OPSWAT les infrastructures critiques ; toutefois, cette protection ne se limite pas à ce que les gouvernements définissent comme des « infrastructures critiques », mais englobe tout ce que vous jugez essentiel.
Au cœur de cette infrastructure se trouvent des données essentielles, qui garantissent la sécurité, la stabilité et la continuité des opérations.
Dans les environnements ICS (systèmesIndustrial ) et OT, ces données reflètent les fonctions et processus essentiels de l'entreprise. Mais lorsqu'un incident cybernétique se produit, l'une des premières priorités est d'en limiter la propagation.
Le dilemme du confinement
La première étape du confinement consiste à isoler les systèmes touchés et à couper les voies de communication susceptibles de propager l'attaque. Les recommandations de la CISA (Agence pour la cybersécurité et la sécurité des infrastructures) en matière de réponse aux attaques par ransomware, par exemple, préconisent explicitement d'isoler immédiatement les systèmes touchés et de déconnecter les appareils lorsque cela est possible(1). C'est un conseil judicieux, mais dans les environnements industriels, cela peut poser un dilemme opérationnel :
| La sécurité nécessite une séparation | Les opérations ont besoin de visibilité |
|---|---|
| Empêcher tout mouvement latéral | Les systèmes fonctionnent-ils toujours en toute sécurité ? |
| Mettre fin au modèle de gestion centralisée | Les systèmes sont-ils stables ou présentent-ils des écarts par rapport aux tolérances ? |
| Empêcher la propagation | Faut-il fermer ou pouvons-nous continuer à fonctionner sans incident ? |
Les diodes optiques ne laissent aucune place au doute
Une diode de données optique permet aux entreprises de désactiver les voies de communication bidirectionnelles, telles que les pare-feu, les VPN, l'accès à distance et les relations de confiance, tout en continuant à autoriser la transmission vers l'extérieur des données de télémétrie essentielles. Cette méthode offre un mécanisme permettant de mieux appréhender les processus, d'améliorer la sécurité et de prendre de meilleures décisions grâce aux données en temps réel.
Core
Même si vous « fermez la porte » entre l'informatique (IT) et les technologies opérationnelles (OT) pendant la phase de confinement, vous pouvez tout de même laisser une « fente » permettant aux données de processus en lecture seule de sortir de l'environnement OT, sans pour autant créer de voie d'accès au réseau en sens inverse.
Le confinement, dans le cadre de la gestion des incidents (IR), s'inscrit dans la lignée des recommandations de longue date du NIST en matière de sécurité des systèmes opérationnels (OT). Le NIST souligne qu'une passerelle unidirectionnelle ou une diode de données, qui n'autorise que les communications autorisées et configurées dans un seul sens, constitue une alternative au pare-feu (2).
Que se passe-t-il quand tout s'assombrit ?
Comment gérer une chaîne de production sans automatisation ni infrastructure ? L'incident de ransomware survenu en 2019 chez Norsk Hydro constitue un exemple souvent cité de « confinement par déconnexion » : l'entreprise avait alors coupé l'accès au réseau pour empêcher la propagation du virus et était revenue à des processus manuels pendant un certain temps. Le ransomware LockerGoga a particulièrement touché certaines de ses usines de transformation de l'aluminium, et l'impact financier s'élèverait à plus de 71 millions de dollars. Des anciens employés de l'usine, qui connaissaient bien l'ancien système papier, se sont portés volontaires pour revenir sur le site afin de maintenir la production(3).
Il est utile de bien comprendre ce cas, car il met en évidence les coûts opérationnels et financiers liés à la perte de la connectivité numérique et de la visibilité centralisée sur les processus automatisés lors d'une réponse aux incidents. C'était la bonne décision.
Visibilité de niveau décisionnel avec confinement
Dans de nombreuses entreprises industrielles, la visibilité des processus repose sur les données provenant de sources OT telles que :
- Serveurs OPC UA (valeurs en temps réel, alarmes, données contextualisées)
- Les historiens apprécient AVEVA PI (séries chronologiques + événements + contexte Asset Framework)
Pendant une phase de confinement, il est courant de désactiver les pare-feu et les règles de sécurité, ou de bloquer l'accès à distance, afin d'empêcher les données de télémétrie OT de se connecter aux outils de l'entreprise. Une architecture en diode modifie ce mode de défaillance :
- Vous pouvez désactiver les règles du pare-feu ou du serveur pour limiter les risques liés au trafic entrant.
- Vous pouvez toujours recevoir des données de télémétrie unidirectionnelles afin de maintenir une bonne connaissance de la situation et d'accélérer le triage des incidents en temps réel.
- Si vous utilisez d'autres outils de visibilité qui s'appuient sur la visibilité du trafic réseau pour détecter les menaces, vous pouvez continuer à acheminer ces données via une diode
Exemple de scénario
Incident
Un ransomware se déclenche sur le réseau de l'entreprise. L'équipe d'intervention en cas d'incident isole et désactive le trafic entre les réseaux informatiques (IT) et opérationnels (OT) afin d'empêcher la contamination de l'infrastructure OT.
Problème
Les équipes centrales perdent l'accès aux tableaux de bord OT et aux vues historiques qui leur permettent de vérifier la sécurité et la stabilité de l'environnement.
Grâce à une diode, l'environnement OT continue de transmettre en continu des données de télémétrie en lecture seule vers un réseau de réception où les responsables SOC et des opérations peuvent consulter les principales tendances, les alarmes et les données de sécurité, sans qu'aucune communication de contrôle ne soit renvoyée vers l'environnement OT.
Même si une diode ne « résout pas le problème des ransomwares » (découvrez les technologies préventives proposées par MetaDefender Core), elle réduit l'ampleur des dégâts en bloquant les accès réseau entrants en provenance de zones à haut risque, tout en préservant un niveau minimal de visibilité opérationnelle.
Informations pratiques à fournir
Afin de garantir l'efficacité opérationnelle, définissez un ensemble de données sur la visibilité des crises dès la phase de planification de votre plan de réponse aux incidents. Cet ensemble doit notamment inclure des données telles que :
- Paramètres de processus critiques pour la sécurité (pression, température, niveaux, verrouillages)
- Indicateurs de mode/état (automatique/manuel, mode permissif, déclenchements)
- Résumés des alarmes (nombre + alarmes les plus fréquentes)
- Télémétrie de l'état du réseau (commutateurs/routeurs critiques, état des périphériques/ports (actifs/inactifs), données historiques sur l'état du réseau)
- Contexte minimal (noms des ressources/unités permettant aux équipes de comprendre rapidement)
Références
1. CISA. https://www.cisa.gov/ransomware-response-checklist; CISA. [En ligne]
2. NIST. SP800-82r3. NIST. [En ligne] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf.
3. Briggs, Bill. Des pirates informatiques ont attaqué Norsk Hydro avec un rançongiciel. L'entreprise a réagi en faisant preuve de transparence. Microsoft.com. [En ligne] 16 décembre 2019. https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/.
