Élaboration d'une stratégie de cybersécurité pour les infrastructures critiques

Les points à retenir incluent :

• La protection des infrastructures critiques est une priorité de longue date, mais de nombreuses organisations tardent à réagir aux cybermenaces.
• COVID-19 a élargi la définition de l'infrastructure critique tout en rappelant aux entreprises de se demander quels systèmes sont essentiels aux opérations. Cet article s'appuie sur les conseils du premier chapitre de cette série dans « Addressing IoT Security Challenges From the Cloud to the Edge ».
• Les organisations qui gèrent des infrastructures critiques doivent développer une posture de cybersécurité proactive, mais les perturbations causées par les coronavirus aggravent le défi.

À l'heure actuelle, le besoin d'une cybersécurité complète pour les infrastructures critiques est clair. Les comptes publics sont répandus concernant le risque d'acteurs malveillants ciblant le réseau électrique, les barrages, les systèmes de vote et d'autres infrastructures critiques désignées par le gouvernement fédéral. Mais la majorité des organisations qui fournissent des services essentiels n'ont pris que des mesures progressives pour lutter contre les cyber-risques. « De nombreuses organisations [de technologie opérationnelle] ont des programmes de cybersécurité assez naissants », a déclaré Sean Peasley, partenaire chez Deloitte.

Le terme « infrastructure critique » désignait initialement les travaux publics tels que les infrastructures de transport et les services publics, mais, depuis les années 1990, la définition s'est progressivement élargie. Les secteurs sous la rubrique comprennent maintenant, entre autres, les soins de santé, l'énergie et les services publics, ainsi que divers fabricants. "Et en pratique, nous découvrons à l'ère de COVID, que l'infrastructure critique est encore plus large que nous ne le pensions", a déclaré Kieran Norton, directeur chez Deloitte. Les fabricants d'équipements de protection individuelle, par exemple, jouent un rôle dans l'atténuation de la crise. "Nous avons également appris que la perturbation de la chaîne d'approvisionnement pendant une pandémie, par exemple, pourrait potentiellement être catastrophique", a déclaré Norton. Sans surprise, les entreprises de logistique ont cimenté leur rôle comme essentiel. Le gouvernement américain a déclaré que les industries des pâtes et papiers et de l'emballage de viande sont également essentielles. Ainsi, le chevauchement entre l'infrastructure critique et la sécurité de la technologie opérationnelle (OT) continue de s'estomper. Quel que soit son nom, peu d'industries dans ce domaine ont atteint un degré élevé de cyber-efficacité, selon les recherches sur la sécurité industrielle du Ponemon Institute financées par le TÜV Rheinland.

[IoT World, le plus grand événement IoT d'Amérique du Nord, devient virtuel du 11 au 13 août avec une expérience virtuelle de trois jours mettant l'IoT, l'IA, la 5G et la périphérie en action dans les secteurs verticaux de l'industrie. Inscrivez-vous aujourd'hui]

Les entités d'infrastructures critiques traditionnelles peuvent avoir des décennies d'expérience avec les initiatives traditionnelles de gestion des risques et de sécurité, mais pour beaucoup, la cybersécurité est une priorité relativement nouvelle. Et d'une manière générale, les organisations qui gèrent des infrastructures critiques ont tendance à être lentes. « Mon expérience générale est que la sécurité OT a environ 10 à 15 ans de retard par rapport à la sécurité informatique », a déclaré Andrew Howard, PDG de Kudelski Security.

Pendant ce temps, le paysage des menaces pour les organisations d'infrastructures critiques continue de devenir de plus en plus précaire. Le nombre d'attaquants ciblant une telle infrastructure est en augmentation, tout comme le nombre d'appareils connectés dans de nombreux environnements d'infrastructure critiques. Selon le X-Force Threat Intelligence Index 2020 d'IBM, le volume d'attaques contre les systèmes de contrôle industriels en 2019 était plus élevé que les trois années précédentes combinées.

De telles attaques ont fait la une des journaux en 2020. Les attaquants de ransomware ont ciblé avec succès Honda et le service public d'énergie de Taïwan et une installation de gaz naturel aux États-Unis. L'approvisionnement en eau d'Israël aurait été attaqué. La société de télécommunications japonaise NTT a subi une brèche dans son réseau interne.

