Sécurisation de l'Internet des objets industriel

Alors que les organisations conçoivent et déploient des efforts pour l'Internet des objets industriel, le terme n'a pas de sens pour les professionnels de la sécurité, car l'Internet industriel des objets (IIoT) est un concept. Il est difficile pour les responsables de la sécurité de protéger les concepts.

C'est selon Katell Thielemann, vice-président analyste chez Gartner Inc.

"[Les praticiens de la sécurité] doivent aborder le problème avec des détails, comprendre qu'ils ont affaire à des systèmes cyber-physiques qui ont des caractéristiques très spécifiques et comprendre ces caractéristiques est essentiel pour définir comment élaborer une approche de sécurité", a-t-elle déclaré.

Trop souvent, la vitesse du déploiement initial prime sur une stratégie de sécurité qui devrait englober l'ensemble du cycle de vie des systèmes, a déclaré Thielemann. Trop d'organisations apportent une vision centrée sur l'informatique de la sécurité aux environnements industriels lorsqu'il s'agit d'efforts IIoT.

Alors que la technologie opérationnelle de sécurité (OT) gagne l'attention et la visibilité des dirigeants auprès des autorités de réglementation, la capacité de les mettre sous une cybervisibilité et une protection complètes ainsi que d'assurer une vigilance continue est un défi à plusieurs niveaux, a déclaré Santha Subramoni, responsable mondial de la cybersécurité. chez Tata Consultancy Services.

Au niveau de la base, la surface de la menace (ou la zone qui peut être attaquée) elle-même est complexe et variée, faisant de la découverte et de l'intégration des actifs un défi pour l'architecture de sécurité d'entreprise, a déclaré Subramoni. Les capteurs, les appareils périphériques, la connectivité ainsi que les données, les applications et les écosystèmes d'hébergement associés sont au cœur de l'écosystème IIoT distribué.

Il existe une prévalence importante des technologies héritées et une prolifération des réseaux autonomes, en dehors des périmètres des réseaux d'entreprise, a déclaré Subramoni. Et le manque de visibilité des terminaux limite la capacité à prendre des mesures préventives.

"Les organisations doivent détecter et conserver un catalogue de vulnérabilités à plusieurs niveaux et maintenir les connaissances et la technologie requises pour les mêmes au sein de l'écosystème industriel, qui n'a généralement pas encore atteint une échelle et une fiabilité gérables", a déclaré Subramoni.

Comment un fabricant de matériaux de construction sécurise l'IIoT

Le fabricant de matériaux de construction HIL Ltd. a franchi la première étape de son parcours vers la numérisation et la mise en œuvre de l'IIoT en lançant la technologie numérique d'atelier dans quatre de ses usines de fabrication en Inde, a déclaré Murali Raj, directeur de l'information de HIL. L'atelier numérique connecte toutes les machines à un seul réseau, optimisant ainsi l'efficacité et la qualité.

"Maintenant, nous passons à la prochaine phase de maintenance prédictive", a déclaré Raj. « Nous réalisons donc des POC [preuves de concepts] sur la maintenance prédictive et nous réalisons également des POC sur la qualité prédictive. Nous devons donc également veiller aux mesures de sécurité. »

Dans l'atelier, les paramètres de la machine en temps réel sont capturés par des capteurs, des automates programmables (PLC) et des systèmes de contrôle de supervision et d'acquisition de données (SCADA). Les données sont ensuite transférées vers le cloud via le réseau informatique de HIL où elles sont analysées en temps réel, a déclaré Raj. De plus, le système génère des alertes instantanées que l'équipe des opérations peut utiliser pour prendre des mesures correctives.

"Auparavant, les systèmes SCADA existaient comme une île, non connectée à Internet", a déclaré Raj. « Donc, lorsque vous avez vos machines de fabrication et que vous avez vos automates en plus de cela, ils ont agi ensemble dans la salle de contrôle où le superviseur contrôlait l'ensemble de la fabrication [process]. Maintenant, ces données doivent sortir du réseau."

Par conséquent, HIL a dû implémenter des pare-feu du côté informatique pour se connecter en toute sécurité à Internet. Pour connecter ses appareils périphériques et ses capteurs à Internet afin de transférer des données, la société s'est assurée que ces appareils respectent les normes de sécurité appropriées, a déclaré Raj. Et HIL devait également s'assurer que ses logiciels et micrologiciels étaient corrigés et mis à jour régulièrement.

