Décoder les nouvelles directives du NCSC pour les SCADA ISMS hébergés dans le cloud.online

Décoder les nouvelles directives du NCSC pour les SCADA hébergés dans le cloud

Par John Leyden • 28 mai 2024

Les systèmes de technologie opérationnelle (OT) surveillent et contrôlent automatiquement les processus et les équipements qui font fonctionner tout, des centrales électriques aux hôpitaux intelligents. Une panne ou un dysfonctionnement de l’OT présente des dangers physiques absents des systèmes informatiques. La sécurité, la fiabilité et la disponibilité sont prioritaires dans le premier.

C'est pourquoi nouveau Directives du Centre national de cybersécurité (NCSC) a été largement saluée. Il est conçu pour aider les organisations OT à déterminer l'adéquation de diverses plates-formes cloud pour héberger leurs systèmes de contrôle de supervision et d'acquisition de données (SCADA).

Pourquoi la sécurité SCADA est importante

Les failles de sécurité dans les systèmes OT comme SCADA peuvent entraîner l'indisponibilité du système et l'exposition de données sensibles. Les piratages d'installations industrielles ont entraîné des pannes de courant dans Ukraine, systèmes de sécurité désactivés à un usine pétrochimique, et rejeté des eaux usées non traitées dans les parcs et les rivières. Aucune de ces attaques ne reposait sur le piratage de contrôles basés sur le cloud. Mais en migrant ces systèmes vers le cloud, les organisations peuvent involontairement offrir à leurs adversaires une autre voie de compromis.

Pourtant, la migration vers le cloud est de plus en plus pratiquée par les organisations OT. Les contrôles SCADA basés sur le cloud offrent plusieurs avantages, notamment l'évolutivité pour répondre aux besoins changeants, l'authentification centralisée pour une sécurité améliorée, la protection DDoS contre les attaques par déni de service moins sophistiquées et des coûts initiaux réduits.

Un accueil provisoire

C'est là qu'interviennent les orientations du NCSC. Elles mettent l'accent sur une approche tenant compte des risques, reconnaissant les besoins de sécurité uniques et les contraintes héritées des différentes organisations. Le conseil présente des options allant d'une simple configuration de veille/récupération pour connecter des applications existantes à de nouveaux systèmes exécutés dans le cloud, jusqu'au remplacement complet de ces applications existantes par des alternatives basées sur le cloud. Ce faisant, il fournit un aperçu général de ce qui doit être fait pour utiliser une solution cloud ou SaaS en toute sécurité.

Des experts en sécurité indépendants interrogés par ISMS.online ont salué les orientations car elles offrent une feuille de route utile, tout en affirmant que des détails supplémentaires sur des mesures de sécurité spécifiques pourraient renforcer le cadre.

"Il serait bénéfique de développer les meilleures pratiques en matière d'architecture de sécurité", a déclaré Mayur Upadhyaya, PDG d'APIContext, à ISMS.online. « Cela pourrait inclure des conseils sur les stratégies de segmentation de réseau adaptées aux systèmes SCADA, ainsi que des protocoles robustes de gestion des identités et des accès (IAM) spécialement conçus pour ces environnements de contrôle critiques. »

Upadhyaya ajoute : « De plus, une analyse plus détaillée du paysage des cybermenaces spécifique au SCADA basé sur le cloud pourrait affiner les évaluations des risques et éclairer les stratégies d'atténuation. »

Risques opérationnels

Le déplacement des applications basées sur SCADA vers le cloud promet de faciliter la gestion de l'infrastructure, tout en réduisant les frais généraux des équipes informatiques internes. Mais cela doit être pris en compte parallèlement aux risques de sécurité et de gestion opérationnelle. Ceux-ci incluent un risque accru de violation de données, d'accès non autorisé, d'exploitation de vulnérabilités et d'attaques par déni de service, selon Pat Gillespie, responsable de la sécurité OT de GuidePoint Security.

« Les solutions cloud ajouteront de la latence lors de l'accès aux applications, bases de données et services », explique-t-il à ISMS.online. Il s'agit d'un problème majeur car les contrôles SCADA et les applications industrielles reposent sur des données en temps réel.

La sécurité et la disponibilité étant les priorités absolues de tout système SCADA, les pannes imprévues dans la solution cloud, le FAI local ou tout FAI intermédiaire entraîneront la défaillance de ces systèmes de sécurité.

Certains risques peuvent au moins être atténués ou gérés, selon Gillespie.

« Il existe des cas d'utilisation dans lesquels le fait d'avoir des données SCADA dans le cloud peut aider les entreprises à prendre de meilleures décisions en permettant aux contrôles SCADA, aux appareils IIoT ou aux applications industrielles de transférer les données vers le cloud pour les analyser », explique-t-il. "Cependant, en cas de latence élevée ou de panne, les contrôles SCADA doivent être capables d'exécuter leurs processus et fonctions pour garantir la sécurité et la disponibilité."

