Au-delà de l’usine : pourquoi le risque technologique opérationnel est omniprésent

Par Phil Muncaster • 17 Août 2023

Quand un rapport a révélé 56 nouvelles vulnérabilités dans les produits de 10 fournisseurs de technologies opérationnelles (OT) l'année dernière, les experts l'ont salué comme un signal d'alarme pour l'industrie. L'étude a mis en évidence un problème endémique avec les équipements OT : le besoin de meilleures pratiques de sécurité dès la conception plus élémentaires. Le fait que les trois quarts des produits évalués comme contenant des vulnérabilités disposaient de certifications de sécurité valides devrait susciter encore plus de nervosité parmi les responsables IT/OT.

En fin de compte, les problèmes mis en évidence dans le rapport sont si profonds qu’il est peu probable qu’ils soient résolus de sitôt à l’échelle du secteur. Il incombe donc aux programmes de sécurité de l'entreprise de garantir que les risques OT sont gérés avec la même attention aux détails que l'informatique.

Le quoi et le pourquoi de l’OT

Alors que les systèmes informatiques gèrent les informations et les applications, l’OT couvre le matériel et les logiciels utilisés pour surveiller et contrôler le monde physique. Il peut s'agir de n'importe quoi, d'un ATM à un système de contrôle industriel (ICS), d'un robot d'usine à un automate programmable (PLC). La technologie se trouve de toute évidence dans les usines. Mais cela couvre un large éventail d’industries au-delà de l’industrie manufacturière, notamment la santé, le pétrole et le gaz, les services publics et les transports.

Historiquement, les systèmes OT n’étaient pas connectés à Internet et les appareils avaient tendance à être spécialement conçus et exécutaient des logiciels spécialisés. Cela signifiait que la sécurité était traitée après coup. Cependant, la plupart des équipements disposent aujourd’hui d’une connectivité, ce qui signifie que les attaquants distants peuvent y rechercher des vulnérabilités. En même temps, il exécute souvent Windows ou d’autres logiciels commerciaux. Cela en fait une cible attractive.

Étant donné que l’OT contrôle les processus physiques, les failles de sécurité pourraient permettre aux attaquants de saboter ou de perturber les opérations critiques. Les points finaux vulnérables peuvent même être utilisés comme tremplin vers les réseaux informatiques pour le vol de données sensibles. Un 2022 rapport affirme que 83 % des organisations ont subi une violation d’OT au cours des 36 mois précédents. Selon les chiffres cités par McKinsey, le coût par incident d’attaques graves peut atteindre 140 millions de dollars. Les organisations ne doivent pas uniquement prendre en compte les risques financiers. L'ergothérapie est également réglementée par le Directive NIS 2 et son équivalent britannique.

Quels sont les risques?

La nature spécialisée de l’OT signifie que les systèmes sont exposés à certains cyber-risques qui peuvent ne pas s’appliquer aux environnements informatiques. Ils comprennent:

Utilisation de protocoles de communication existants et non sécurisés
Des fournisseurs qui ne prêtent pas suffisamment attention à la gestion des vulnérabilités
Cycles de vie du matériel de plus de 10 ans, ce qui signifie que les administrateurs sont obligés d'exécuter des systèmes d'exploitation/logiciels obsolètes
Problèmes de mise à jour des correctifs, car les équipements ne peuvent souvent pas être mis hors ligne pour tester les mises à jour (même si elles sont disponibles)
Des équipements trop anciens pour déployer des solutions de sécurité modernes
Certifications de sécurité qui ne reconnaissent pas les défauts graves, donnant aux administrateurs un faux sentiment de sécurité
Problèmes de sécurité dès la conception qui ne sont pas signalés/attribués à des CVE, ce qui signifie qu'ils passent inaperçus
Des équipes IT/OT cloisonnées, ce qui peut créer des lacunes en matière de visibilité, de protection et de détection.
Mots de passe non sécurisés et mauvaises configurations (bien que cela soit également courant dans les environnements informatiques)

D'un point de vue technique, le Rapport prospectif cité précédemment met en évidence plusieurs catégories de vulnérabilité dans de nombreux produits OT :

Protocoles d'ingénierie non sécurisés
Cryptographie faible ou schémas d'authentification défectueux
Mises à jour du micrologiciel non sécurisées
Exécution de code à distance (RCE) via une fonctionnalité native

Comment atténuer les risques liés aux systèmes OT

En matière de sécurité informatique, la défense en profondeur est le meilleur moyen d’atténuer les cyber-risques OT. Selon Carlos Buenano, architecte principal de solutions pour la technologie opérationnelle (OT) chez Armis, cela commence par la visibilité des actifs OT, puis par l'application rapide de correctifs.

« Comme il est très courant que les environnements OT disposent d'actifs vulnérables, les organisations doivent créer un inventaire complet des actifs de leur réseau et disposer de renseignements supplémentaires sur ce que sont ces actifs et ce qu'ils font réellement », explique-t-il à ISMS.online. « Les données contextuelles permettent aux équipes de définir le risque que chaque appareil représente pour l'environnement OT et d'évaluer leur impact sur l'entreprise afin qu'elles puissent prioriser la correction des vulnérabilités critiques et/ou militarisées afin de réduire rapidement la surface d'attaque.

