CTI & OSINT

Réduire les cybermenaces sur l’OT/ICS dans les infrastructures critiques : six mesures clés

by  • 

Face à l’augmentation des cybermenaces visant les systèmes industriels, quatre agences fédérales américaines – la CISA (Cybersecurity & Infrastructure Security Agency), le FBI, l’EPA (Environmental Protection Agency) et le DOE (Department of Energy) – ont publié une fiche d’information conjointe sur les cybermenaces ciblant les technologies opérationnelles (Operational Technology, OT) et les systèmes de contrôle industriel (Industrial Control Systems, ICS) dans les infrastructures critiques.

Ce document (diffusé en TLP:CLEAR) fait état d’incidents récents affectant ces systèmes et exhorte les opérateurs d’infrastructures essentielles à améliorer sans attendre leur posture de cybersécurité face à des activités malveillantes ciblant spécifiquement les OT connectés à Internet.

Les systèmes OT/ICS pilotent des processus physiques vitaux (énergie, eau, transport, etc.), si bien que toute compromission peut entraîner des perturbations majeures des services essentiels. Or, de plus en plus d’OT/ICS sont reliés aux réseaux d’entreprise et parfois même exposés sur Internet, élargissant considérablement la surface d’attaque exploitable par des adversaires.

La fiche d’information publiée par la CISA et ses partenaires met en avant six mesures de mitigation prioritaires pour réduire ces risques. Nous détaillons ci-dessous chacune de ces recommandations, suivies d’un glossaire des termes techniques clés et d’une section de ressources pour approfondir le sujet.

À retenir : ces mesures s’alignent sur les objectifs transverses de cybersécurité (Cross-Sector Cybersecurity Performance Goals ou CPG) définis par la CISA et le NIST, qui constituent un socle minimal de bonnes pratiques de sécurité recommandées à toutes les organisations.

Supprimer les connexions des systèmes OT à Internet

La première recommandation est d’éliminer toute connexion directe des dispositifs OT vers Internet. En effet, les appareils OT exposés sont des cibles faciles pour les attaquants car ils n’intègrent généralement pas de mécanismes d’authentification et d’autorisation modernes et robustes.

Ces équipements peuvent par ailleurs être rapidement découverts en balayant les plages d’adresses IP publiques à la recherche de ports ouverts à l’aide d’outils accessibles librement. Des acteurs malveillants utilisent déjà des méthodes automatisées – accessibles à n’importe qui via un simple navigateur web – pour repérer et cibler les composants OT connectés en ligne.

Les organisations d’infrastructures critiques doivent donc identifier tous leurs actifs OT possédant une interface exposée et éliminer toute exposition involontaire de ces systèmes sur Internet. En supprimant ces connexions directes, on limite grandement les opportunités d’intrusion initiale dans les réseaux OT.

Cette mesure vise à cloisonner les environnements opérationnels afin qu’ils ne soient pas directement accessibles depuis le web public.

Changer les mots de passe par défaut et utiliser des mots de passe forts

La deuxième mesure préconisée est de changer immédiatement tous les mots de passe par défaut sur les systèmes OT et d’utiliser à la place des mots de passe forts et uniques pour tous les comptes. Des analyses récentes ont en effet montré que de nombreux systèmes OT ciblés par des cyberattaques utilisaient des identifiants par défaut ou des mots de passe faciles à deviner à l’aide d’outils disponibles publiquement.

Il est donc impératif de remplacer sans tarder les mots de passe usine fournis par les constructeurs par des valeurs plus sécurisées. L’utilisation de mots de passe robustes (suffisamment longs, comprenant une combinaison de caractères variés) et différents pour chaque système complique considérablement la tâche des attaquants, en particulier pour les dispositifs OT connectés ou accessibles via Internet qui pourraient contrôler des processus critiques.

Concrètement, chaque équipement OT déployé doit recevoir des identifiants uniques dès son installation, et aucun mot de passe par défaut ne devrait subsister sur les interfaces d’administration. En outre, ces mots de passe doivent être changés périodiquement et stockés de manière sécurisée.

Si vous utiliser ces bonnes pratiques, le risque qu’un attaquant puisse accéder illicitement à un système OT en exploitant des identifiants triviaux ou connus est fortement réduit.

Sécuriser l’accès distant aux réseaux OT

La troisième recommandation concerne l’accès à distance aux réseaux OT : il s’agit de le limiter aux seuls cas absolument nécessaires et de le sécuriser de manière rigoureuse. De nombreuses entités d’infrastructures critiques (ou leurs sous-traitants) autorisent un accès distant à leurs systèmes OT pour des raisons opérationnelles, en acceptant un certain compromis sur le risque.

