Le risque OT pourrait représenter un problème de 330 milliards de dollars : comment le résoudre ?

Les dirigeants d'entreprise négligent les risques liés aux technologies opérationnelles (TO) à leurs risques et périls. Ces systèmes alimentent certaines des infrastructures nationales les plus critiques (INC) du Royaume-Uni, des centrales nucléaires aux usines de traitement des eaux. Contrairement aux menaces informatiques, les attaques ciblant les TO pourraient avoir un impact physique direct sur la population. Pourtant, les conseils d'administration des INC ont souvent tendance à privilégier d'autres objectifs commerciaux au détriment de la cybersécurité.

Cela pourrait être sur le point de changer avec le publication d'un nouveau rapport Selon Dragos, spécialiste de la sécurité des technologies opérationnelles (OT). Appuyée par une analyse indépendante de l'assureur Marsh McLennan, cette étude révèle que le risque financier annuel associé aux incidents liés aux OT pourrait atteindre 329.5 milliards de dollars. La question est : si les conseils d'administration commencent enfin à écouter leurs RSSI, quelle sera la suite ?

Pourquoi l’ergothérapie est-elle à risque ?

La sécurité des technologies opérationnelles n'est pas catastrophique dans l'ensemble. Cependant, les failles les plus courantes incluent :

• Équipements hérités qui ont une longue durée de vie et qui exécutent souvent des logiciels obsolètes, soit en raison de problèmes de compatibilité matérielle et/ou parce qu'il est difficile de les mettre hors ligne pour les corriger
• Les approches historiques de gestion des risques impliquaient l'isolation des systèmes OT de l'Internet public. Elles sont aujourd'hui vouées à l'échec, car les systèmes convergent de plus en plus avec l'IT et sont désormais dotés de connectivité.
• Priorités biaisées qui privilégient la disponibilité et la sécurité au détriment de la sécurité

Par conséquent, de nombreux environnements OT sont privés de mises à jour critiques, utilisent des protocoles de communication obsolètes et non sécurisés, et présentent des réseaux plats et non segmentés. On observe également un manque de visibilité sur les actifs OT et une authentification faible, comme l'utilisation de mots de passe statiques sur les terminaux.

Des problèmes de sécurité comme ceux-ci ont été exploités par Acteurs de la menace chinoise se prépositionner sur les réseaux CNI américains, dans le but de lancer des attaques destructrices en cas de conflit. Selon March McLennan, les secteurs les plus fréquemment touchés par les failles de sécurité opérationnelle au cours de la dernière décennie étaient :

• Santé (27%)
• BTP (27 %)
• Fabrication (16%)
• Automatisation des bâtiments : (3%)
• Services publics : (2 %)

Ce que dit le rapport

Pour calculer le risque lié aux opérations sur les contrats (OT), ce qui constitue une première pour une telle mesure du risque financier, Marsh McLennan a analysé les données de l'une des plus grandes bases de données de sinistres d'assurance au monde. Elle a également analysé des données de tiers indépendants, des rapports d'assurabilité et des rapports de reprise après violation, couvrant la période 2014-2024.

Outre le scénario catastrophe, où les cyberincidents liés aux technologies opérationnelles engendreraient un risque financier de près de 330 milliards de dollars par an, le rapport souligne que les incidents donnant lieu à une demande d'indemnisation pour interruption d'activité pourraient engendrer des pertes de 172 milliards de dollars. Il est intéressant de noter qu'une grande partie de ces pertes provient de coûts indirects, souvent non comptabilisés dans la modélisation des risques. Environ 70 % des violations des technologies opérationnelles engendrent ces coûts, qui découlent des perturbations opérationnelles et des arrêts d'exploitation liés à la prudence.

« La complexité des systèmes OT interconnectés peut souvent introduire un risque global aggravant dans ces environnements », note le rapport.

 Une préoccupation de la haute direction

Selon Dragos, les organisations ont toujours eu du mal à gérer les risques liés aux OT car :

• Ils n’ont pas pu quantifier l’exposition financière liée à des incidents spécifiques
• Ils n'ont pas pu mesurer l'efficacité des contrôles de sécurité OT
• Ils manquaient de repères indépendants pour les informer des contrôles les plus importants et des raisons pour lesquelles ils étaient les plus importants.

Grâce au rapport, ils disposent désormais d'une meilleure visibilité. Il met en avant les cinq contrôles suivants, jugés les plus efficaces pour réduire la probabilité et la gravité des pertes financières liées à une violation des technologies opérationnelles :

• Plans de réponse aux incidents
• Architecture défendable
• Visibilité et surveillance du réseau
• Accès distant sécurisé
• Gestion de la vulnérabilité basée sur les risques

Phil Tonkin, directeur technique de Dragos, explique que la construction d'une architecture défendable doit commencer par une compréhension des processus physiques et des systèmes critiques pour la sécurité sur lesquels reposent les opérations industrielles.

« Une architecture OT défendable doit être conçue pour résister aux attaques ciblées, aux interruptions accidentelles et autres défaillances. Cela implique d'isoler les réseaux de contrôle des systèmes d'entreprise, d'appliquer des contrôles d'accès stricts pour la connectivité à distance et de garantir la visibilité de chaque actif et voie de communication », explique-t-il à ISMS.online.

Il est également nécessaire de concevoir des systèmes résilients. Ainsi, même en cas de faille, l'impact est maîtrisé et la reprise d'activité rapide. L'architecture doit refléter les réalités opérationnelles de tout système de contrôle industriel, et pas seulement les modèles théoriques de sécurité informatique. Il s'agit d'intégrer la confiance au sein même de l'infrastructure.

L'étape suivante

Armés de données convaincantes comme celles du rapport Dragos, les responsables de la sécurité OT ont une excellente occasion d'entamer des discussions stratégiques avec la haute direction sur la meilleure façon d'améliorer la sécurité opérationnelle.

« L'étape suivante consiste à traduire les vulnérabilités opérationnelles en langage métier, en montrant comment un système de contrôle compromis pourrait entraîner des arrêts de production, des incidents de sécurité ou une exposition réglementaire. Les dirigeants peuvent désormais quantifier ce risque et démontrer comment des contrôles spécifiques le réduisent », explique Tonkin.

Cela leur permet de promouvoir des investissements ciblés, et non pas seulement des dépenses de sécurité globales. Cela ouvre également la voie à une collaboration plus efficace entre les équipes opérationnelles, financières et de gestion des risques. L'objectif est de passer de systèmes de défense réactifs à une résilience proactive, en intégrant la sécurité des technologies opérationnelles (OT) à la gestion globale des risques et au cadre décisionnel de l'organisation.

Les normes de bonnes pratiques peuvent contribuer à ces efforts, notamment la norme ISO 62443, conçue pour les systèmes d'automatisation et de contrôle industriels. L'essentiel est de veiller à ce qu'elles soient appliquées « dans une optique OT », explique Tonkin.

« Lorsqu’elles sont adaptées de manière réfléchie, ces normes peuvent aider les équipes OT à établir une approche structurée de la gestion des risques », conclut-il.

Il a souvent été difficile pour les équipes de sécurité et la direction de lier ces cadres à des résultats mesurables. Mais nous constatons désormais que des contrôles OT spécifiques, comme la planification de la réponse aux incidents et la visibilité du réseau, sont directement liés à la réduction des risques financiers.