

Alors que les systèmes informatiques sont du matériel logiciel dans les environnements d'entreprise traditionnels, les systèmes de contrôle industriel, parfois appelés technologie opérationnelle (OT), englobent les appareils, les systèmes et les réseaux pour exploiter et/ou automatiser les processus industriels.

Ici, nous proposons un ensemble de principes de sécurité ICS pour aider les professionnels du secteur à réduire leur risque de cybersécurité.

1. Comprendre vos éléments 

La plupart des organisations industrielles ne sont pas prêtes pour les techniques avancées de cybersécurité. Ils devraient commencer par les bases. « La plupart des organisations ne savent pas quelle technologie elles ont déployée », a déclaré Bill Malik, vice-président des stratégies d'infrastructure chez Trend Micro.

Une partie du défi réside dans le fait que les actifs technologiques opérationnels diffèrent souvent des actifs informatiques, a déclaré Jason Haward-Grau, responsable de la sécurité des informations chez PAS. Un serveur dans un centre de données, par exemple, est un actif informatique. Mais un système dans une salle de serveurs dans une usine est une "capacité qui vous amène à un atout", a-t-il ajouté. « Il exécutera un système de contrôle pour les automates programmables [contrôleurs logiques programmables], les systèmes SCADA [contrôle de supervision et acquisition de données] ou DCS [système de contrôle distribué].

Ainsi, le comptage des serveurs, des adresses IP ou des commutateurs réseau ne capture pas l'image complète. "Il y a une tonne de systèmes [industriels] qui ne sont pas sur un réseau formel", a déclaré Haward-Grau. Un autre défi est le vieillissement des équipements. « Il y a encore la technologie des années 1960 et 1970 au cœur de nombreuses usines », a-t-il ajouté.

Dans l'entreprise, effectuer une évaluation de la vulnérabilité ou établir un inventaire des actifs est généralement simple, ces mêmes actions dans le monde de l'OT et de l'ICS ne le sont généralement pas. Effectuer une vérification d'inventaire "dans l'environnement OT pourrait entraîner la panne d'un appareil ou de tout un environnement", a déclaré Sean Peasley, partenaire de Deloitte en matière de risque et de conseil financier, leader de la sécurité IoT. Les fournisseurs de sécurité ICS spécialisés peuvent faire un inventaire des appareils de manière passive, a-t-il déclaré.

2. Consultez Frameworks pour obtenir de l'aide 

La sécurisation des infrastructures industrielles peut être difficile, mais il existe un ensemble croissant de normes qui peuvent aider. Avoir un cadre commun qui inclut la cybersécurité peut combler le fossé entre l'informatique et l'OT et favoriser « un état d'esprit holistique » dans une organisation industrielle, a déclaré Peasley.

Il existe un chevauchement considérable entre la plupart des normes ICS, a déclaré Haward-Grau. « Commencez avec un cadre. Peu m'importe lequel », a-t-il conseillé.

Les normes et cadres pertinents sont les suivants : 

• Les principes stratégiques du DHS pour sécuriser l'Internet des objets
• ISA/IEC 62443
• ISO/IEC 27001
• Cadre MITRE ATT&CK pour les systèmes de contrôle industriels
• NERC CIP
• NIST Cybersecurity Framework, NIST Guide to Industrial Control Systems (ICS) Security and NIST Recommendations for IoT Device Manufacturers 
• Normes UL 2900

3. Avoir un plan de reprise après sinistre

Alors que les documents standard de cybersécurité sont souvent denses, en fin de compte, un cadre devrait permettre au personnel de discuter de la cybersécurité dans un anglais simple et de leur donner un plan pour répondre aux scénarios de cyber-cauchemar. « [Avec] les cadres, nous parlons de : « Comment puis-je identifier et protéger les choses ? Comment vais-je détecter, réagir et, plus important encore, me remettre des [cyberattaques] ?", A déclaré Haward-Grau.

4. Investir dans la cyberassurance

Parce que les cyberattaques provoquent souvent, la cyberassurance est inestimable. L'achat d'une assurance, cependant, n'est pas simple. Les équipements industriels hérités sont monnaie courante, il est donc plus logique d'assurer les processus industriels plutôt que la technologie spécifique, selon Haward-Grau. "Si j'ai des trucs que je ne peux pas réparer, le cyber-assureur va chercher des contrôles compensatoires", a-t-il déclaré. Même avec un programme de cybersécurité robuste en place, il peut y avoir d'autres exclusions dans la police d'assurance à noter.

