Protéger le marché industriel des attaques est difficile (mais pas impossible)

Par OT, technologie d’exploitation, nous entendons à la fois le matériel et le logiciel dédiés au contrôle des appareils industriels et de leurs processus. C’est la technologie utilisée dans les usines, en général dans l’industrie manufacturière mais pas seulement, par exemple l’OT est également présent dans les entreprises de fourniture d’énergie ou parmi les fournisseurs d’infrastructures pour l’administration publique. La technologie d’exploitation est désormais de plus en plus intégrée aux technologies de l’information, il suffit de penser à ce qui arrive aujourd’hui aux robots industriels, régis comme des dispositifs IoT.

D’une part, la digitalisation de l’OT apporte d’énormes avantages dans sa gestion, d’autre part elle représente une épine dans le pied, notamment en matière de sécurité. Même entre appareils industriels, des données et des informations transitent, avec la circonstance aggravante qu’il s’agit souvent de machines télésurveillées, c’est-à-dire non surveillées en permanence, et qui sont régulées par des logiciels obsolètes et non standards.

Systèmes appartenant à la catégorie Operational Technology (OT) représentent donc sans aucun doute une cible attrayante pour les attaques tant politiques que financières. La plupart des appareils OT sont en effet considérés comme dangereux “par conception”, car leur conception suppose que ces systèmes fonctionnent dans des environnements protégés déconnectés du réseau IP. Partant de ce postulat, les concepteurs du passé ont davantage privilégié la fonctionnalité et l’efficacité, souvent au détriment de la sécurité. On ne peut plus penser aujourd’hui fonder la sécurité des systèmes OT en agissant uniquement sur le réseau au sein duquel ils opèrent. Il est plus important que jamais de considérer le monde OT comme un élément indépendant à protéger en termes de vulnérabilité dans ses composants.

Les données des intrusions sur le marché OT

Pour cette raison, “l’industrie OT continue d’être ciblée par les cybercriminels à un rythme rapide”, indique l’état des technologies opérationnelles et de la cybersécurité 2023 de Fortinet. En particulier, même si le nombre d’entreprises n’ayant pas connu d’intrusion est fortement réduit d’une année sur l’autre (de 6% en 2022 à 25% en 2023), il reste encore une marge de progression importante. En fait, les trois quarts des entreprises OT ont signalé au moins une intrusion au cours de la dernière année. Les logiciels malveillants (56 %) et le phishing (49 %) étaient à nouveau les types d’incidents les plus signalés, avec près d’un tiers des personnes interrogées déclarant avoir été victime d’une attaque par ransomware au cours de l’année écoulée (32 %, inchangé par rapport à 2022).

Se concentrer sur le marché italienMassimo Palermo, Fortinet Country Manager pour l’Italie et Malte commente les données du dernier rapport Clusit, une référence fondamentale pour notre pays. “Les attaques en Italie augmentent de 169 % entre 2021 et 2022 et l’incidence sur le total mondial est passée de 3,4 % à 7,6 %, ce qui signifie que l’Italie continue d’être une cible attrayante. Cela – poursuit le responsable – signifie que les cybercriminels sont parfaitement conscients des vulnérabilités de notre tissu infrastructurel ».

Si la prise de conscience d’une protection accrue par les entreprises progresse légèrement, en revanche la réaction ne suffit pas. « En Italie, le rapport entre les dépenses de cybersécurité et le PIB est de 0,10 % – rappelle Palerme – maintenant notre pays très éloigné des autres membres du G7. J’espère que les investissements envisagés par le PNRR pourront nous aider à grimper dans les classements, ainsi que l’obligation de se conformer à la directive NIS 2 de l’Union européenne sur la sécurité des réseaux et de l’information qui prévoit, entre autres, des interventions plus strictes ”. Bref, encore une fois, s’il n’y a pas de sensibilité et d’envie d’investir, la Loi oblige certainement les entreprises à bouger.

Des technologies efficaces existent

L’excuse du manque de solutions ne tient pas : aujourd’hui plus que jamais, les outils technologiques sont adéquats pour faire face même aux risques d’un secteur particulier comme l’OT. Même si le périmètre est complexe : toujours selon le rapport Fortinet, près de 80 % des répondants déclarent devoir gérer plus de 100 appareils OT compatibles IP. Les résultats de l’enquête ont également révélé que les solutions de cybersécurité continuent de contribuer au succès de la majorité des professionnels de l’OT (76 %), notamment en améliorant l’efficacité (67 %) et la flexibilité (68 %).

Cependant, les données de l’étude indiquent également que la dispersion des solutions rend plus difficile l’intégration, l’utilisation et l’application cohérente des règles de sécurité dans un paysage de plus en plus convergent. Le problème s’aggrave ensuite du fait du vieillissement des systèmes : la majorité des entreprises (74%) déclarent que l’âge moyen des systèmes ICS (Industrial Control System) de leur entreprise est compris entre 6 et 10 ans .

« Les plates-formes de cybersécurité sont le bastion qui protège l’activité de l’entreprise – dit Palermo -. Aujourd’hui, l’approche est zéro confiance – c’est-à-dire pas de confiance sur les accès et le trafic sur le réseau de l’entreprise – et il faut une stratégie qui prévoit une évaluation des risques numériques et des actions de déception – capable de permettre d’identifier et de neutraliser la menace de la tromperie avant qu’elle ne se manifeste – ainsi que la simple détection – l’identification alors qu’elle a déjà été déclarée. Mais cela ne suffit pas, nous avons besoin d’une culture d’entreprise orientée vers la sécurité et une prise de conscience totale des vulnérabilités de l’infrastructure informatique ».

En parlant d’infrastructures critiques, la directive NIS2 susmentionnée peut et doit être exploitée pour apporter des améliorations fondamentales à la sécurité IT, OT, IoT. En plus des solutions de tromperie (capables de reproduire des systèmes trompeurs facilement attaquables similaires aux vrais) existent de nombreuses solutions fondamentales telles que les bacs à sable (capable de tester des fichiers et des URL sur des systèmes virtuels similaires aux vrais pour comprendre s’ils ont un comportement malveillant), solutions de commutation sécurisées (capable de masquer les éléments présents dans un réseau), SIEM (capable de normaliser et de corréler tous les événements de sécurité produits par ces appareils pour ne mettre en évidence que les événements importants et réels).

Concernant la « dispersion des solutions » mise en évidence par rapports sur FortinetPalerme fait valoir que les différents fabricants de technologies de sécurité doivent collaborer : “il faut une approche écosystémique – confirme le responsable -, le marché a besoin d’alliances, de facilité d’intégration entre plateformes, de standards, pour avoir une surface d’attaque de plus en plus cohérente et solide”.

Une affirmation encore plus valable sur le marché des appareils industriels connectés au Net où, comme on l’a dit, l’incompatibilité, le manque de communication, l’absence de quelques standards reconnus parmi les applications de gestion sont les maîtres.

Aujourd’hui la cyber bataille se joue sur la vitesse pour minimiser l’asymétrie existante entre attaquants et défenseurs. Il est absolument nécessaire d’identifier/intercepter les menaces le plus tôt possible… avant qu’il ne soit trop tard et qu’elles ne causent des dommages à une partie aussi importante du tissu productif italien.