Professionnels de la sécurité travaillant ensemble pour se défendre contre les cybermenaces croissantes dans le domaine de l'énergie

Dans le passé, les organisations énergétiques et autres opérateurs industriels n'avaient à se soucier que de la sécurité physique. Maintenant que la plupart des systèmes de contrôle industriel (ICS) sont connectés à Internet, le secteur de l'énergie doit prêter attention aux nouvelles cybermenaces. Nous entendons souvent parler de pirates informatiques qui s'introduisent dans les systèmes informatiques pour voler des données, généralement à des fins financières. Avec une infrastructure critique, cependant, les cyberattaques peuvent perturber des opérations critiques, endommager des équipements physiques et même causer des pertes de vie. Nous en voyons de plus en plus d'exemples concrets.

Dans un moment historique récent, le FBI et Département de la sécurité intérieure a publié un rapport conjoint décrivant une campagne de piratage russe massive pour infiltrer l'infrastructure critique de l'Amérique. Dans un premier temps, le gouvernement américain a publiquement blâmé le gouvernement russe pour les attaques contre les infrastructures énergétiques.

Nous avons également vu des découvertes comme Triton (alias Trisis), qui a fermé une usine pétrochimique saoudienne l'année dernière et qui aurait été conçue pour provoquer une explosion. Six mois auparavant, Industroyer, un malware modulaire qui peut détruire les systèmes ICS en s'adressant aux protocoles de communication industriels et en déployant des malwares d'essuyage.

Répondre à la menace

Dans l'enquête de Tripwire auprès des professionnels de la sécurité dans le secteur de l'énergie, 59% ont déclaré que leurs entreprises avaient augmenté leurs investissements en matière de sécurité en raison d'attaques ciblées sur les SCI comme Trisis/Triton, Industroyer/CrashOverride et Stuxnet. Cependant, beaucoup pensent qu'ils n'ont toujours pas le niveau d'investissement approprié pour atteindre les objectifs de sécurité du SCI.

Plus de la moitié (56 %) des répondants à l'enquête de Tripwire ont estimé qu'il faudrait une attaque importante pour amener leurs entreprises à investir correctement dans la sécurité. C'est peut-être la raison pour laquelle seulement 35 % des participants adoptent une approche multicouche de la sécurité du SCI, largement reconnue comme une bonne pratique. 34 % ont déclaré qu'ils se concentraient principalement sur la sécurité du réseau et 14 % sur la sécurité des appareils ICS.

L'autre enjeu de la cybersécurité industrielle est organisationnel :le clivage de longue date entre les équipes informatiques (IT) et opérationnelles (OT). Selon l'enquête Tripwire, cependant, 73 % des participants ont déclaré que leurs équipes IT et OT travaillent mieux ensemble maintenant que par le passé.

Les organisations se rendent compte qu'elles n'ont d'autre choix que de faire travailler leurs équipes ensemble alors que la menace d'attaque continue d'augmenter. Dans l'enquête, les équipes IT et OT étaient alignées sur ce qui pourrait arriver si elles n'obtenaient pas une sécurité industrielle correcte, comme l'arrêt des opérations et la sécurité de leurs employés.

Bien que la collaboration s'améliore certainement, la plupart des répondants à notre sondage ont suggéré que l'informatique dirige toujours l'initiative. Lorsqu'on leur a demandé si les équipes informatiques ou OT prenaient l'initiative sur les besoins de sécurité du SCI, 50 % du total des participants ont déclaré l'informatique, 35 % ont déclaré qu'elle était partagée de manière égale entre l'informatique et l'OT et 15 % ont répondu OT.

Il n'est pas surprenant de voir les équipes informatiques prendre les devants, car elles ont généralement plus d'antécédents en matière de cybersécurité. La menace numérique est relativement nouvelle pour le côté OT de la maison. Cela dit, les environnements opérationnels sont très différents des environnements informatiques, et les équipes convergentes qui réussissent laissent leurs homologues OT diriger lorsqu'elles ont l'expertise. Le partenariat de l'équipe OT est absolument crucial dans la mise en œuvre d'un programme de sécurité ICS qui ne perturbera pas les opérations.

Une approche en trois étapes pour renforcer la défense en profondeur :

Bien que n'étant pas aussi simple que 1-2-3, les organisations peuvent aborder la cybersécurité industrielle en trois étapes :

Tout d'abord, sécurisez le réseau. Les entreprises doivent segmenter les réseaux en implémentant la norme ISA IEC 62443, sécuriser toutes les applications sans fil et déployer des solutions d'accès à distance sécurisées pour le dépannage et la résolution des problèmes. Les entreprises doivent également surveiller leurs réseaux, y compris les équipements d'infrastructure de réseau industriel.

Deuxièmement, sécurisez les points de terminaison. Cela peut commencer par investir dans la découverte d'actifs et créer un inventaire des points de terminaison sur le réseau. Les organisations doivent ensuite s'assurer que les terminaux sont configurés en toute sécurité et surveillés pour les modifications.

Troisièmement, sécurisez les contrôleurs. Les entreprises peuvent mieux protéger ICS en améliorant les capacités de détection et la visibilité du réseau en mettant en œuvre des mesures de sécurité pour les contrôleurs vulnérables, en surveillant les accès suspects et le contrôle des modifications, et en détectant/contenant les menaces en temps opportun.

Les mondes physique et numérique continuent de converger, apportant de nouvelles opportunités pour une meilleure productivité et des opérations optimisées. Il est toutefois important d'intégrer la sécurité dans le processus de transformation numérique pour protéger les infrastructures critiques contre les nouvelles menaces numériques.