Industrial qui impliquent une succession systématique d'opérations chimiques, physiques, électriques et mécaniques sont généralement protégés par des systèmes traditionnels et obsolètes, qui n'ont jamais été conçus pour faire face aux menaces modernes en matière de cybersécurité.
Dans les secteurs de la production d'énergie et du raffinage, ces processus visent à transformer des matières premières en énergie, à grande échelle. Les différents équipements OT utilisés dans les raffineries de pétrole doivent communiquer entre eux pour assurer le bon fonctionnement des processus techniques.
Et c'est là que réside la vulnérabilité critique.
Les systèmes de contrôle tels que les automates programmables (PLC), les systèmes de contrôle distribués (DCS) et les systèmes SCADA partent généralement du principe que tout ce qui communique avec eux est fiable. Ils peuvent donc ne pas disposer de mécanismes d'authentification, de chiffrement ou de validation des commandes.
Si les systèmes OT sont placés sur le même réseau que les systèmes informatiques (outils d'accès à distance, connexions de sous-traitants ou ordinateurs portables de maintenance), toute intrusion dans ces zones moins sécurisées peut atteindre directement l'environnement de contrôle. Par conséquent, un incident de sécurité qui prend naissance dans l'environnement informatique peut se propager latéralement vers l'environnement OT sans rencontrer de résistance notable.
Les attaques DoS/DDoS, les logiciels mal configurés ou les utilisateurs malveillants peuvent communiquer directement avec les systèmes de contrôle, ce qui peut entraîner la modification des paramètres de processus, l'arrêt de la production, l'endommagement des équipements ou la création de conditions d'exploitation dangereuses.
Les environnements OT accordent la priorité à la disponibilité et à la stabilité. Il ne s'agit pas de systèmes pouvant être corrigés rapidement, ce qui signifie que les vulnérabilités restent exploitables pendant de longues périodes. Dans un réseau plat ou mal segmenté, un seul incident peut donc s'amplifier rapidement et affecter plusieurs ressources ou sites.
Notre client, l'une des plus grandes entreprises cotées en bourse au monde dans les secteurs de l'énergie et de la chimie, a pris conscience de son exposition aux risques et s'est attaché à remédier aux vulnérabilités liées à ses systèmes hérités grâce à la segmentation.
Grâce à une segmentation adéquate, les réseaux sont séparés en fonction du risque et de leur fonction. Ainsi, les ressources OT critiques ne sont accessibles que par des voies strictement contrôlées, tandis que les communications sont explicitement définies et restreintes, au lieu d'être considérées comme sûres par défaut.
Les pare-feu informatiques traditionnels s'étant révélés inefficaces pour gérer leurs protocoles de communication spécifiques, l'entreprise s'est tournée versFirewall Industrial MetaDefender OPSWATFirewall mettre en place une segmentation sécurisée entre les actifs OT critiques et les zones moins sécurisées.
Quand la cybersécurité devient une question de sécurité nationale
En tant qu’acteur majeur du secteur pétrolier et gazier en Europe, le client s’appuyait sur des processus reposant sur une infrastructure répartie entre plusieurs raffineries, des plateformes de forage offshore et des centres de contrôle des gazoducs.
Cette infrastructure reposait en grande partie sur des systèmes industriels hérités, tels que les automates programmables (PLC), les plateformes SCADA et les interfaces homme-machine (IHM).
À l'origine, ces systèmes avaient été conçus dans un souci de fiabilité et de disponibilité, et non dans une optique de cybersécurité. Ils ne disposaient pas de mécanismes intégrés d'authentification, de chiffrement ni de journalisation détaillée.
Les pare-feu informatiques traditionnels utilisés se sont révélés inefficaces pour gérer les protocoles de communication spécifiques aux environnements OT et CPS, exposant ainsi les systèmes aux risques suivants :
- Trafic réseau superflu et risques liés aux mouvements latéraux
- Points d'entrée potentiels pour les ransomwares et les cyberattaques ciblées
- Difficultés liées à la mise en œuvre d'un contrôle granulaire des protocoles industriels
Il ne s'agit pas là de risques qu'une organisation active dans les secteurs de la production et du raffinage d'énergie puisse simplement prendre à la légère : les attaques visant les systèmes énergétiques peuvent menacer la sécurité publique, perturber les services essentiels et affaiblir la sécurité nationale.
Plutôt que d’attendre que le pire se produise, le client a décidé de remédier à la situation précaire dans laquelle se trouvait son entreprise en déployantFirewallIndustrial MetaDefender OPSWAT.
