Évaluation des facteurs de risque dans la cybersécurité OT :un guide pour les ingénieurs en automatisation

On dit souvent :« Internet est un mauvais quartier ». Et aussi vrai que cela semble être, il existe de nombreux autres risques et menaces dont les ingénieurs en automatisation doivent être conscients et qui peuvent affecter les systèmes informatiques utilisés dans l'automatisation et le contrôle.

La technologie opérationnelle, ou OT, fait référence au matériel physique et aux logiciels utilisés pour surveiller et contrôler les équipements, les processus et les infrastructures industriels. Ce sont les éléments avec lesquels nous, ingénieurs en automatisation, travaillons quotidiennement.

Cet article examinera attentivement les facteurs de risque liés à la cybersécurité des OT et comment vous pouvez réduire ces risques.

Les infrastructures critiques, telles que les centrales énergétiques, les barrages et les parcs éoliens, ainsi que les usines de fabrication critiques, doivent être conscientes des nombreuses menaces auxquelles leurs systèmes sont confrontés. Par exemple, les menaces peuvent provenir d'un employé mécontent qui infecte sciemment le réseau avec un virus.

Les menaces peuvent provenir d’une source externe, comme Internet. Chacun de ces types de menaces pourrait causer des dommages importants à l’infrastructure OT de l’usine.

Contre quels risques vos systèmes doivent-ils se prémunir ? Il ne suffit pas de faire ce que font les autres ou d'utiliser au hasard du matériel et des logiciels de cybersécurité pour garantir la sécurité.

Une approche systématique de la cybersécurité est une étape vitale nécessaire pour éliminer les risques et faire de vos systèmes un voisinage plus convivial.

Principes fondamentaux de l'évaluation des risques de cybersécurité des OT

L’évaluation des risques OT est définie comme le processus systématique d’identification, d’évaluation et de priorisation des menaces et des vulnérabilités. Il existe plusieurs caractéristiques propres aux environnements OT qui diffèrent des environnements informatiques.

Parmi ceux-ci figurent la prédominance des systèmes existants, les exigences de disponibilité 24h/24 et 7j/7 et les intégrations physiques aux machines, actionneurs et capteurs qui composent le processus de fabrication.

Les évaluations des risques doivent impliquer toutes les parties prenantes concernées, y compris le personnel des opérations, de l'ingénierie, de l'informatique et de la direction. Comme je l'ai mentionné précédemment, cette évaluation des risques doit suivre une approche systématique pour réussir.

Jetons donc un coup d'œil aux cinq étapes impliquées dans cette évaluation.

Identification et inventaire des actifs

Lorsqu’on demande à une compagnie d’assurance d’assurer votre maison, elle veut savoir ce qu’elle contient afin de savoir ce qui pourrait être perdu, ou en d’autres termes, ce qui risque d’être perdu ou endommagé. Il en va de même pour les évaluations des risques en matière de cybersécurité.

L’inventaire et la cartographie de tous vos actifs OT constituent la première étape critique. Tout doit être répertorié dans l'inventaire, y compris le matériel tel que les automates, les systèmes SCADA et les stations IHM. Cet inventaire doit inclure tous les logiciels et micrologiciels installés sur vos systèmes OT.

Ces actifs ne semblent peut-être pas de nature physique, mais ils sont à risque et sont les actifs les plus faciles à infecter pour les pirates.

Nous devons également inclure les équipements réseau tels que les commutateurs et le câblage. Et n'oubliez pas les connexions externes telles que les ports de données fournis pour l'accès au fournisseur ou les connexions pour la maintenance à distance.

Un inventaire complet est crucial pour permettre à l'équipe d'évaluation des risques de bien comprendre ce que l'on appelle le « paysage des menaces ».

Les éléments manqués, tels que les ports de données fournis pour l'accès aux fournisseurs, peuvent constituer des voies faciles d'infection du système, même s'ils ne sont pas malveillants.

Identification des menaces et des vulnérabilités

Une fois que nous avons répertorié tous nos actifs, nous connaissons tous les éléments qui pourraient être attaqués. Ensuite, nous devons identifier les types de menaces que nos systèmes peuvent inviter.

Ces menaces peuvent être des menaces internes provenant de l'intérieur, telles que le détournement de fonds sur des comptes ou des configurations incorrectes par inadvertance des commutateurs réseau qui permettent de contourner les exigences d'authentification des utilisateurs.