D'autres options incluent AWS Outpost, où les organisations peuvent héberger une instance AWS dans une installation locale, ajoute Gillespie.

Un chemin de migration sécurisé

« Les organisations doivent être prudentes, même si elles ne se contentent pas de déplacer leurs problèmes actuels sur site vers le cloud. Ils doivent reprendre leur souffle et s'assurer qu'ils adoptent pleinement le nouveau modèle opérationnel », a déclaré Mat Middleton-Leal, directeur général de Qualys EMEA, à ISMS.online.

Un certain nombre de défis inhérents aux migrations de contrôles OT basées sur le cloud pourraient également surprendre les imprudents, ajoute Chris Doman, CTO Security Cado.

« Premièrement, l'expertise cloud diffère de l'expertise SCADA, une approche conjointe est donc nécessaire », explique-t-il à ISMS.online. « Deuxièmement, les systèmes SCADA existants peuvent ne pas s'intégrer de manière transparente aux solutions cloud natives. Enfin, la mise en œuvre de contrôles d’accès granulaires peut s’avérer difficile dans les environnements existants.

Par exemple, les systèmes SCADA traditionnels sont généralement exécutés sur site et protégés à l'aide de techniques telles que des pare-feu internes et l'air-gapping. À mesure que ces systèmes migrent vers le cloud, ils doivent être mis en œuvre dès le départ avec des modèles de sécurité entièrement cloud natifs.

« Cela peut être problématique lorsque ces applications et systèmes fonctionnent dans des environnements qui ne nécessitent pas les mêmes modèles de sécurité que ceux en place autour des déploiements cloud », explique Middleton-Leal de Qualys.

Une responsabilité partagée

Le déplacement des infrastructures critiques vers le cloud nécessite également une planification minutieuse en raison du modèle de responsabilité partagée entre les fournisseurs de cloud et les clients. Tandis que le fournisseur de cloud sécurise l'infrastructure, les clients sont responsables de la sécurité et de la configuration des données.

Selon Doman de Cado Security, la sécurisation des infrastructures critiques dans le cloud nécessite une approche à plusieurs volets.

La collaboration entre les fournisseurs de cloud, les agences gouvernementales et les opérateurs d'infrastructures critiques, l'investissement dans l'expertise cloud au sein des organisations d'infrastructures critiques et la modernisation des systèmes SCADA existants pour améliorer l'intégration avec les solutions cloud sont tous nécessaires, affirme-t-il.

Respecter les normes

Les normes ISO telles que ISO 27001 (Gestion de la sécurité de l'information) et IEC 62443 (Sécurité pour les systèmes d'automatisation et de contrôle industriels) fournissent des cadres précieux pour gérer les risques OT dans le cloud, selon Upadhyaya d'APIContext.

« Ces normes proposent des approches structurées de la sécurité, décrivant des lignes directrices pour établir et maintenir un système de gestion de la sécurité robuste », explique Upadhyaya.

« Cela inclut des stratégies d’évaluation et d’atténuation des risques spécifiquement adaptables aux environnements cloud et OT. Toutefois, les organisations doivent garder à l’esprit que les normes ISO offrent des cadres adaptables et non une solution universelle.

Le succès des organisations dans la migration sécurisée de leurs solutions SCADA vers le cloud pourrait bien dépendre de leur capacité à adapter ces directives à leurs demandes uniques.

John Leyden

John Leyden écrit sur les réseaux informatiques et la cybersécurité depuis plus de 20 ans. Avant l'avènement d'Internet, il travaillait comme journaliste policier dans un journal local de Manchester. John est titulaire d'un diplôme en ingénierie électronique de la City, Université de Londres.

Lire la suite de John Leyden

Confidentialité des données 22 Août 2024

les entreprises sont invitées à suivre la réglementation sur l'IA « à évolution rapide »

Les entreprises sont invitées à suivre les réglementations « en évolution rapide » sur l’IA

L'intelligence artificielle (IA) transforme le secteur des technologies de l'information à une vitesse vertigineuse. Elle a transformé des applications, notamment la gestion des données…

John Leyden

La cyber-sécurité 20 Juin 2024

pourquoi les fournisseurs peuvent avoir du mal à maintenir la bannière « sécurisé dès la conception »

Pourquoi les fournisseurs peuvent avoir du mal à maintenir la dynamique de la « sécurité dès la conception »

De nombreux fournisseurs de technologies ont adhéré à l'engagement « Secure by Design » soutenu par le gouvernement américain. Mais cet engagement marquera-t-il une rupture avec le passé ?

John Leyden

La cyber-sécurité 9 Avril 2024

lois sur la confidentialité des entreprises

Comment rester conforme aux réglementations sur les données biométriques

La technologie de reconnaissance faciale basée sur l'IA est un outil de plus en plus populaire pour les organisations qui cherchent à rationaliser les contrôles d'accès et à améliorer la sécurité...

John Leyden