Garantir la Industrial tout en respectant les exigences des normes CEI 62443 et NIS2
L'entreprise a déployéFirewall Industrial OPSWAT MetaDefender Firewall mettre en place une segmentation sécurisée entre les actifs OT critiques et les zones moins sécurisées.
MetaDefender Industrial Firewall
NotreFirewall Industrial Firewall opérations est un pare-feu hautement performant et robuste, conçu pour constituer la dernière ligne de défense contre les erreurs de configuration accidentelles, les utilisations malveillantes, les menaces « zero-day », les attaques DoS et DDoS, ainsi que les anomalies potentiellement dangereuses.
Grâce à son inspection approfondie des paquets pour les protocoles industriels et à son contrôle d'accès basé sur des règles, le pare-feu a permis au client :
- Isoler les ressources OT/ICS contre les cyberattaques visant les automates programmables (PLC), les systèmes SCADA et les systèmes de contrôle distribué (DCS).
- Filtrer et contrôler les protocoles industriels afin de bloquer les commandes non autorisées tout en garantissant la sécurité des opérations.
- Protéger les postes de travail des historiens et des ingénieurs contre les tentatives d'accès non autorisées.
Assistance à la mise en conformité avec les normes CEI 62443 et NIS2
Grâce auFirewall Industrial Firewall opérations, le client a également bénéficié d'un accompagnement pour se conformer aux exigences de la norme CEI 62443 et de la directive NIS2 applicables aux opérateurs européens de services essentiels.
La directive NIS2 | IEC 62443 |
Mise en œuvre de la gestion des risques : assure la segmentation du réseau entre les systèmes informatiques (IT) et les systèmes opérationnels (OT) afin de réduire le risque cyber systémique pesant sur les services essentiels. | Architecture par zones et canaux : |
Réduction de la surface d'attaque : | Validation au niveau des commandes : |
Résilience opérationnelle : | Filtrage des commandes Industrial : |
Contrôles adaptés aux audits : | Intégrité des commandes et des communications (SR 3.x) : |
Responsabilité au niveau du conseil d'administration : « | Mise en œuvre du contrôle d'accès pour les actifs OT : Limite l'accès aux automates programmables (PLC), aux systèmes SCADA et aux postes de travail d'ingénierie |
Contrôle architectural ou segmentation, stabilité opérationnelle et amélioration de la gouvernance
Firewall Industrial MetaDefender sertFirewall de système de contrôle compensatoire pour les actifs hérités ou ne pouvant pas être mis à jour, qui sont assez courants dans les raffineries et les réseaux de pipelines.
Grâce au Firewall, le client peut désormais :
- Empêcher l'envoi de commandes accidentelles ou non autorisées aux contrôleurs grâce à l'inspection des protocoles industriels.
- Limiter les perturbations au niveau du site, afin d'empêcher leur propagation vers d'autres sites au sein d'un réseau d'installations interconnectées.
- Limiter le trafic anormal et les paquets mal formés afin de préserver la disponibilité du contrôleur.
- Isoler les systèmes de sécurité des réseaux de commande standard afin de réduire les risques opérationnels.
- Assurer une mise en œuvre vérifiable de la gouvernance des accès pour les fournisseurs et les sous-traitants.
Perspectives d'avenir
Notre client est conscient que la segmentation sécurisée ne constitue que la première étape vers la mise en œuvre d'une stratégie solide de défense en profondeur.
Et pourtant, il s'agit d'une étape importante, car se préparer à la croissance future permet à l'organisation de poursuivre ses activités dans un environnement sûr.
Le client peut désormais renforcer sa stratégie de cybersécurité en :
- IntégrationFirewall Industrial MetaDefender Firewall OT Security MetaDefender OT Security assurer la visibilité des actifs et vulnerability detection des réseaux des raffineries et des pipelines.
- Tirer parti de MetaDefender OT Access permettre un accès à distance sécurisé aux environnements OT.
- Mettre en place une stratégie de défense à plusieurs niveaux sur l'ensemble des plateformes offshore et des raffineries afin d'atténuer les risques liés aux personnes internes et à la chaîne d'approvisionnement.
Si votre entreprise souhaite moderniser et sécuriser son réseau à grande échelle, leFirewall Industrial MetaDefender Firewall vous aider à accélérer le dépannage et à optimiser vos opérations.
N'hésitez pas à nous contacter pour découvrir comment notre OPSWAT peut protéger vos systèmes.