Après avoir traité de la technologie, HIL a également examiné les personnes et les processus.

"Auparavant, les ingénieurs de maintenance, les ingénieurs électriciens qui contrôlaient le SCADA, l'API et l'usine n'interagissaient même avec aucun de nos ingénieurs informatiques, ingénieurs réseau ou le responsable qui s'occupait de la sécurité de l'organisation", a déclaré Raj.

Maintenant, ces équipes doivent se réunir, se comprendre et mettre en place un processus pour se tenir au courant de ce qui se passe dans leur région, a-t-il déclaré. HIL a également formé certains de ses ingénieurs informatiques sur l'OT et la sécurité OT et a demandé à l'équipe de l'usine d'être au moins sensibilisée à la cybersécurité.

"Nous avons également apporté une perspective extérieure où EY et Deloitte nous ont aidés à mettre en place un cadre de compréhension de l'informatique et de l'OT", a déclaré Raj. « Comme cette capacité n'existait pas en interne au sein de l'organisation, il est parfois utile de faire appel à un point de vue extérieur. »

Sur le plan du processus, HIL a veillé à ce que les mesures de sécurité informatique, telles que les autorisations de rôle, les réinitialisations de mot de passe, l'accès des utilisateurs, soient également suivies du côté OT.

« Donc, l'équipe de l'usine, qui n'était pas habituée à ce genre de procédures rigoureuses, devait les accepter », a-t-il déclaré.

Assurez-vous que les appareils/actifs critiques sont étroitement protégés

Bien que les attaques contre l'IIoT soient moins courantes que les attaques informatiques, leurs conséquences peuvent toujours être énormes, notamment une perte de production, un impact sur les revenus, le vol de données, des dommages matériels importants, l'espionnage industriel et même des lésions corporelles, a déclaré Asaf Karas, co-fondateur et chef de la technologie. responsable chez Vdoo, un fournisseur de cybersécurité automatisée pour les appareils connectés et l'IIoT.

Par conséquent, il ne suffit pas de réduire statistiquement le nombre d'attaques, mais de garantir que les appareils et les actifs critiques sont étroitement protégés dès leur entrée en production, a-t-il déclaré.

Karas a proposé quelques approches pour aider les organisations à améliorer leur sécurité IIoT :

• Adopter des processus de gestion des risques et des menaces spécifiques à leurs environnements industriels.
• Avant de déployer de nouveaux appareils, assurez-vous qu'ils sont sécurisés par conception et qu'aucune faiblesse exploitable de premier ou de tiers n'est trouvée dans le code ou la configuration de l'appareil.
• Après le déploiement, utilisez des outils de gestion des actifs pour découvrir et identifier les actifs industriels pertinents
• Mettre en œuvre des agents d'application d'exécution de point de terminaison conçus uniquement pour ces appareils afin d'assurer une surveillance et une protection continues.

Gérer l'hyper-connectivité

Le plus grand défi de beaucoup d'appareils aujourd'hui est qu'ils n'ont pas été construits avec la cybersécurité à l'esprit, a déclaré Kyle Miller, principal/directeur, Booz Allen Hamilton. Ils utilisent fréquemment des systèmes d'exploitation hérités en temps réel simplifiés qui ne prennent pas en charge le même niveau de protection de sécurité que les systèmes informatiques traditionnels. En conséquence, ils ont le potentiel d'augmenter considérablement la surface d'attaque d'une organisation, a-t-il déclaré.

Désormais, il est demandé à ces appareils de se connecter directement des réseaux industriels au réseau d'entreprise à Internet et au cloud, dans de nombreux cas, a déclaré Miller.

« [Il est important] de vraiment gérer cette hyper-connectivité, les flux de données et la construction . . . un environnement de confiance zéro où vous gérez vraiment ce à quoi cet appareil peut parler, ce à quoi il ne peut pas parler, et en cas de compromis, pour pouvoir vraiment limiter son rayon d'explosion », a-t-il déclaré.

Avant de mettre en œuvre des systèmes IIoT, les organisations doivent également avoir une bonne compréhension des types de risques qu'elles prennent, a déclaré David Forbes, principal/directeur, Booz Allen Hamilton.

