Se défendre contre les menaces croissantes en matière de cybersécurité
Historiquement, la sécurité des technologies de l'information a été une priorité moindre pour les compagnies des eaux par rapport à d'autres secteurs. Cependant, les services de renseignement gouvernementaux, comme le rapporte l'AWWA (American Water Works Association), ont récemment confirmé que les secteurs de l'eau et des eaux usées sont devenus des cibles majeures pour les campagnes d'intrusion des gouvernements étrangers, les acteurs criminels et d'autres groupes de menace.
Pour protéger l'eau potable, l'Agence américaine de protection de l'environnement (EPA) a émis une alerte en mai 2024, notifiant aux réseaux d'eau communautaires les vulnérabilités en matière de cybersécurité qui devaient être corrigées. Les principales préoccupations sont les suivantes :
- Visibilité limitée du réseau, ce qui rend difficile la détection d'anomalies dans les pompes, les vannes et les processus de traitement chimique.
- Faible segmentation entre les environnements OT et IT, ce qui accroît le risque de mouvements latéraux par des cyberadversaires.
- L'accès non sécurisé de tiers, qui a rendu les systèmes critiques vulnérables aux menaces provenant d'appareils externes compromis.
- Le besoin de solutions de cybersécurité qui garantissent des opérations ininterrompues et sûres sans causer de temps d'arrêt.
Les lacunes des systèmes existants en matière de cybersécurité
L'un des plus grands défis de l'entreprise était la vétusté de ses systèmes. Les systèmes OT hérités dont les vulnérabilités n'étaient pas corrigées créaient d'importantes failles de sécurité que des acteurs malveillants pouvaient exploiter. Ces vulnérabilités ne posaient pas seulement des risques d'indisponibilité des systèmes, mais pouvaient également entraîner des dommages physiques dans les systèmes critiques. L'entreprise a reconnu que la mise en œuvre d'une segmentation du réseau et de contrôles d'accès robustes était essentielle pour atténuer ces risques tout en assurant la continuité des opérations.
Lutte contre les menaces internes et contrôles d'accès Secure
Les menaces d'initiés constituent un autre risque important en raison de mauvaises configurations accidentelles, d'une mauvaise utilisation ou de modifications intentionnelles des systèmes. Les employés et les sous-traitants ayant accès aux environnements OT peuvent involontairement perturber les opérations ou, dans de rares cas, modifier malicieusement des systèmes critiques.
En même temps, un accès sécurisé doit être mis en place pour le personnel interne et les fournisseurs tiers externes. Les accès non autorisés - qu'il s'agisse d'identifiants compromis, de privilèges d'administration excessifs ou de sessions à distance non gérées - peuvent rendre l'infrastructure critique vulnérable.
Documentation et conformité
Notre évaluation sur place a révélé de graves lacunes dans la documentation relative à l'équipement installé sur le terrain, ce qui présente des risques importants en matière de conformité. L'un des principaux problèmes était l'absence d'inventaire et de classification précis des actifs, de nombreuses organisations s'appuyant encore sur des méthodes d'enregistrement manuelles et obsolètes. Sans système structuré de gestion des actifs, il devient difficile de suivre les appareils, d'évaluer les cyber-risques et d'appliquer les contrôles de sécurité, ce qui compromet la conformité aux normes NERC CIP, IEC 62443 et NIST 800-82.
Au-delà de la gestion des actifs, les évaluations des cyberrisques, les politiques de contrôle d'accès et les plans de réponse aux incidents étaient soit incomplets, soit inexistants. En raison de ces lacunes, les équipes de sécurité ne disposaient pas de lignes directrices claires pour gérer les menaces, restreindre les accès non autorisés ou répondre aux incidents de sécurité d'une manière normalisée et conforme.
Pour aggraver ces difficultés, les imprécisions des diagrammes de réseau tels qu'ils ont été construits ont entravé la capacité de cartographier la topologie actuelle du réseau et de valider les configurations de sécurité, ce qui a augmenté le risque de mauvaises configurations et de lacunes en matière de sécurité.
Sécuriser les opérations dans le secteur de l'eau grâce à la plateforme MetaDefender OT & CPS
Lorsque notre client a connu une série de cyberincidents visant ses systèmes SCADA, son RSSI a compris qu'il devait adopter une approche plus solide pour sécuriser son infrastructure hydraulique.
