Pourquoi il est difficile d'assurer un accès Secure dans les environnements OT
Le plus grand risque ne résidait pas dans l'accès à distance en soi, mais dans le manque de contrôle et de visibilité une fois que les utilisateurs avaient pénétré dans le réseau OT
La gestion de l'accès à distance dans un environnement OT est intrinsèquement complexe. L'entreprise devait trouver un équilibre entre disponibilité, sécurité et rapidité, tout en protégeant des systèmes de contrôle hérités qui n'avaient jamais été conçus pour la connectivité moderne. Les ingénieurs internes et les prestataires externes avaient besoin d'un accès fréquent pour la configuration, la maintenance et la gestion des incidents, mais chaque connexion à l'environnement OT élargissait la surface d'attaque.
5 raisons pour lesquelles les VPN et les outils d'accès à distance génériques ne conviennent pas aux réseaux OT
L'entreprise s'appuyait sur des VPN hérités et des outils d'accès à distance génériques qui étendaient la confiance accordée au niveau du réseau à des zones OT sensibles. Une fois connectés, les utilisateurs disposaient souvent d'une visibilité et d'un accès plus étendus que nécessaire, ce qui créait un risque que l'équipe de sécurité ne pouvait pas facilement maîtriser ni surveiller.
5 défis majeurs
- Accès trop privilégié : la connectivité via VPN a permis un accès étendu au réseau au lieu de limiter les utilisateurs à des ressources OT ou à des écrans spécifiques
- Visibilité limitée sur les sessions : les équipes de sécurité ne pouvaient pas voir ce que faisaient les utilisateurs pendant les sessions RDP actives ni intervenir en temps réel
- Risque de propagation latérale : une fois à l'intérieur, les utilisateurs pourraient se déplacer d'un segment OT à l'autre, augmentant ainsi la portée de l'attaque
- Ouverture des ports du pare-feu : les exigences en matière d'accès entrant ont créé des points de vulnérabilité permanents au sein des infrastructures critiques
- Difficultés liées à l'audit et à la conformité : déterminer qui a accédé à quels systèmes, pendant combien de temps et pour effectuer quelles opérations nécessitait un travail manuel et s'appuyait sur des journaux de connexion fragmentés
Conséquences sur les activités et les opérations
- Risque cybernétique accru pour les environnements SCADA, DCS, IHM et API
- Réponse plus lente pendant les fenêtres de maintenance et en cas d'incidents en raison des solutions de contournement mises en place pour l'accès
- Le RSSI est soumis à une pression croissante pour démontrer l'efficacité de ses contrôles et sa capacité à faire face aux audits
- Confiance moindre dans la conformité de l'accès à distance aux principes du privilège minimal
Quelles sont les fonctionnalités indispensables d'une solution Secure d'accès à distance Secure ?
Nous avions besoin d'un accès RDP sans pour autant courir le risque lié à l'exposition le réseau OT.
Le service public avait besoin d'une solution d'accès à distance dédiée aux réseaux OT qui garantisse le principe du privilège minimal, élimine toute exposition aux menaces entrantes et offre une traçabilité totale sans ralentir les opérations. Les équipes de sécurité et d'OT se sont rapidement mises d'accord sur un principe clair : l'accès à distance doit faciliter le travail quotidien des ingénieurs sans pour autant accorder de confiance au réseau OT lui-même. Toute solution devait réduire les risques cybernétiques par défaut tout en restant pratique pour les ingénieurs, les opérateurs et les prestataires tiers travaillant sur plusieurs sites.
Core
Afin de remplacer en toute sécurité l'accès via VPN, l'utilitaire a défini les critères suivants :
- Contrôle granulaire du protocole RDP : permet aux ingénieurs d'accéder aux interfaces homme-machine (IHM) et aux outils de diagnostic sous Windows sans leur accorder de visibilité sur l'ensemble du réseau ni de privilèges illimités
- Application du principe du privilège minimal : les utilisateurs ne doivent pouvoir consulter et interagir qu'avec les ressources explicitement autorisées, sans possibilité de se déplacer latéralement
- Traceabilité rigoureuse : chaque session doit être consignée, enregistrée si nécessaire, et associée à un utilisateur, un actif et une plage horaire spécifiques
- Aucune exposition du pare-feu entrant : l'accès à distance doit fonctionner sans ouvrir de ports vers les réseaux OT
- Adaptabilité opérationnelle pour l'OT : la solution doit prendre en charge les systèmes existants, limiter au maximum les modifications architecturales et éviter toute interruption de service pendant le déploiement
Ce qu'ils voulaient éviter
Les expériences passées ont déterminé ce que l'entreprise ne souhaitait pas revivre :
- Outils génériques d'accès à distance destinés à l'informatique, réutilisés pour les technologies opérationnelles
- Un accès au niveau du réseau qui a élargi la portée de l'attaque
- Préparation manuelle d'un audit à partir de journaux fragmentés
- Mesures de sécurité qui ont ralenti les opérations de maintenance ou la gestion des incidents
Pour la direction, le tournant a été de reconnaître que l'accès à distance en soi n'était pas le problème. Le problème résidait dans la manière dont cet accès était accordé, contrôlé et surveillé.