5. Acceptez le « Moins Privilège »

En cybersécurité, le concept du « moindre privilège » conseille à une organisation de limiter les contrôles d'accès entre les systèmes informatiques et les utilisateurs sans inclure les activités principales.

Les pare-feu sont une stratégie informatique traditionnelle pour atteindre cet objectif, mais ils sont également essentiels à la sécurité OT. « Considérez comment les logiciels malveillants peuvent se propager dans une installation de production et configurez des pare-feu », a déclaré Malik. Pour éviter les interférences potentielles, ajoutez les processus autorisés à la liste blanche.

Le « moindre privilège » ne se résume pas aux pare-feu, a déclaré David Goldstein, PDG d'AssetLink Global. Par exemple, Goldstein a recommandé de « limiter le trafic dans des directions qui ne sont pas nécessaires pour l'application. Si vous surveillez uniquement, désactivez la capacité de contrôle, et ainsi de suite.

L'accès à distance est un autre souci. « Utilisez des identifiants uniques pour les tâches de maintenance », a déclaré Malik. "Lorsque vous accédez à la technologie sur des réseaux IP dans un environnement industriel, exigez une authentification unique par chaque utilisateur."

L'utilisation d'un PC générique dans un environnement ICS est également un risque. « Verrouillez-le. Désactivez les installations, supprimez les compilateurs et désactivez tous les processus inconnus ou inutiles », a déclaré Malik.

6. Envisagez un programme Bug Bounty 

Les programmes de bug bounty, où une récompense est donnée aux développeurs qui identifient les vulnérabilités du système, ont gagné en popularité ces dernières années, y compris dans des contextes industriels. "Les programmes de bug bounty sont la marque de fabrique des fournisseurs d'IoT et d'IoT industriels avant-gardistes", a déclaré Malik.

« L'ensemble du parcours de numérisation va changer le fonctionnement des usines », a déclaré Haward-Grau. « Si vous commencez à introduire des appareils IIoT et la 5G, vous aurez besoin de primes de bogue. »

Mais cela ne signifie pas qu'il est logique de prioriser les primes de bogues dans tous les cas. Une organisation disposant d'équipements et de postes de travail vieux de plusieurs décennies exécutant des systèmes d'exploitation non corrigés ou obsolètes trouverait probablement les résultats d'un programme de primes de bogues accablants.

7. Gérer les risques liés aux tiers 

Les programmes de gestion des risques de tiers revêtent une importance croissante dans le domaine de l'OT, a déclaré Peasley. Mais la gestion des risques dans une chaîne d'approvisionnement étendue est souvent difficile, a-t-il souligné. "Pour les grandes entreprises, il peut y avoir des milliers de tiers, quatrième et cinquième parties différentes qu'elles doivent prendre en compte", a-t-il déclaré. « Que ce soit un fournisseur qui intègre quelque chose dans un sous-composant ou .. . un produit logiciel, tous ces éléments doivent être pris en compte », a ajouté Peasley.

8. Inspirez-vous des programmes de sécurité

De nombreuses organisations industrielles ont mis en place des programmes de sécurité depuis des décennies. Maintenant que les menaces de cybersécurité peuvent provoquer des menaces liées à la sécurité, « nous devons avoir une mentalité similaire en matière de sécurité », a déclaré Peasley.

L'idée a fait son chemin. L'American Institute of Chemical Engineers, par exemple, recommande d'intégrer des considérations de cybersécurité dans l'analyse traditionnelle des risques liés aux processus, qui se concentre traditionnellement sur le risque d'erreur humaine, de défaillance de l'équipement, etc. dans les installations de génie chimique.

Une stratégie pour protéger les installations industrielles contre les catastrophes potentielles est l'utilisation de systèmes instrumentés de sécurité. Mais ces systèmes eux-mêmes peuvent être vulnérables aux compromis, a déclaré Malik. Et la mise à niveau des fonctionnalités de sécurité dans les systèmes instrumentés de sécurité existants n'est pas recommandée, selon Malik. « Vous construirez une infrastructure au-dessus d'une plate-forme qui n'a jamais été conçue pour être cyber-sécurisée », a-t-il déclaré.

Alors que Haward-Grau a reconnu que les systèmes instrumentés de sécurité sont imparfaits, il a souligné qu'ils constituent une défense vitale. « Alors que nous commençons à étendre nos opérations et que nous connectons davantage d'éléments, le besoin de systèmes instrumentés de sécurité plus efficaces ne va pas disparaître de sitôt. Ils vont devenir plus importants.