Chaque nuit, je m'inquiétais de ce qui pourrait arriver si quelqu'un prenait le contrôle de nos processus de traitement. Avec la responsabilité de fournir de l'eau potable à plus de 2,5 millions d'habitants, les enjeux ne pouvaient pas être plus élevés.
AnonymeRSSI
Après avoir évalué plusieurs solutions de cybersécurité industrielle, la compagnie a choisi MetaDefender for OT & CPS Protection d'OPSWAT, comprenant MetaDefender OT Security, MetaDefender Industrial Firewall, MetaDefender OT Access, et MetaDefender Optical Diode, pour leur capacité à répondre aux besoins spécifiques de l'industrie de l'eau.
Détection et correctifs
MetaDefender OT Security analyse en permanence les réseaux OT pour détecter les dispositifs non autorisés, les activités anormales et les menaces potentielles. En outre, il évalue l'état des correctifs sur les actifs OT, identifiant les firmwares obsolètes et les vulnérabilités non corrigées qui pourraient être exploitées, garantissant ainsi que les systèmes critiques restent à jour et résilients face aux cybermenaces.
La prévention
MetaDefender Industrial Firewall a mis en place une segmentation stricte du réseau, bloquant le trafic non autorisé et isolant les systèmes critiques pour prévenir les menaces. Filtrage des protocoles spécifiques aux principaux protocoles SCADA de l'eau, tels que Modbus, DNP3 et IEC 104, garantissant que seul le trafic valide peut accéder aux systèmes opérationnels.
Contrôle d'accès
MetaDefender OT Access permet un accès à distance limité dans le temps et renforcé par des règles, et fournit une piste d'audit complète de chaque session d'accès, ce qui permet une supervision complète et une réponse rapide aux incidents.
Passerelle de sécurité
MetaDefender Optical Diode assure un flux de données unidirectionnel, c'est-à-dire que les données ne peuvent circuler que dans un sens, d'un réseau à l'autre, sans permettre la communication inverse. Elle agit essentiellement comme un "gardien de données" entre deux systèmes, séparant les réseaux sans exposer les systèmes OT les plus vulnérables à des menaces externes.
Nos solutions OT de première ligne ont fourni une prise en charge complète des protocoles, y compris le protocole DNP3 (Distributed Network Protocol 3), assurant une protection transparente des systèmes de traitement et de distribution. Le service public a également bénéficié d'une visibilité totale sur l'ensemble des stations de pompage et des dispositifs de terrain, tels que les stations d'épuration, permettant une segmentation précise en zones et conduits pour un contrôle granulaire de la communication. En outre, OPSWAT a mis en place des voies d'accès sécurisées pour les fournisseurs, ce qui permet d'effectuer des activités de maintenance sans exposer l'infrastructure critique à des accès non autorisés ou à des cyber-menaces potentielles. Notre équipe de mise en œuvre a travaillé en étroite collaboration avec les opérateurs de l'usine pour déployer la solution sans perturber les opérations critiques, en créant une architecture de sécurité qui protège à la fois les systèmes existants et l'infrastructure numérique plus récente. Cette approche progressive a permis à l'entreprise de renforcer ses défenses tout en maintenant un service d'eau ininterrompu pour ses communautés.
L'accès à distance était notre plus grande lacune en matière de sécurité. Avec MetaDefender for OT & CPS Protection, nous avons obtenu un contrôle sécurisé et basé sur des règles de toutes les connexions à distance, ce qui nous a permis de fermer un vecteur d'attaque majeur et de renforcer notre posture globale de cybersécurité.
AnonymeRSSI
Au-delà de la sécurité : Avantages opérationnels et économies d'énergie
Bien que la cybersécurité ait été la première motivation, la compagnie a découvert d'autres avantages opérationnels. La visibilité complète de leurs systèmes de contrôle a permis d'identifier les inefficacités dans leurs opérations de pompage, ce qui a conduit à des économies d'énergie d'environ 14 % sur l'ensemble de leur réseau de distribution.
Nous avons mis en place MetaDefender pour protéger nos systèmes d'eau, mais les informations opérationnelles qu'il nous a fournies nous ont également aidés à optimiser nos processus. Aujourd'hui, nous pouvons voir exactement comment nos systèmes fonctionnent et faire des ajustements qui améliorent à la fois la sécurité et l'efficacité.
