Ces dernières années, des cyberattaques contre des installations de traitement des eaux usées aux États-Unis ont mis en évidence la vulnérabilité de la technologie opérationnelle. Au début de l'année 2024, des pirates ont accédé à distance aux systèmes SCADA de plusieurs villes du Texas, provoquant même le débordement d'un réservoir d'eau avant que le personnel n'en reprenne le contrôle. Un incident similaire à Tipton, dans l'Indiana, a contraint les opérateurs à passer aux opérations manuelles après qu'une activité irrégulière a été détectée sur les systèmes de l'usine. Ces événements ont mis en évidence les risques liés à la connexion de l'infrastructure de traitement à des réseaux d'entreprise ou à des réseaux orientés vers l'internet et ont renforcé la raison pour laquelle ce service public ne pouvait pas faire de compromis sur le maintien de ses systèmes OT dans un environnement hermétique.
Quand sécurité et visibilité s'affrontent
Comprendre les données Historian
Un Historian AVEVA est une base de données industrielle spécialisée conçue pour capturer et stocker des volumes importants de données chronologiques provenant de systèmes OT tels que des capteurs, des contrôleurs et des plates-formes SCADA. Au niveau de l'installation, un Historian local enregistre les données de processus (les informations opérationnelles brutes générées par les systèmes de contrôle industriel et les capteurs) pour les opérateurs, garantissant qu'ils peuvent surveiller l'équipement et l'activité de traitement en temps réel.
Un Historian d'entreprise de niveau 1 joue un rôle différent : il regroupe les flux Historian de plusieurs installations, offrant aux équipes de l'entreprise une vue consolidée pour la création de rapports, l'analyse et la planification. Le défi se pose lorsque les données doivent passer de ces historiens locaux au niveau de l'entreprise sans ouvrir une voie de retour vers les systèmes OT critiques.
Le défi du partage Secure des données
Dans l'une de ses installations, la compagnie d'électricité avait besoin de transmettre les données d'un Historian AVEVA local à un Historian de niveau 1 sur son réseau d'entreprise. Ces données étaient vitales pour la surveillance et le reporting au niveau de l'entreprise, mais la connectivité Internet du réseau d'entreprise rendait l'intégration directe peu sûre.
Il était essentiel d'isoler les systèmes OT, car toute voie d'accès à l'environnement de contrôle pouvait constituer un vecteur d'attaque. Dans le même temps, l'isolement des historiens limitait la capacité de l'organisation à partager des informations entre les différents sites et à améliorer l'efficacité. Le défi consistait à atteindre les deux objectifs : maintenir une séparation stricte tout en permettant une visibilité en temps réel.
Les pare-feu et autres outils logiciels ne suffisaient pas. Ils ne garantissaient pas une communication unidirectionnelle, nécessitaient une maintenance permanente et laissaient les actifs critiques exposés à des risques. L'organisation avait donc besoin d'une solution qui assurerait l'isolation physique tout en permettant aux données essentielles de circuler vers l'extérieur.
Créer un chemin Secure pour les données en temps réel
La compagnie s'est tournée vers OPSWAT et a déployé MetaDefender Optical Diode (Fend) avec la plateforme logicielle eRIS. eRIS est un outil de gestion de données et de reporting couramment utilisé dans le secteur de l'eau pour traduire et fournir des données Historian en toute sécurité, ce qui en fait un outil naturel pour ce déploiement.
MetaDefender Optical Diode (Fend) est un dispositif de cybersécurité renforcé par du matériel qui utilise l'isolation optique pour garantir une communication unidirectionnelle. De par sa conception, il bloque physiquement tout trafic entrant pour empêcher l'accès à distance ou l'infiltration de logiciels malveillants, et ses protections intégrées contre le déni de service, la falsification et les fluctuations d'alimentation permettent de garantir que les données Historian continuent de circuler de manière fiable, même en cas de stress.
Voici comment s'est déroulé le déploiement :
- Installation d'eRIS : le logiciel eRIS a été installé en tant que service Windows sur le serveur OT AVEVA existant, traduisant les données Historian dans un format unidirectionnel.
- Isolation optique : Les données transitent ensuite en toute sécurité par laOptical Diode MetaDefender (Fend), qui assure un transfert unidirectionnel grâce à une isolation optique au niveau du matériel.
- Prise en charge des protocoles : L'appareil prend en charge de manière native les protocoles informatiques standard tels que FTP, SFTP, TCP et UDP, ainsi que les protocoles industriels tels que Modbus et BACnet, ce qui le rend parfaitement adapté aux transferts de données Historian.
- Conversion de l'entreprise : Du côté de l'entreprise, le hub eRIS a reconverti les informations au format AVEVA et les a préparées pour l'ingestion dans le niveau 1 d'Historian.
Des retards manuels à une vision instantanée
Avec la nouvelle architecture en place, la compagnie n'a plus eu à choisir entre la visibilité et la sécurité. Les opérateurs de la station d'épuration pouvaient voir les données apparaître sur l'Historian de l'entreprise presque instantanément, tout en sachant que rien ne pouvait jamais remonter dans l'environnement de contrôle. Ce qui nécessitait auparavant des solutions de contournement prudentes (collecte manuelle, rapports différés) se fait désormais automatiquement, ce qui donne aux équipes d'exploitation et d'entreprise confiance dans les informations qu'elles utilisent tous les jours.
Principaux avantages
Gain de temps dans les opérations quotidiennes : Au lieu d'attendre que les données soient collectées et partagées manuellement, le personnel peut compter sur un flux régulier d'informations prêtes à être analysées.
Tranquillité d'esprit pour les équipes de sécurité : Le transfert unidirectionnel imposé par le matériel signifie que même si le réseau de l'entreprise est compromis, les systèmes OT restent intacts.
Meilleure visibilité dans l'ensemble de l'organisation : Les équipes de l'entreprise ont obtenu la visibilité dont elles avaient besoin sans perturber ou alourdir le travail du personnel de l'établissement.
Facile à reproduire dans d'autres installations : Grâce à un déploiement simple et nécessitant peu de maintenance, le service public peut reproduire le même modèle dans d'autres installations chaque fois que cela est nécessaire.
Pour la première fois, l'organisation a pu avoir une vue d'ensemble de ses opérations en temps réel, tout en sachant que ses systèmes les plus critiques étaient toujours protégés par une véritable coupure d'air.
Construire l'avenir des opérations Secure dans le domaine de l'eau
Les transferts de données Historian étant désormais sécurisés, la compagnie d'électricité est en mesure d'étendre le même modèle à d'autres parties de ses opérations. D'autres installations de traitement, stations de pompage et systèmes de surveillance peuvent être intégrés au réseau de l'entreprise sans exposer les environnements OT à des menaces externes.
Le déploiement jette également les bases de l'adoption de nouvelles pratiques en matière d'analyse et de conformité. Les équipes d'entreprise peuvent s'appuyer sur des flux de données fiables et en temps réel pour améliorer les rapports, soutenir la maintenance prédictive et répondre plus rapidement aux changements opérationnels. Dans le même temps, les systèmes OT restent protégés par une isolation matérielle, ce qui met les services essentiels à l'abri des types de cyberattaques qui ont perturbé les installations de traitement de l'eau et des eaux usées à travers les États-Unis.
En associant une visibilité en temps réel à une sécurité sans compromis, le service public a créé une approche qui non seulement répond aux besoins actuels, mais qui est également prête à répondre aux demandes futures en matière de protection des infrastructures critiques.
Découvrez comment MetaDefender Optical Diode (Fend) peut protéger vos installations tout en isolant de manière sécurisée les systèmes essentiels.