Comment Secure l'accès Secure aux systèmes OT sans exposer le réseau
Le tournant a été le passage d'un accès au réseau à des sessions contrôlées, sans perturber le fonctionnement.
Le service a réduit les risques liés à l'accès à distance aux systèmes OT et amélioré le contrôle opérationnel en passant d'un accès au niveau du réseau à une connectivité RDP basée sur des sessions et régie par des règles. L'accès à distance aux environnements OT est ainsi devenu contrôlé, vérifiable et isolé par nature. Les ingénieurs et les fournisseurs pouvaient se connecter aux systèmes précis dont ils avaient besoin, au moment où ils en avaient besoin, sans exposer l'ensemble du réseau OT ni ouvrir de ports entrants sur le pare-feu.
Comment y sont-ils parvenus ?
Le service public a déployé MetaDefender Access™, une passerelle d'accès à distance sécurisée spécialement conçue pour les environnements OT. Plutôt que d'étendre l'accès VPN aux réseaux de contrôle, la plateforme a mis en place un contrôle des accès au niveau des sessions, assorti de mesures de visibilité et de contrôle des politiques strictes, adaptées aux rôles opérationnels.
Les 5 éléments clés de la solution
- Accès RDP granulaire aux systèmes OT
Les ingénieurs ne disposaient d'un accès RDP qu'aux IHM, postes de travail d'ingénierie ou systèmes de diagnostic Windows approuvés. Des politiques définissaient les actions autorisées au cours de chaque session, réduisant ainsi le risque d'utilisation abusive ou de modifications accidentelles. - Application des principes de visibilité directe et de privilèges minimaux
Les utilisateurs ne pouvaient voir et interagir qu'avec les ressources qui leur avaient été explicitement attribuées. Il n'était pas possible de parcourir le réseau OT ni de se déplacer latéralement d'un système à l'autre.
de connectivité sécurisée en sortie uniquement La passerelle d'accès OT a établi des connexions TLS en sortie uniquement, ce qui a permis d'éviter d'ouvrir des ports entrants sur le pare-feu et de réduire la surface d'attaque des infrastructures critiques.
de surveillance, de journalisation et d'enregistrement des sessions Toutes les sessions à distance ont été consignées et, le cas échéant, enregistrées. Les équipes techniques et de sécurité pouvaient superviser les sessions en direct ou examiner les activités a posteriori afin de faciliter les audits et les enquêtes.- TransfertSecure vers les environnements OT
Lorsque des fichiers de configuration, des scripts ou des correctifs étaient nécessaires, les transferts de fichiers étaient intégrés à un système de transfert de fichiers géré et à une analyse anti-malware multi-moteurs afin d'empêcher tout contenu malveillant de pénétrer dans les systèmes OT.
Pourquoi cette approche a fonctionné
Au lieu de demander aux équipes opérationnelles de modifier leurs méthodes de travail, la solution s'est adaptée à la réalité opérationnelle tout en appliquant de manière transparente des contrôles de sécurité en arrière-plan. L'accès ne reposait plus sur la confiance dans le réseau, mais sur des utilisateurs autorisés en fonction de rôles et de politiques définis.
D'un accès à risque à un contrôle mesurable
L'accès à distance est passé d'un risque inévitable à une capacité opérationnelle maîtrisée
Le service a acquis un contrôle opérationnel effectif sur l'accès à distance aux systèmes OT, ce qui a permis de réduire les risques tout en rendant les audits, la maintenance et la gestion des incidents plus rapides et plus prévisibles. Les améliorations opérationnelles ont été immédiates et perceptibles au sein des équipes chargées de la sécurité, des systèmes OT et de la conformité. L'accès à distance a cessé d'être un angle mort pour devenir un processus réglementé et reproductible.