R isk évaluer continuellement

Si vous ne pouvez pas mesurer quelque chose, vous ne pouvez pas l'améliorer. Mais ce conseil s'applique doublement à la cybersécurité des infrastructures critiques, où les risques et la réduction des risques peuvent être difficiles à quantifier. De nombreuses organisations ont du mal à conserver un inventaire précis des actifs, étant donné la diversité et la complexité de leurs environnements. Pendant ce temps, les experts spécialisés en cybersécurité OT sont rares. Ce risque est aggravé par la nature compliquée de la gestion des risques par les tiers, y compris l'évaluation des vulnérabilités potentielles introduites via le matériel, les logiciels ou les sous-traitants achetés.

Alors que l'évaluation des risques doit être un processus continu, les organisations d'infrastructures critiques doivent commencer par des évaluations périodiques approfondies des risques conçues pour quantifier les menaces, les vulnérabilités et les conséquences potentielles des cyberattaques et d'autres causes de perturbations opérationnelles. Les vulnérabilités potentielles incluent les mots de passe partagés, les systèmes non corrigés, les logiciels et le matériel de provenance inconnue et les pare-feu trop permissifs.

Mais de telles évaluations de sécurité peuvent être difficiles à réaliser. Il existe un éventail de types d'appareils à suivre, allant des pompes et vannes aux contrôleurs hérités et à une myriade d'appareils informatiques. De plus, comprendre les ramifications d'une violation d'un système industriel nécessite une connaissance opérationnelle approfondie. Dans un environnement avec des dizaines de systèmes différents, le problème est aggravé.

Les techniques traditionnelles d'analyse de réseau nécessitent des précautions. Les techniques d'analyse active des réseaux et des vulnérabilités des systèmes de contrôle industriels peuvent faire planter les systèmes de contrôle. L'utilisation de l'analyse active en toute sécurité dans un environnement d'infrastructure critique peut généralement être effectuée en toute sécurité, selon Dale Peterson, consultant spécialisé dans la sécurité des systèmes de contrôle industriels. Mais cela nécessite de travailler en étroite collaboration avec les opérations pour faire face au risque. Si les techniques passives de surveillance du réseau sont moins intrusives, elles sont également moins précises. «Ce débat est souvent celui où cette vision de la sécurité informatique se heurte à celle de l'OT. Le responsable de la sécurité informatique est enclin à opter pour une analyse active, mais la personne en charge de la surveillance d'un système d'infrastructure critique préfère souvent une approche passive car elle ne veut pas le mettre en danger.

Surtout avec des évaluations approfondies, les organisations sont susceptibles de découvrir une longue liste de problèmes et de remettre en question les mesures correctives à privilégier. Pour aggraver également le problème, de nombreux professionnels de la cybersécurité n'ont généralement pas d'expérience directe avec tous les équipements soumis à un audit et doivent donc s'appuyer sur des entretiens avec des propriétaires et des opérateurs d'actifs chevronnés pour évaluer leur cyber-risque.

Les organisations doivent évaluer à la fois la gravité et la facilité de remédiation. Le contrôle d'accès est souvent un thème ici, a déclaré Miklovic. "Les interfaces de frontière sont toujours la partie la plus faible de tout problème de cybersécurité, qu'il s'agisse d'une frontière de protocole ou d'une frontière physique", a-t-il déclaré. "Même dans le monde de la cybersécurité industrielle, l'un des principaux points de violation reste les clés USB."

Bien qu'il soit rapide et peu coûteux pour un membre du personnel d'utiliser de la super-colle ou de la soudure pour brancher des clés USB inutilisées, certaines organisations se concentrent trop sur les « trucs faciles » dans leur remédiation, a déclaré Howard. « Oui, il existe des atténuations de seuil que vous devriez éliminer immédiatement. Mais après cela, vous devez prioriser en fonction du risque. »

Selon Joe Saunders, PDG de RunSafe, il est possible de quantifier ce risque à l'aide d'une matrice deux par deux qui évalue la probabilité de l'impact d'une vulnérabilité et sa gravité potentielle.

