Sécurisation de l'OT ou la cyber sans extrémisme
Pour sécuriser les équipements opérationnels, les RSSI doivent faire preuve de pragmatisme, via un juste équilibre entre leurs exigences et les contraintes de production. Et en se trouvant des alliés sur le terrain.
PublicitéUn parc mal connu, des équipements et logiciels totalement obsolètes, une incapacité à patcher, des fournisseurs pas toujours très en pointe sur la cyber... : les (multiples) talons d'Achille de la sécurisation de l'OT, ces technologies opérationnelles déployées au plus près de la production (que l'on parle de simples PC ou d'équipements plus spécifiques), sont bien connus. Et restent un casse-tête pour les RSSI, même si les organisations s'adaptent en raison de la montée des menaces, comme l'illustre l'arrivée de groupes de cybercriminels spécialisés dans la compromission d'environnements OT (à l'image de The Gentleman, identifié récemment par Trend Micro).
« Nous ne faisons pas de distinction entre l'IT et l'OT dans la sécurisation de nos projets, quand bien même il y aurait une certaine résistance des métiers », assure Julien Dreano, le RSSI de Framatome, qui s'exprimait lors d'une table ronde des Universités d'été de la cybersécurité et du cloud de confiance, organisées par Hexatrust le 9 septembre, à Paris. Le RSSI dit ainsi mener environ 300 analyses de risques par an. « C'est avant tout un filet de pêche grâce auquel nous attrapons les gros poissons », ajoute-t-il. Autrement dit, un cadre permettant de détecter les risques majeurs. Mais le RSSI reconnaît qu'au-delà des projets, c'est bien le Legacy qui constitue le principal « point de vigilance ». « Comme la sécurisation d'un appareil sous Windows XP qui perdure sur le réseau », illustre-t-il. Un point clef pour l'équipementier du nucléaire dont le cycle de vie des équipements - de la conception au démantèlement - s'étend sur... environ un siècle.
Trouver des compromis pour le Legacy
Ancien RSSI dans le domaine des assurances, Frank Van Caenegem, vice-président cybersécurité et RSSI Europe de Schneider Electric depuis 2023, souligne que faire entrer la cybersécurité dans les usines nécessite une approche particulière, bien différente de celle en vigueur dans ses précédentes expériences. « Il faut avant tout travailler sur la réduction des risques - car ceux-ci augmentent, par exemple dans le cadre des guerres hybrides actuelles, les usines peuvent devenir des cibles -, sans pour autant effectuer de grands changements. Dans l'industrie, un RSSI ne peut pas être un extrémiste de la cyber, il lui faut adopter une approche plus intelligente », dit-il.
De son côté, Clément Devun, architecte en cybersécurité du gestionnaire du réseau de distribution d'électricité Enedis, parle d'une « approche raisonnée » de la cybersécurité : « nous arbitrons en fonction du ratio bénéfices/coûts, de la réduction des risques et de la diminution de la dette technique. On peut voir le réseau d'Enedis comme une usine à ciel ouvert de la taille de la France métropolitaine, au sein de laquelle existe une forte hétérogénéité entre des systèmes récents interconnectés et des systèmes plus anciens, pour lesquels il faut trouver des compromis en matière de cybersécurité. »
PublicitéSe reposer sur les bonnes pratiques d'architecture
Pour Julien Dreano (Framatome), la sécurisation du Legacy doit avant tout reposer de bonnes pratiques d'architecture connues depuis bien longtemps. « Le vrai sujet réside dans le zonage des systèmes Legacy et des systèmes critiques, couplé à des principes de ségrégation des droits et des usages », dit le RSSI. A condition, évidemment, de disposer d'une vision complète des systèmes connectés.
Reste la question du dialogue entre la cybersécurité, souvent positionnée au siège de l'entreprise, et des équipes opérationnelles, en usines ou sur le terrain. Pour s'assurer du déploiement des pratiques de cybersécurité sur le terrain, Schneider Electric mise sur un leader du sujet dans chaque usine. « Il s'agit souvent de spécialistes métier qui sont formés aux enjeux de la cyber, car connaître l'usine est essentiel pour pouvoir discuter avec son patron, par exemple pour trouver le meilleur moment pour patcher un équipement », souligne Frank Van Caenegem. Enedis s'appuie, lui, sur un maillage territorial, des référents en région étant chargés de vulgariser les enjeux cyber. « Il s'agit d'expliquer le pourquoi de nos actions », résume Clément Devun.
La recherche d'une réglementation équilibrée
Reste la question des risques induits par la supply chain matérielle et logicielle. Comme la plupart des industriels, Schneider Electric s'insère dans un écosystème de partenaires, dont les pratiques en cybersécurité influent sur le niveau de risques auquel est exposé l'ensemble de la chaîne. Et Frank Van Caenegem d'insister sur le besoin d'amener tout cet écosystème - en particulier les fournisseurs de sous-ensembles et de systèmes - vers un socle minimal. C'est d'ailleurs ce vers quoi pousse l'évolution de la réglementation, par exemple via la directive RED sur les équipements radio, qui impose des principes de gestion des patchs et des secrets, ou le Cyber Resilience Act. « Nous sommes à la fois en position d'acheteur et de vendeur. Donc nous cherchons un équilibre entre une réglementation trop stricte, qui aurait un impact économique sur nos entreprises, et un trop grand laxisme, qui nous exposerait à des risques trop importants », reprend le RSSI Europe de Schneider Electric, pour qui ce point d'équilibre doit se construire via le dialogue avec les décideurs politiques.
Clément Devun (Enedis) insiste de son côté sur l'importance de la transmission, par les partenaires industriels, de listes SBOM et HBOM (respectivement, Software et Hardware bill of materials, soit la liste des composants d'un logiciel ou d'un matériel). « Car une des lois de la cyber, c'est tout composant sera vulnérable un jour, dit l'architecte cyber. Mais, pour réagir, encore faut-il savoir ce qu'on possède et compter en parallèle sur les alertes des fournisseurs. Est-ce que cela entraîne forcément une réaction de notre part ? Tout dépend du contexte, car nous nous reposons sur des principes de défense en profondeur. Notre stratégie consiste à mettre en oeuvre les outils les plus standards pour offrir le choix à nos dirigeants, en fonction des risques et des options possibles. »
Article rédigé par
Reynald Fléchaux, Rédacteur en chef CIO
Suivez l'auteur sur Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire