La protection des données dans un environnement conçu pour assurer la continuité
Le fabricant exploitait des environnements de production où la disponibilité et la stabilité étaient des priorités absolues. Bon nombre de ses systèmes OT ne pouvaient pas être mis à jour ou modifiés sans risquer de provoquer des perturbations, ce qui limitait le recours aux contrôles de sécurité traditionnels et rendait tout changement intrinsèquement risqué.
Parallèlement, les fichiers critiques pour l'activité circulaient en permanence entre les fournisseurs, les équipes d'ingénierie et les systèmes d'usine, franchissant souvent les frontières entre les réseaux informatiques (IT) et opérationnels (OT). Ces fichiers ne pouvaient être ni modifiés ni nettoyés, ce qui ne laissait aux équipes de sécurité que peu de possibilités de les inspecter en toute sécurité avant leur exécution. Chaque échange de fichiers entre un fournisseur et une usine élargissait la surface d'attaque, permettant ainsi aux logiciels malveillants de s'introduire dans les environnements de production via des flux de travail opérationnels jugés fiables.
Avec des dizaines de sites en activité à travers le monde, l'entreprise ne disposait pas d'une méthode cohérente pour détecter les menaces inconnues avant leur exécution, et les outils existants reposaient sur des alertes post-exécution difficiles à mettre en œuvre dans les environnements de production. Faute d'une visibilité cohérente sur ce qui se passait dans l'ensemble des sites et des systèmes adjacents aux infrastructures OT, les équipes de sécurité ne disposaient pas de la capacité d'observation nécessaire pour prendre des décisions rapides et sûres lorsque des fichiers suspects apparaissaient.
Une surface d'attaque en expansion et hétérogène
Comment sécuriser un environnement où la visibilité est limitée et où le parc informatique évolue constamment ?
Dans cet environnement de production, les systèmes existants et modernes nécessitaient des contrôles de sécurité axés sur les fichiers et mis en place avant l'exécution, qui ne dépendaient ni d'une visibilité complète sur les ressources ni de la mise à jour des systèmes. Les outils d'ingénierie, les plateformes d'automatisation et les échanges de fichiers avec les fournisseurs étaient profondément intégrés aux opérations quotidiennes, mais bon nombre de ces systèmes ne pouvaient pas être facilement mis à jour, modifiés ou mis hors ligne.
3 défis majeurs
- Systèmes OT hérités fonctionnant parallèlement aux technologies numériques modernes
- Visibilité et évolutivité limitées dans les environnements de production
- L'élargissement de la surface d'attaque dans les usines de fabrication à travers le monde
Flux de travail basés sur des fichiers sans garantie préalable d'exécution
Comment empêcher l'exécution de fichiers malveillants lorsque les processus de production et d'ingénierie reposent sur des fichiers qui ne peuvent être ni modifiés ni nettoyés ?
La seule approche fiable pour bloquer les fichiers malveillants consiste à les analyser de manière dynamique avant leur exécution, afin d'identifier les logiciels malveillants de type « zero-day » et ceux conçus pour échapper aux détections, qui se cachent dans les fichiers d'ingénierie et de production essentiels à l'activité. Au sein de cette organisation, les fichiers circulaient en permanence entre les fournisseurs, les services de R&D et les systèmes d'usine, et ne pouvaient être modifiés sans perturber les flux de travail ; la détection basée sur les terminaux et la réputation ne permettait donc d'identifier les menaces qu'après leur exécution.
3 défis majeurs
- Échanges de fichiers volumineux entre les fournisseurs, les services de R&D et les usines
- Fichiers techniques et de production qui n'ont pas pu être modifiés ou expurgés
- La détection a lieu après l'exécution plutôt qu'avant
Envergure, simplicité et limites des méthodes de détection traditionnelles
Comment détecter les menaces inconnues et de type « zero-day » dans l'ensemble des sites internationaux sans alourdir la charge de travail des équipes opérationnelles ?
Avec des dizaines d'usines fonctionnant 24 heures sur 24, le fabricant avait besoin de mesures de sécurité capables de s'adapter à l'échelle mondiale tout en restant faciles à utiliser par l'ensemble des équipes opérationnelles. Les outils conçus principalement pour les environnements informatiques ajoutaient souvent de la complexité sans pour autant offrir aux opérateurs des informations claires et exploitables. L'absence d'une vue d'ensemble cohérente, avant l'exécution, des menaces inconnues et de type « zero-day » exposait l'entreprise à des risques.
3 défis majeurs
- Nécessité de mettre en place des contrôles de sécurité uniformes dans des dizaines d'usines
- Des outils conçus pour les environnements informatiques, et non pour les équipes opérationnelles
- Manque de visibilité fiable sur les menaces inconnues et de type « zero-day »
Détection des vulnérabilités « zero-day » sans perturber la production
Le fabricant a déployé MetaDefender OPSWATafin de mettre en place une couche de détection des vulnérabilités « zero-day » cohérente et centrée sur les fichiers, couvrant l’ensemble des flux de travail liés à l’ingénierie, aux fournisseurs et à la fabrication. Au cœur de cette approche se trouvait la « détonation contrôlée » des fichiers : un processus consistant à exécuter des fichiers en toute sécurité dans un environnement isolé et émulé afin d’observer leur comportement réel avant même qu’ils ne soient autorisés à accéder aux systèmes de production.