AnonymeRSSI
Répondre aux exigences réglementaires
Alors que les réglementations fédérales et nationales en matière de sécurité de l'eau continuent d'évoluer, l'implémentation de MetaDefender a permis à la compagnie des eaux du comté de se mettre en conformité avec la réglementation avec un minimum d'efforts supplémentaires.
Grâce à MetaDefender for OT & CPS Protection, nous avons facilement répondu aux nouvelles directives de cybersécurité de l'EPA pour les systèmes de distribution d'eau. Sa documentation complète et sa visibilité ont simplifié nos rapports de conformité.
AnonymeRSSI
Résultats : Amélioration de la sécurité et de la continuité des opérations
En adoptant les solutions d'OPSWAT, la compagnie a obtenu plusieurs résultats clés :
Une protection rentable avec une tarification évolutive
Contrairement aux solutions ponctuelles traditionnelles qui nécessitent une tarification individuelle coûteuse pour chaque besoin de sécurité, la plateforme d'OPSWAToffre une protection de niveau entreprise avec une tarification évolutive.
Prise en charge d'un grand nombre de protocoles pour une intégration transparente
De nombreuses solutions de cybersécurité offrent une compatibilité limitée avec les protocoles industriels, ce qui oblige les entreprises à recourir à des intégrations tierces. En revanche, MetaDefender for OT & CPS Protection prend en charge tous les principaux protocoles industriels, y compris Modbus, DNP3 et IEC 104, ce qui garantit une mise en œuvre transparente de la sécurité dans l'ensemble de l'infrastructure de l'entreprise.
Conception conviviale et axée sur l'ergothérapie
Les outils de sécurité informatique traditionnels manquent souvent de convivialité dans les environnements OT, ce qui les rend difficiles à gérer efficacement pour les équipes opérationnelles. Les solutions MetaDefender OT sont spécialement conçues pour les utilisateurs OT, avec des contrôles intuitifs et une automatisation qui permettent aux ingénieurs, aux opérateurs d'usine et aux équipes de cybersécurité de surveiller et de sécuriser facilement leur infrastructure critique.
Une sécurité renforcée, zéro perturbation opérationnelle
Visibilité complète des actifs OT
Les équipes de sécurité ont obtenu des informations complètes en temps réel sur tous les appareils connectés et sur l'activité du réseau.
Détection proactive des menaces
Une tentative d'intrusion sur l'ordinateur portable d'un sous-traitant a été repérée et empêchée, ce qui a permis d'éviter d'éventuelles interruptions de service.
Gestion automatisée de la sécurité
L'établissement de rapports et le suivi avancés ont permis de réduire les tâches manuelles tout en améliorant la conformité aux réglementations.
Une cybersécurité à l'épreuve du temps
Le service public est désormais équipé pour lutter contre les cybermenaces en constante évolution, tout en assurant la continuité et la sécurité des opérations de distribution d'eau.
La possibilité de segmenter le réseau, de sécuriser le transfert de données, d'avoir une visibilité en temps réel et de sécuriser l'accès à distance sans dépendre d'intégrations tierces a été inestimable. Il s'agit d'une suite complète de sécurité OT qui nous a apporté la protection et la continuité dont nous avions besoin sans aucun problème.
AnonymeRSSI
Conclusion
L'implémentation des solutions MetaDefender OT & CPS Protection Solutions d'OPSWAT a permis à cette compagnie des eaux de combler des lacunes critiques en matière de sécurité, en assurant la protection des systèmes OT essentiels, tout en maintenant des services ininterrompus pour des millions de résidents. Avec une visibilité en temps réel, une segmentation granulaire du réseau et un accès à distance sécurisé, la compagnie a considérablement renforcé ses défenses contre les cyber-menaces internes et externes, sans dépendre d'intégrations tierces.
Contrairement à d'autres solutions qui nécessitent des outils de sécurité fragmentaires provenant de plusieurs fournisseurs, OPSWAT offre la suite la plus complète de solutions de sécurité OT disponibles aujourd'hui, couvrant chaque couche de la cybersécurité industrielle. Conçues pour un déploiement sans faille, les solutions OPSWAT fonctionnent à l'unisson pour renforcer les infrastructures critiques, offrant une protection, une conformité et une continuité opérationnelle inégalées.
Pour en savoir plus sur la façon dont MetaDefender for OT & CPS Protection peut protéger votre infrastructure critique, contactez un expert OPSWAT dès aujourd'hui.