Les agences fédérales US invitent à réévaluer ces choix, car un accès à distance mal sécurisé peut servir de porte d’entrée aux cyberattaquants.

Si un accès OT à distance est vraiment indispensable, il convient de retirer ces systèmes de l’Internet public en passant par un réseau privé dédié, et de mettre en place une connexion chiffrée de type réseau privé virtuel (VPN) protégée par un mot de passe robuste et une authentification multi-facteur résistante au hameçonnage (MFA) pour chaque utilisateur distant.

De ma compréhension, tout accès distant aux environnements OT devrait être strictement cantonné à un canal sécurisé et contrôlé, requérant plusieurs facteurs d’authentification forts pour vérifier l’identité de chaque utilisateur.

Par ailleurs, il est crucial de configurer ces solutions d’accès de manière à appliquer le principe du moindre privilège : chaque utilisateur ou prestataire ne doit disposer que des droits minimum nécessaires sur les actifs OT concernés.

Les comptes utilisateurs inutilisés ou dormants doivent être désactivés afin d’éviter qu’un attaquant ne puisse les exploiter. L’ensemble de ces précautions garantit que, même si un accès à distance est en place, le risque qu’il soit compromis ou abusé demeure limité au maximum.

Segmenter les réseaux IT et OT

La quatrième mesure consiste à segmenter et isoler les réseaux informatiques classiques (IT) des réseaux opérationnels (OT). Il est recommandé d’implémenter des séparations réseau nettes en introduisant notamment une zone démilitarisée (DMZ) entre l’OT et l’IT pour tous les échanges de données indispensables (par exemple, le transfert de données de contrôle vers les applications métiers).

Une telle architecture en zones cloisonnées réduit fortement la probabilité qu’une cyberattaque se propage du réseau IT vers les systèmes OT (ou inversement) et diminue le risque de perturbations sur les opérations essentielles en cas d’intrusion. En d’autres termes, même si un segment du réseau est compromis par un malware, les autres segments – en particulier les systèmes de contrôle industriel critiques – resteront isolés et protégés.

Concrètement, la segmentation peut impliquer la mise en place de pare-feu et de passerelles sécurisées filtrant strictement les communications entre l’OT et l’IT. Par exemple, les données de télémétrie ou de supervision OT destinées au réseau d’entreprise pourraient transiter par une passerelle en DMZ, évitant toute connexion directe depuis l’OT vers l’IT.

Cette approche de défense en profondeur complique la tâche des adversaires en multipliant les barrières à franchir et contribue à confiner les incidents pour qu’ils n’affectent pas l’ensemble du système d’information.

Maintenir la capacité d’opérer les systèmes manuellement

La cinquième recommandation met en avant l’importance de pouvoir faire fonctionner les systèmes OT de manière manuelle en cas de cyberattaque ou de défaillance des systèmes numériques. Disposer de cette capacité de retour aux commandes manuelles permet de restaurer rapidement les opérations critiques dans les instants qui suivent un incident, limitant ainsi l’impact sur la continuité d’activité de l’organisation.

Il est donc vital et indispensable pour les opérateurs d’établir et de maintenir à jour des plans de continuité d’activité (PCA) et de reprise après sinistre (PRS) spécifiquement adaptés à leurs environnements OT.

Ces plans doivent prévoir des mécanismes de secours et de basculement en mode dégradé, tels que des systèmes de contrôle redondants, des procédures manuelles d’exploitation, des dispositifs de sécurité fail-safe (qui garantissent un état sûr en cas de panne) et des capacités d’îlotage du réseau OT (isolation de segments pour un fonctionnement autonome).

En pratique, les opérateurs d’infrastructures critiques devraient s’assurer qu’ils peuvent isoler leurs systèmes OT et les piloter localement sans support du réseau en cas d’urgence. Des sauvegardes régulières des logiciels et configurations OT, ainsi que la mise à disposition de systèmes de contrôle de secours hors ligne, contribuent également à renforcer cette résilience.

Il est essentiel de tester régulièrement l’ensemble de ces mesures (procédures manuelles, bascules sur systèmes secondaires, etc.) afin de vérifier que le personnel sait les appliquer et que les opérations manuelles peuvent prendre le relais efficacement en situation de crise réelle.

En entretenant ces capacités hors ligne, une organisation pourra continuer à faire fonctionner ses processus vitaux même en cas de cyberattaque majeure paralysant ses systèmes automatisés.

Communiquer avec les fournisseurs et intégrateurs tiers

La sixième mesure recommandée est d’établir une communication régulière avec les fournisseurs et prestataires tiers impliqués dans les systèmes OT. Il s’agit notamment des prestataires de services managés, des intégrateurs de systèmes et des fabricants d’équipements OT.

