« Il n’est plus possible de voir un automate raccordé sur le réseau bureautique comme je l’ai déjà constaté dans une entreprise, il faut faire les choses dans les règles de l’art », recommande Arnaud Masson, directeur technique OT/XIoT chez Nomios. Cela commence toujours par un audit comme le relève le porte-parole de l’intégrateur, celui-ci doit servir à cartographier l’existant, bref de faire un état des lieux et d’inventorier les assets, les flux réseaux et les vulnérabilités potentielles. Ensuite, il faut segmenter les réseaux entre l’IT et l’OT et les sécuriser. A ce titre, les entreprises se doivent d’ailleurs de respecter les normes internationales en vigueur comme l’IEC 62443 qui aide à structurer et à améliorer la cybersécurité des systèmes industriels et de continuer à s’inspirer de certains modèles comme Purdue (créé en 1992) pour la sécurité des ICS. Certes, ce modèle, qui organisait historiquement la sécurité OT en zones étanches, est de moins en moins respecté. La segmentation logique entre les niveaux s’efface, laissant place à des zones de communication élargies, souvent mal maîtrisées. Toutefois, ce dernier participe toujours à cette segmentation en identifiant des zones dont la zone démilitarisée (DMZ) qui comprend des systèmes de sécurité tels que des pares-feux et des proxys utilisés dans le but d’empêcher le déplacement latéral des menaces entre l’IT et l’OT. Et dès l’introduction de capteurs IoT dans ce type de modèle, il faut bien sûr adapter sa politique de sécurité, par exemple en construisant une architecture sécurisée composée d’une infrastructure de transport de la donnée et de deux passerelles, l’une pour l’interconnexion OT vers IT afin de garantir l’intégrité des données provenant de l’OT et une autre pour l’interconnexion IT vers l’OT pour sécuriser cette fois-ci les données envoyées par l’IT vers l’OT. « Notre métier Chez Palo Alto est justement de sécuriser ces passerelles, d’intégrer nativement cette segmentation dans nos pare-feux en prenant en compte les différents protocoles des systèmes grâce à l’IA, d’effectuer en quelque sorte une analyse comportementale de l’équipement, et ce, de manière transparente pour les entreprises, non intrusif comme nous le faisons aussi pour le virtual patching afin de bloquer les vulnérabilités », souligne Eric Antibi, directeur technique de Palo Alto France.
Des coûts supplémentaires à supporter
Toutes ces étapes prennent du temps et coûtent cher surtout pour des PME qui n’ont pas forcément les moyens, leurs investissements étant d’abord logiquement orientés vers leur outil de production et moins dans leur sécurité. Et pourtant, les budgets consacrés à l’IoT grimpent selon le cabinet Forrester, avec pour priorités dans les dépenses un renforcement dans la gestion des vulnérabilités, une sécurisation des réseaux IoT et OT et une mise en œuvre d’une segmentation intelligente. Des budgets qui augmentent car la réglementation NIS 2 et ses exigences à venir ne vont pas leur donner le choix. Pour Nomios, c’est aussi le temps long qui prime dans ces projets permettant aussi de lisser ces coûts. « Notre démarche est justement de les accompagner sur le long terme, nous construisons une offre sur mesure, nous posons les premières briques puis petit à petit nous bâtissons leur approche cyber OT », indique Arnaud Masson, et d’ajouter : « Tout cela, nous l’illustrons au sein de nos nouveaux locaux dans notre showroom dédié à l’OT qui permet à nos clients de venir s’informer et d’assister à des démonstrations. »
Commentaire