Construire un profil de risque pour chaque système est rarement simple. Les entretiens avec les propriétaires et les opérateurs d'actifs sont essentiels pour comprendre l'impact si un système donné venait à tomber en panne. "Vous pouvez avoir une machine qui semble être vulnérable et à haut risque", a déclaré Miklovic. Mais s'il tombe en panne, cela peut ne causer que des problèmes isolés plutôt que de tout "s'arrêter brutalement".

Un autre facteur qui peut compliquer l'évaluation des risques est la tendance des organisations à prioriser les cyber-priorités uniquement en fonction du temps ou de l'argent investi. « Ce qu'une organisation pense avoir de la valeur peut être très différent de ce qu'un cybercriminel pense avoir de la valeur », a déclaré Bill Malik, vice-président des stratégies d'infrastructure chez Trend Micro.

En ce qui concerne les équipements hérités, les organisations peuvent être limitées dans leur capacité à réduire les risques. Un appareil exécutant un système d'exploitation vieux de plusieurs décennies ne peut probablement pas être mis à jour. "La stratégie généralement adoptée sur ces systèmes consiste à isoler et à surveiller", a déclaré Howard. "Mon expérience est que l'isolement est généralement assez poreux."

Nouveaux risques dans la nouvelle normalité

La gestion des risques dans les infrastructures critiques est devenue de plus en plus difficile avec des préoccupations croissantes en matière de cybersécurité. La nécessité pour ces organisations de développer des plans d'intervention COVID-19 tout en élargissant le travail à distance pour certains travailleurs ajoute une complexité supplémentaire. « Je pense que le principal type de changement que nous voyons dans les environnements d'infrastructure critiques est le scénario de travail à domicile », a déclaré Jamil Jaffer, vice-président senior de la stratégie, des partenariats et du développement d'entreprise chez IronNet Cybersecurity.

Le paradigme du travail à domicile a compliqué la protection des systèmes vulnérables, a déclaré Howard. « Maintenant, vous avez des employés qui utilisent un VPN pour se connecter aux systèmes de production depuis leur domicile pour apporter des modifications », a-t-il déclaré. "Ils n'auraient probablement pas fait ça avant."

De même, certaines organisations pourraient être tentées d'accorder à des tiers tels que des fournisseurs et des techniciens un accès à distance à des systèmes sensibles. « L'accent est probablement moins mis sur la cybersécurité lorsque de nombreuses personnes se concentrent sur l'accomplissement de leur travail et le maintien de leur emploi », a déclaré Norton.

La disponibilité du réseau est une autre considération pour les organisations qui cherchent à étendre leurs capacités de travail à distance dans des contextes d'infrastructure critiques. « Dans le passé, 10 % à 20 % de leurs employés utilisaient une infrastructure d'accès à distance traditionnelle », a déclaré Norton. Alors que les organisations ont développé leurs capacités de travail à distance, "beaucoup ont rencontré des problèmes de bande passante, d'évolutivité et de déploiement des ressources", a déclaré Norton.

Alors que l'extension de la connectivité pour les actifs industriels peut potentiellement créer plus de vulnérabilités, COVID-19 a également souligné le risque de plans d'urgence à l'ancienne qui reposent sur la présence physique des travailleurs, les processus manuels et la paperasse.

Bien que traditionnellement lentes à changer, les organisations d'infrastructures critiques ne devraient pas hésiter à apporter des changements en profondeur à leur architecture technologique alors qu'elles repensent les processus et les flux de travail de base. "S'il s'agit de la nouvelle norme, vous devrez probablement reconcevoir votre infrastructure", a déclaré Norton.

Vers une cybersécurité proactive 

En fin de compte, les organisations d'infrastructures critiques cherchent à passer de processus manuels bien ancrés offrant une réduction progressive des risques à une posture de cybersécurité plus proactive. « Les environnements industriels ont tendance à être complexes et en constante évolution », a déclaré Natali Tshuva, PDG de Sternum. « Les contrôles de sécurité sont nécessaires non seulement pour évaluer la situation actuelle, mais également pour offrir une protection durable et une tranquillité d'esprit pour les années à venir. »

Traditionnellement, la sécurité des infrastructures industrielles et critiques signifiait la sécurité physique, englobant la sécurité et le contrôle d'accès dans un périmètre physique. De nombreux protocoles industriels traditionnels sont fondamentalement peu sûrs car leurs concepteurs supposaient que seul le personnel autorisé y aurait accès. Mais l'essor du travail à distance, du cloud computing et de l'IIoT a sapé le modèle de sécurité des châteaux et des douves. L'influence de ce modèle hérité, cependant, est l'une des raisons pour lesquelles de nombreuses organisations d'infrastructures critiques - ainsi que des entreprises - ont une approche de sécurité réactive.

L'accent d'une telle refonte devrait être la création de flux de travail robustes et efficaces basés sur des politiques de sécurité universelles. « Déplacez les contrôles de sécurité aussi près que possible des actifs », a conseillé Norton.

Le processus comprend la création d'une politique de sécurité complète et évolutive pour les actifs suivants :

• Équipements et appareils :Un tel matériel peut aller des équipements industriels hérités aux appareils IoT en passant par les ordinateurs portables fournis par les entreprises. « Comprendre ces appareils dans leur contexte par rapport aux utilisateurs est très important », a déclaré Norton. Les organisations doivent sécuriser les contrôleurs industriels, a conseillé Joe Saunders, PDG de RunSafe Security. En revanche, la sécurisation des capteurs et des passerelles est relativement simple. « Mais les contrôleurs sont sensibles aux performances et profondément ancrés dans l'infrastructure. »
• Réseaux et utilisateurs :En ce qui concerne les utilisateurs, le personnel de sécurité doit restreindre l'accès autant que possible en fonction des contrôles décrits dans une politique de sécurité organisationnelle. "Vous pouvez avoir un moteur de politique qui parle à ces contrôles de sécurité qui vous permet d'appliquer dynamiquement, dans le contexte de l'utilisateur et de l'application, la logique", a déclaré Norton. Les organisations doivent également investir dans des capacités de détection des violations de réseau.
• Données . La classification et la découverte des données sont des outils précieux pour évaluer le niveau de contrôle nécessaire pour protéger un type de données donné.
• Flux de travail, charges de travail et processus. Le degré de protection requis rend compte de la valeur intrinsèque de ces processus pour votre organisation et de la probabilité que des adversaires interfèrent avec eux. Cette tâche comprend également le renforcement de la chaîne d'approvisionnement et la garantie que les sous-traitants et les fournisseurs se conforment à un niveau de contrôle de sécurité spécifié.
• Processus de développement logiciel. Les organisations d'infrastructures critiques « devraient intégrer la sécurité dans le développement de logiciels, afin que le logiciel que vous déployez soit résilient », a déclaré Saunders.  

Bien que la cyber-hygiène soit vitale, un écueil courant en matière de sécurité consiste à sous-prioriser la détection, la réponse et la récupération des menaces. « Une règle de base rapide est de consacrer 50 % de vos efforts à la prévention et à la détection et de consacrer 50 % de vos efforts à la récupération des réponses», a déclaré Matt Selheimer, cadre chez PAS Global. "Traditionnellement, l'approche adoptée par de nombreuses organisations consiste à mettre en place les contrôles préventifs en premier lieu", a déclaré Norton. Mais étant donné la complexité de l'examen des risques dans les environnements d'infrastructures critiques, la réponse et la récupération passent parfois au second plan. "Si quelque chose ne va pas, vous voulez pouvoir l'identifier rapidement et l'arrêter", a déclaré Norton. « C’est tout aussi important que d’empêcher quelque chose parce que vous savez que quelque chose finira par mal tourner. »

Les organisations qui aspirent à passer à une posture de cybersécurité proactive peuvent s'inspirer de divers cadres, allant de la norme ISO 27002 complète et des normes spécifiques aux systèmes de contrôle industriel tels que ISA/IEC 62443. Un nouveau venu relatif est la certification du modèle de maturité de la cybersécurité (CMMC) de la Département de la Défense — conçu pour spécifier le niveau de sécurité requis pour que les organisations soumissionnent sur divers programmes gouvernementaux. Divisé en cinq niveaux, les trois premiers spécifient une cyber-hygiène de base, intermédiaire et bonne. Les deux niveaux supérieurs nécessitent une gestion de la cybersécurité plus sophistiquée. Le quatrième stipule que « toutes les cyberactivités sont examinées et mesurées pour en évaluer l'efficacité », les résultats de l'examen étant partagés avec la direction. Le niveau supérieur ajoute une documentation standardisée et complète relative à toutes les unités pertinentes.