Principaux objectifs de mise en œuvre
- Détecter les menaces inconnues et insaisissables avant leur exécution
- Préserver l'intégrité des fichiers pour les applications d'ingénierie et de production
- Fonctionner sans introduire de latence ni de temps d'arrêt
MetaDefender a été déployé aux points de contrôle stratégiques où les fichiers pénétraient dans l'environnement, notamment au niveau des échanges avec les fournisseurs, de l'ingestion des fichiers d'ingénierie et des flux de travail au niveau du périmètre de fabrication. Grâce à l'émulation au niveau des instructions et à une analyse approfondie de la structure, les fichiers suspects ont été exécutés en toute sécurité afin de mettre au jour des comportements cachés que les outils traditionnels basés sur les signatures ou les bacs à sable virtuels auraient manqués.
Les informations intégrées sur les menaces et la recherche de similitudes entre menaces basée sur l'apprentissage automatique ont ensuite enrichi chaque analyse en y ajoutant du contexte et en détectant des schémas similaires, afin d'aider les équipes à identifier les menaces associées et les variantes de logiciels malveillants inconnus dans l'ensemble des sites et des régions.
Points de contact liés au déploiement
- Échanges de fichiers avec les fournisseurs et des tiers
- Flux de travail liés à l'ingénierie et à la R&D
- Environnements périphériques liés au réseau OT et à la production
MetaDefender s'est intégré en toute transparence aux opérations existantes, fournissant en moins de 60 secondes un verdict unique et fiable pour chaque fichier, grâce à une évaluation des menaces s'appuyant sur plusieurs sources. Cela a permis aux équipes de sécurité d'empêcher l'exécution de fichiers malveillants, tout en permettant aux équipes d'usine et d'ingénierie de poursuivre leur travail sans complexité supplémentaire ni intervention manuelle.
Améliorations opérationnelles
- Blocage avant exécution des logiciels malveillants de type « zero-day » et des logiciels malveillants furtifs
- Des conclusions claires et exploitables pour les équipes SOC et opérationnelles
- Application cohérente des mesures de sécurité dans l'ensemble des usines à l'échelle mondiale
Grâce à la mise en place MetaDefender , la détection des menaces « zero-day » est passée d'une activité d'investigation réactive à un contrôle préventif intégré directement dans les processus de fabrication. Le fait que des menaces inconnues aient été identifiées avant qu'elles ne puissent perturber la production a confirmé que le fabricant avait atteint le niveau de protection pré-exécution qu'il visait.
De la réaction a la prévention
Le fabricant a transformé la détection des vulnérabilités « zero-day » : autrefois un processus réactif, axé sur les incidents, elle est désormais un contrôle préventif intégré directement dans les flux de production. Les équipes de sécurité ont ainsi acquis la certitude que les menaces inconnues et furtives seraient identifiées avant leur exécution, réduisant ainsi le risque d'interruption imprévue de la production.
Résultats en matière de sécurité
- Prévention des logiciels malveillants de type « zero-day » avant leur exécution dans les environnements industriels et de la chaîne d'approvisionnement
- Une meilleure visibilité sur les menaces basées sur des fichiers, inconnues et difficiles à détecter
- Réduction du recours aux mesures de confinement et aux enquêtes après incident
Sur le plan opérationnel, la solution a apporté une réelle valeur ajoutée sans créer de friction. L'analyse des fichiers s'effectuait en un peu moins d'une minute, ce qui a permis de maintenir la cadence de production et les flux de travail techniques tout en fournissant des résultats clairs et fiables pouvant être mis en œuvre immédiatement.
Conséquences opérationnelles et commerciales
- Aucune perturbation des processus de production ou d'ingénierie
- Des décisions de sécurité plus rapides et plus claires grâce à un verdict unique et fiable pour chaque fichier
- Réduction du risque d'interruption de service due à des incidents liés à des logiciels malveillants ciblant les fichiers
Ce déploiement a également renforcé la collaboration entre les équipes informatiques, opérationnelles et du centre de sécurité des opérations (SOC). En uniformisant les méthodes d'analyse des fichiers et d'évaluation des risques, le fabricant a réduit les ambiguïtés et amélioré la coordination entre les services de sécurité et les services opérationnels.
Avantages pour l'organisation
- Une meilleure coordination entre les équipes informatiques, opérationnelles et de sécurité
- Une confiance accrue des dirigeants dans la cyber-résilience
- Une infrastructure évolutive pour la détection des vulnérabilités « zero-day » dans l'ensemble des sites mondiaux
Renforcer la cyber-résilience dans l'ensemble de l'usine
En déployant OPSWAT MetaDefender , le fabricant a mis en place un moyen fiable de détecter et de bloquer les menaces de type « zero-day » avant qu'elles ne perturbent la production. Ce déploiement montre comment les fabricants peuvent recourir à la détection des menaces de type « zero-day » au niveau des fichiers pour éviter toute perturbation de la production sans avoir à modifier les systèmes OT.
À mesure que les systèmes de fabrication continuent d'évoluer et que les flux de travail basés sur des fichiers s'étendent aux fournisseurs, à l'ingénierie et aux opérations en usine, la capacité à détecter les menaces inconnues liées aux fichiers avant leur exécution devient un contrôle essentiel. OPSWAT aux entreprises de protéger leurs infrastructures critiques sans compromettre la disponibilité ni l'efficacité opérationnelle.
Prêt à protéger vos opérations de fabrication contre les menaces « zero-day » ? Contactez dès aujourd'hui un OPSWAT pour découvrir comment MetaDefender peut renforcer la cyber-résilience de l'ensemble de votre environnement de production.