Ces acteurs externes possèdent souvent une connaissance approfondie des configurations, des réglages par défaut et des vulnérabilités potentielles de leurs produits. Ils peuvent ainsi fournir des conseils spécifiques pour renforcer la sécurité de chaque système OT déployé.

En collaborant étroitement avec eux, les opérateurs d’infrastructures critiques peuvent identifier plus rapidement d’éventuels problèmes de configuration dans leurs environnements OT et appliquer les correctifs ou ajustements nécessaires avant qu’un attaquant ne puisse les exploiter.

En effet, des erreurs de configuration ou des faiblesses peuvent être introduites à divers stades : lors des opérations quotidiennes, par l’intégrateur système, par un prestataire de maintenance, ou même dès l’usine dans la configuration par défaut du fabricant.

Travailler main dans la main avec ces partenaires pour examiner et corriger ces problèmes permet de prévenir l’introduction de vulnérabilités non intentionnelles dans le temps.

Il me semble donc judicieux d’impliquer les fournisseurs tiers dans la démarche globale de sécurisation OT – par exemple en sollicitant des audits de configuration, en appliquant leurs recommandations de durcissement, et en se tenant informé des mises à jour ou patchs de sécurité qu’ils publient. Cette coopération renforcera la sécurité des systèmes OT sur le long terme.

Enjoy !

Glossaire

  • OT (Operational Technology) : Terme désignant l’ensemble des technologies opérationnelles, c’est-à-dire les matériels et logiciels qui pilotent des processus physiques dans l’industrie ou les infrastructures. Les systèmes OT contrôlent par exemple des machines, des capteurs ou des actionneurs sur des sites de production d’énergie, des usines, des réseaux de distribution d’eau, etc. Ils se distinguent des systèmes IT par leur finalité (opérationnelle/physique plutôt que gestion de l’information).
  • ICS (Industrial Control Systems) : Sigle anglais pour systèmes de contrôle industriel, un sous-ensemble des OT. Il s’agit des systèmes informatiques spécialisés qui gèrent les procédés industriels, par exemple les SCADA (Supervisory Control and Data Acquisition), les automates programmables (PLC) ou les systèmes de contrôle distribués (DCS). Les ICS permettent de superviser et de contrôler à distance les équipements industriels au sein des infrastructures critiques.
  • MFA (Multi-Factor Authentication) : Authentification multi-facteur. Méthode d’authentification nécessitant plusieurs preuves d’identité distinctes (facteurs) pour valider l’accès d’un utilisateur. Par exemple, la combinaison d’un mot de passe et d’un code à usage unique sur smartphone est une MFA (facteurs connaissance + possession). Une MFA résistante au hameçonnage est une forme d’authentification multi-facteur conçue pour ne pas être contournable via des attaques de phishing (ex : clés de sécurité physiques conformes FIDO2, qui ne transmettent pas de code réutilisable à l’attaquant).
  • Segmentation réseau : Mesure d’architecture de sécurité consistant à diviser un réseau en plusieurs segments ou zones isolés les uns des autres. Chaque segment peut être protégé par des pare-feu, contrôles d’accès et règles de filtrage spécifiques. Dans le contexte OT/IT, la segmentation vise à séparer le réseau OT du réseau IT afin de contenir les incidents et d’éviter qu’une intrusion sur le réseau bureautique n’affecte les systèmes industriels critiques.
  • DMZ (Demilitarized Zone) : Littéralement « zone démilitarisée ». En sécurité informatique, une DMZ est un sous-réseau isolé servant de zone tampon entre un réseau interne sécurisé et un réseau externe (généralement Internet ou un réseau moins fiable). On y place typiquement les systèmes qui doivent communiquer avec les deux réseaux (par ex. serveurs intermédiaires, passerelles). Dans le cas OT, une DMZ OT/IT permet d’échanger des données (p. ex. de supervision) entre l’OT et l’IT sans connecter directement le réseau industriel au réseau d’entreprise, réduisant ainsi les risques de propagation d’attaques.
  • VPN (Virtual Private Network) : ou « réseau privé virtuel ». Tunnel de communication chiffré établi sur un réseau public (comme Internet) pour relier de manière sécurisée un utilisateur ou un site distant à un réseau interne. Un VPN permet par exemple à un technicien de se connecter depuis l’extérieur au réseau OT de son entreprise via Internet, tout en cryptant les données et en appliquant des contrôles d’accès renforcés. Il s’agit d’un composant clé pour sécuriser l’accès distant aux systèmes sensibles.

Ressources et Références