Voici une liste de contrôle rapide pour les organisations :

Découverte/gestion des actifs : Vous ne pouvez pas protéger ce que vous ne pouvez pas voir. Alors, comprenez toute l’étendue de l’OT dans l’entreprise.

Correction rapide et analyse continue : Les actifs OT doivent être analysés en permanence pour détecter les vulnérabilités une fois découvertes. Et un programme de correctifs basé sur les risques garantira que les CVE soient efficacement priorisées. Envisagez de créer un environnement de test non critique pour les correctifs. Et si certains actifs ne peuvent pas être corrigés, envisagez des alternatives, comme patching virtuel, segmentation du réseau, SIEM et surveillance de l'intégrité.

Gestion des identités et des accès : Déployez des contrôles d'accès basés sur les rôles, suivez le principe du moindre privilège et prenez en charge l'authentification multifacteur (MFA).

Segmentation: Séparez les réseaux d’entreprise des réseaux OT et segmentez les réseaux OT pour contenir la propagation des logiciels malveillants.

Prévention des menaces : Déployez des contrôles tels que la détection d'intrusion (IDS), des logiciels antivirus et des outils de vérification de l'intégrité des fichiers pour prévenir et détecter les logiciels malveillants.

Cryptage et sauvegarde : Protégez les données OT au repos et en transit et disposez de sauvegardes pour atténuer l’impact des ransomwares.

Briser les silos IT-OT

À mesure que les systèmes OT et informatiques convergent dans de nombreuses organisations, les menaces autrefois confinées à l'informatique, telles que les compromissions à distance, deviennent plus courantes pour les systèmes industriels. Par conséquent, prévenir, détecter et répondre à de telles menaces nécessitera davantage d’interactions entre les équipes informatiques et opérationnelles. Les équipes OT peuvent apprendre beaucoup de l'expérience informatique accumulée au fil des années en matière de contrôles de sécurité, et tous deux ont un intérêt direct dans la continuité des activités.

« En travaillant ensemble, les équipes informatiques et opérationnelles peuvent identifier et atténuer les risques de cybersécurité qui affectent à la fois les environnements informatiques et opérationnels, protégeant ainsi l'organisation contre les cyberattaques », a déclaré Bharat Mistry, directeur technique de Trend Micro Royaume-Uni et Irlande, à ISMS.online. « De plus, la collaboration entre les équipes améliorera l’efficacité des équipes chargées des opérations de sécurité et contribuera à terme à réduire les coûts. »

Du point de vue de la conformité, cela peut obliger l'organisation à dépasser les limites de la norme ISO 27001 et à rechercher des certifications complémentaires dans le domaine de l'OT.

« Nous voyons des cadres comme ISO 27001 utilisé dans l'informatique d'entreprise et dans des cadres sur mesure ou adaptés comme la CEI 62443 pour l'OT », explique Mistry. « Sur le papier, il existe un certain chevauchement entre ces cadres, mais en réalité, ces cadres sont des points de départ et sont souvent personnalisés pour s'adapter à l'environnement de l'organisation. »

En fin de compte, il est dans l'intérêt de tous de travailler ensemble, déclare Buenano d'Armis.

« D'un point de vue organisationnel, une approche de gestion des vulnérabilités basée sur les risques doit aller de pair avec la collaboration des départements OT et IT pour aider à coordonner les efforts d'atténuation », conclut-il. « Les projets interdépartementaux contribueront à rationaliser la gestion des processus et des ressources et à améliorer la conformité et la sécurité des données. »

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 17er Février 2026.

Ce que la faille de sécurité de LastPass nous apprend sur la conformité en 2026

Le RGPD a toujours été conçu pour être vague. En n'énumérant pas de contrôles techniques prescriptifs – comme le fait par exemple la norme PCI DSS – le règlement est plus efficace…

Phil Muncaster

La cyber-sécurité 12er Février 2026.

Le plan d'action cybernétique du gouvernement est-il adapté à son objectif ?

Le plan d'action du gouvernement en matière de cybersécurité est-il adapté à son objectif ?

Il est rare que le gouvernement admette ses erreurs. Pourtant, en début d'année, nous avons eu droit à un mea culpa exceptionnel : la reconnaissance d'une faute antérieure…

Phil Muncaster

La cyber-sécurité 3er Février 2026.

La fraude signalée par le WEF est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n'est pas la seule.

Rapport du Forum économique mondial : La fraude est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n’est pas la seule.

Cinq ans, c'est une éternité en cybersécurité. Pourtant, c'est la durée pendant laquelle le Forum économique mondial (WEF) interroge les PDG pour son rapport mondial sur la cybersécurité…

Phil Muncaster

Au-delà de l’usine : pourquoi le risque technologique opérationnel est omniprésent

Le quoi et le pourquoi de l’OT

Quels sont les risques?

Comment atténuer les risques liés aux systèmes OT

Briser les silos IT-OT

Phil Muncaster

Articles connexes

Le plan d'action du gouvernement en matière de cybersécurité est-il adapté à son objectif ?

Rapport du Forum économique mondial : La fraude est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n’est pas la seule.

Journée mondiale du changement de mot de passe : un appel à l'action

Lire la suite de Phil Muncaster

Ce que la faille de sécurité de LastPass nous apprend sur la conformité en 2026

Le plan d'action du gouvernement en matière de cybersécurité est-il adapté à son objectif ?

Rapport du Forum économique mondial : La fraude est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n’est pas la seule.