Améliorations opérationnelles
- Réduction de l'exposition au trafic sortant : suppression des ports entrants du pare-feu grâce à des tunnels TLS exclusivement sortants, ce qui réduit la surface d'attaque externe
- Une gouvernance des accès renforcée : les ingénieurs et les fournisseurs n'avaient accès qu'aux systèmes approuvés, sans possibilité de déplacement latéral
- Des audits plus rapides : les journaux de session et les enregistrements ont remplacé la collecte manuelle des preuves
- Amélioration de la gestion des incidents : les équipes peuvent accorder rapidement un accès limité dans le temps sans pour autant assouplir les mesures de sécurité
Conséquences pour les équipes
- Les équipes de sécurité ont acquis la certitude que l'accès à distance respectait les principes du « privilège minimal » et de la « confiance zéro »
- Les équipes informatiques ont consacré moins de temps à la gestion des exceptions d'accès et davantage à la maintenance des systèmes
- La direction avait l'assurance que les risques liés à l'accès à distance étaient maîtrisés sans nuire à la disponibilité du système
Avant et après la mise en place de OT Access à distance OT Access
Avant | Après |
Accès au réseau via un VPN | Accès RDP par session |
Une grande visibilité une fois connecté | Accès réservé aux ressources approuvées |
Visibilité limitée des activités | Journalisation et enregistrement complets des sessions |
Ouvrir les ports entrants du pare-feu | Connexions sécurisées en sortie uniquement |
Préparation manuelle de l'audit | Enregistrement des accès prêt pour l'audit par défaut |
Étendre Secure à un environnement OT en pleine expansion
Comment les services publics peuvent-ils adapter leur solution d'accès à distance sécurisé aux infrastructures OT à mesure que leurs activités se développent ?
Grâce à la mise en place d'un accès à distance contrôlé pour les systèmes OT, le service public est désormais en mesure d'étendre l'accès RDP sécurisé et d'intégrer les journaux et les enregistrements des sessions RDP dans ses opérations de sécurité globales. À mesure que le service public poursuit la modernisation et la numérisation de ses opérations, les besoins en matière d'accès à distance devraient s'accroître, tant en volume qu'en portée. Plutôt que d'introduire de nouvelles solutions ponctuelles, l'organisation prévoit de s'appuyer sur la même infrastructure de contrôle d'accès afin de garantir la cohérence et de réduire la complexité opérationnelle.
Possibilités d'expansion à l'étude
- Couverture RDP étendue aux ressources OT
Étendez l'accès RDP sécurisé à d'autres systèmes Windows, tels que les serveurs d'historisation, les postes de travail d'ingénierie et les contrôleurs périphériques, tout en conservant les mêmes principes de « privilèges minimaux » et de « ligne de visée ».
- Une intégration plus poussée des opérations de sécurité
Mettez en corrélation les journaux et les enregistrements des sessions RDP avec les plateformes SIEM et SOAR afin d'obtenir un contexte plus complet lors des enquêtes et d'accélérer la réponse aux incidents.
- Prise en charge des futures initiatives numériques
Utilisez le même cadre d'accès pour sécuriser la connectivité aux plateformes d'analyse hébergées dans le cloud ou aux passerelles de numérisation OT, garantissant ainsi la cohérence des politiques à mesure que les architectures évoluent.
Combler le fossé entre l'accès et la garantie
C'est l'accès contrôlé, et non la connectivité, qui protège les opérations critiques.
En repensant l'accès à distance aux systèmes OT, l'entreprise de services publics a réduit les risques cybernétiques, amélioré sa préparation aux audits et permis à ses ingénieurs de travailler efficacement sans compromettre les infrastructures critiques. Grâce à la mise en œuvre MetaDefender OT Access, l'entreprise est passée d'un modèle de confiance au niveau du réseau à des sessions RDP contrôlées et régies par des politiques.
L'accès à distance est devenu sécurisé, contrôlable et conforme aux principes du principe du moindre privilège, sans entraver les opérations. Il en a résulté un modèle d'accès à distance plus sûr et plus prévisible, favorisant la disponibilité, la conformité et la résilience opérationnelle à long terme.
Conclusions finales
- L'accès à distance aux systèmes OT ne doit pas accroître les risques pour assurer la continuité des opérations
- Le contrôle basé sur les sessions offre une sécurité plus élevée que la confiance au niveau du réseau
- La préparation aux audits s'améliore lorsque l'accès est enregistré et contrôlé par défaut
- Les solutions d'accès OT spécialement conçues s'adaptent mieux que les outils informatiques détournés de leur usage initial
Si vous sécurisez l'accès à distance à des systèmes SCADA, DCS, IHM ou autres systèmes OT et que vous rencontrez des difficultés similaires en matière de risques, de visibilité et de conformité, contactez un OPSWAT pour découvrir comment MetaDefender OT Access vous aider à moderniser votre connectivité OT.