Pour bien comprendre, une entreprise doit connaître la posture de sécurité actuelle de ses fournisseurs, les solutions et la mise en œuvre logicielle ainsi que les appareils qu'elle met en œuvre sur son réseau IIoT, a déclaré Forbes.

Par exemple, lorsqu'une organisation met en œuvre des technologies de fournisseurs tiers, elle doit poser aux fournisseurs des questions telles que :

• A-t-il créé son propre logiciel sur une plate-forme sécurisée ?
• Utilisent-ils des communications cryptées si nécessaire ?
• Des fonctionnalités de contrôle d'accès sont-elles en place ?

"C'est très important pour comprendre le risque et la façon dont vous modifiez volontairement le paysage des menaces de votre réseau en prenant en charge ces systèmes IIoT", a déclaré Forbes.

Les entreprises doivent s'assurer que ces appareils et systèmes IIoT sont séparés, le cas échéant, des autres réseaux informatiques et OT, a-t-il déclaré. Ces appareils doivent être étroitement contrôlés pour s'assurer qu'ils peuvent rester protégés, mais aussi pour qu'un vecteur d'attaque ne puisse pas créer l'accès à un autre.

Cyber-hygiène organisationnelle

"Ce sont des choses organisationnelles", a déclaré Forbes. « Je pense vraiment à ce que nous voyons et lorsque vous examinez les résultats de certaines de ces violations et attaques, cela remonte en grande partie à la cyber-hygiène et à la discipline organisationnelles et aux protocoles qui peuvent ou non avoir été mis en place pour commencer par."

Les environnements industriels sont une nouvelle frontière pour les mauvais acteurs et tout indique qu'ils ciblent de plus en plus ces environnements.

En 2020, il y a eu une augmentation significative des vulnérabilités et des menaces ciblant les environnements industriels, selon Thielemann. Et ce n'est pas surprenant étant donné que les entreprises créent de la valeur par le biais des opérations.

"Que ce soit pour l'espionnage industriel ou pour tenter des ransomwares, ces environnements sont les joyaux de la couronne pour la plupart des entreprises", a-t-elle déclaré. « [C]eci n'est pas une question de conformité en matière de sécurité ; il s'agit de la résilience des entreprises. »

Pour relever ces défis, les organisations doivent comprendre les caractéristiques clés des efforts IIoT envisagés, a déclaré Thielemann. Par exemple :

• Quels sont les résultats commerciaux recherchés par les efforts ?
• Où seront déployés les systèmes IIoT ?
  • Qui y aura accès, à la fois dans le monde physique et dans le cybermonde ?
  • Comment seront-ils architecturés ?
• Quelles solutions de sécurité seront intégrées par rapport à celles qui devront être superposées ?
• Les fournisseurs devront-ils se déplacer à distance pour la maintenance ou les mises à niveau ?
• Les flux de données passeront-ils par les réseaux existants ? Sans fil ?

"Les organisations doivent adopter une vision du cycle de vie des efforts IIoT", a-t-elle déclaré. « De la conception des exigences à l'achat, au déploiement, à la maintenance et au retrait, les considérations de sécurité doivent être prises en compte à chaque étape. »

Les responsables de la sécurité doivent se rendre compte que les environnements industriels sont très différents des environnements informatiques centrés sur l'entreprise, a déclaré Thielemann. Par exemple, les considérations relatives aux contraintes d'emplacement physique, à la résilience opérationnelle ou même à la sécurité doivent faire partie de la stratégie de sécurité. Les entreprises doivent modifier leurs approches de sécurité centrées sur l'informatique pour tenir compte de ces environnements ainsi que leurs approches en matière de correctifs, de surveillance et d'authentification.

En règle générale, l'IIoT relève des départements d'ingénierie et de production plutôt que de l'informatique, a déclaré Subramoni.

"Cependant, il doit y avoir une organisation et une surveillance de la transformation ainsi que de la modernisation de la technologie", a-t-elle déclaré. « La plupart des entreprises auront besoin de partenaires technologiques et d'intégration de systèmes de confiance pour évoluer à la demande et gérer les coûts de protection des systèmes industriels. Il s'agit d'un besoin en évolution rapide et la communauté technologique se prépare à relever le défi. »