Les menaces peuvent également provenir de sources Internet, de logiciels malveillants, de pirates informatiques ou d'acteurs étatiques s'attaquant à des actifs précieux, tels que des formulations et des recettes.

On oublie souvent les vulnérabilités courantes qui peuvent survenir avec le matériel et les logiciels OT existants, telles que le manque de correctifs, une authentification faible et des protocoles non sécurisés.

Analyse d'impact

Maintenant que nous connaissons le paysage des menaces, nous devons évaluer les conséquences d'un système compromis en raison d'une attaque.

Ces conséquences peuvent prendre de nombreuses formes, telles que des risques pour la sécurité du personnel ou de l'environnement, des perturbations de la production, des perturbations opérationnelles, des pertes financières, une atteinte à la réputation et des violations de la réglementation et de la conformité.

Les conséquences auxquelles votre établissement peut être confronté dépendent de votre situation unique et peuvent inclure de nombreux autres risques.

Évaluation de la vraisemblance

L'étape suivante est la plus difficile :déterminer la probabilité que ces conséquences se concrétisent réellement.

Déterminer la probabilité d'exploitation des vulnérabilités de votre système implique de prédire votre exposition aux menaces Internet, d'identifier les exploits connus et les capacités des adversaires et, surtout, l'historique des incidents qui ont affecté des systèmes comme le vôtre.

Par exemple, Stuxnet était un virus omniprésent et débilitant qui attaquait le matériel d'un fournisseur spécifique. L’attaque du Colonial Pipeline était une cyberattaque de ransomware qui a entraîné l’arrêt des opérations et d’importantes pénuries de carburant sur la côte Est. Que peut-il arriver à votre opération et quelle est la probabilité que cela se produise ?

La matrice des risques

La dernière étape consiste à construire une matrice de risque pour chaque facteur de risque. La matrice des risques répertorie généralement l’impact d’une violation de cybersécurité par rapport à la probabilité qu’elle se produise. Voici un exemple de matrice utilisant des seuils d'impact et de probabilité faibles, moyens et élevés.

L'équipe d'évaluation des risques est chargée de déterminer la meilleure répartition des risques pour chaque carré de la matrice. Votre équipe peut déterminer qu’une forte probabilité d’occurrence avec un impact moyen serait également considérée comme un risque élevé. Le classement dépend uniquement de votre situation unique.

Pourquoi générer cette matrice ? Il vous permet d'identifier facilement les risques qui nécessitent une atténuation immédiate, comme tous les éléments à haut risque, ainsi que ceux qui peuvent être différés, comme ceux à faible risque.

Les entreprises disposent de budgets limités pour la cybersécurité. Les problèmes les plus risqués doivent donc être résolus en premier.

Défis et considérations liés à l'évaluation des risques en ergothérapie

Ce processus n’est généralement pas facile. Des éléments tels que la compréhension de toutes les contraintes liées à l’application de correctifs aux systèmes existants peuvent s’avérer difficiles. La visibilité peut être limitée quant à la nature de certaines menaces.

Il peut y avoir des obstacles organisationnels à l’obtention de toutes les données nécessaires pour évaluer l’ampleur de certaines menaces. Il peut exister des risques inconnus au niveau de la chaîne d'approvisionnement et des tiers.

Bonnes pratiques pour une évaluation efficace des risques en matière d'ergothérapie

Il existe des pratiques exemplaires pour surmonter certaines de ces contraintes et élaborer un profil de risque efficace. Le plus important est que toutes les parties prenantes soient impliquées et collaborent à l'évaluation.

Pour faciliter ce processus, il existe de nombreuses normes et cadres disponibles qui guident les équipes dans le processus d'évaluation des risques, tels que NIST CSF et IEC 62443.

La clé d'un programme efficace d'évaluation des risques de cybersécurité consiste à mettre à jour périodiquement l'évaluation à l'aide des données actuelles.

Conclusion

Les évaluations des risques de cybersécurité OT constituent la base de la création d’une défense efficace contre les menaces internes et externes. En impliquant toutes les parties prenantes dans le processus, l'image la plus complète des menaces et de la probabilité d'occurrence peut être déterminée et tracée dans une matrice de risques.

À partir de la matrice des risques, les décisions appropriées peuvent être prises pour utiliser les défenses de cybersécurité. À mesure que les risques liés aux OT évoluent, il est important que les installations soient proactives et effectuent des évaluations continues des risques comme fondement de leur programme de cybersécurité OT.

‍