CMMC niveau 1	Cyber-hygiène de base (réalisée)	Les pratiques sélectionnées sont documentées le cas échéant
CMMC niveau 2	Cyber-hygiène intermédiaire (documentée)	Chaque pratique est documentée et une politique existe pour toutes les activités
CMMC niveau 3	Bonne cyber-hygiène (gérée)	En plus des pratiques ci-dessus, un cyberplan existe et est opérationnalisé pour inclure toutes les activités.
CMMC niveau 4	Proactif (examiné)	Toutes les cyber-activités sont examinées et mesurées en termes d'efficacité. Les résultats sont partagés avec la direction.
CMMC niveau 5	Progressif avancé (optimisation)	En plus des pratiques ci-dessus, cette étape ajoute une documentation standardisée à travers l'organisation.

« C'est le premier cadre que nous avons vu avec un modèle de maturité cartographié spécifique aux intégrateurs et à leurs sous-traitants qui soumissionnent sur des programmes gouvernementaux sensibles », a déclaré Tony Cole, directeur de la technologie chez Attivo Networks. Le cadre pourrait encourager les organisations d'infrastructures critiques à développer une compréhension plus sophistiquée du cyber-risque interne ainsi que la diligence raisonnable requise de la part des tiers. Il y a un niveau d'objectivité dans le cadre qui pourrait être utile, a déclaré Cole. « Selon le modèle, un auditeur tiers doit venir confirmer le niveau de cybersécurité d'un entrepreneur. Pas d'enquêtes autodéclarées », a-t-il déclaré. "Quelqu'un doit l'auditer."

L'automatisation est également un élément à prendre en compte lors de la conception d'une stratégie de sécurité proactive. Des techniques telles que l'apprentissage automatique peuvent aider les organisations à automatiser les tâches de surveillance de la sécurité de routine telles que la détection des violations de réseau et à mettre en œuvre des contrôles pour arrêter la propagation des attaques.

Les protections de sécurité intégrées, qui sont de plus en plus disponibles sur divers appareils aux ressources limitées, offrent une protection intrinsèque contre les menaces. La protection sur l'appareil devrait également « inclure des capacités complètes de gestion des actifs », a déclaré Tshuva. Ces contrôles prennent en charge la visibilité du réseau et peuvent fournir des alertes automatiques pour les attaques.

Les organisations qui se précipitent pour trouver des moyens d'automatiser la surveillance de la sécurité sans une politique de sécurité solide et contextuelle sont souvent confrontées à une explosion de fausses alarmes, a averti Selheimer. Mais en fin de compte, toutes les organisations devraient prévoir d'investir du temps dans le réglage des contrôles de sécurité. « Ce n'est pas différent en OT qu'en informatique. Les personnes du [centre des opérations de sécurité] passent beaucoup de temps à régler les règles de pare-feu et les informations de sécurité, les règles de corrélation de gestion des événements pour réduire le bruit », a déclaré Selheimer.

Le paysage unique et varié des infrastructures critiques complique encore les choses, ce qui peut compliquer le déploiement d'outils d'automatisation de la sécurité et d'IA prêts à l'emploi. « Il y a certainement des limites. Mais il existe également des moyens de résoudre ce problème », a déclaré Norton. Les organisations peuvent, par exemple, isoler les systèmes opérationnels sensibles et utiliser des outils d'automatisation et d'orchestration pour protéger l'enclave résultante. "Grâce à l'automatisation et à l'orchestration, automatisez autant que vous le pouvez, puis orchestrez là où vous ne pouvez pas automatiser pour vous assurer que vous disposez de capacités efficaces et que vous répondez et vous adaptez aux menaces", a déclaré Norton.

En fin de compte, les menaces pour la sécurité des infrastructures critiques évolueront probablement rapidement. "Être proactif signifie que vous ajustez constamment votre cyber-posture pour faire face à ce qui se passe à la fois en termes d'impacts directs contre l'organisation ainsi que ce que vous voyez se produire du point de vue de l'industrie", a déclaré Norton.