Rendez-vous avec Stormshield : la technologie au service de la sécurité OT

Technologies de Sécurité
Rendez-vous avec Stormshield : la technologie au service de la sécurité OT

On continue cette série de rencontres avec nos partenaires pour échanger autour de quelques questions. Aujourd'hui c'est avec Vincent Nicaise, responsable des partenariats industriels et spécialiste de la sécurité OT chez Stormshield que nous avons rendez-vous. 

 

  • Quels sont, selon vous, les challenges majeurs de la cybersécurité en environnement industriel ?

Pour moi, le premier est la bonne compréhension des spécificités de l’OT (caractéristiques techniques, durée de vie des matériels, fonctionnement déterministe des système, faible maturité des fabricants et de l’écosystème industriel face au sujet Cyber, criticité de l’outil de production, différences de cultures entre IT et OT, etc.). On se rend compte que cela nécessite la mise en place d’une gouvernance dédiée pour la cybersécurité sur ces périmètres. Il ne faut pas cherche à reproduire ce qu’on a mis en place sur l’IT. On peut s’en inspirer, mais il ne faut pas « copier/coller » !

Le second enjeu concerne la collaboration entre les équipes IT et OT. Du côté des DSI traditionnelles, il faut monter en compétences sur les environnements industriels. Et il faut faire l’effort de comprendre les contraintes opérationnelles de l’OT. A l’inverse, les équipes OT et les automaticiens doivent collaborer et jouer le jeu. Ils doivent accepter cette « intrusion » (sans mauvais jeu de mot !) des équipes IT et des spécialistes Cyber au sein de leur environnement et de leurs systèmes… qui sont, rappelons-le, l’outil de production.

Le troisième point est un classique : il s’agit du budget. Il faut un vrai investissement, avec un appui de la direction et un sponsor. Au-delà des ressources, qui sont certes nécessaires, ce soutien est nécessaire pour faire avancer concrètement les choses dans les usines. Et surtout pour maintenir le rythme des démarches Cyber dans le temps parfois long de l’OT, comparé à celui de l’IT et du « digital ».

Enfin, rappelons également que tout le monde est concerné. L’OT est présent dans de nombreux secteurs d’activité ayant une composante industrielle ou non (smart facilities, domotique, etc.). On ne parle pas uniquement des activités critiques ou d’importance vitale. Les exemples de Renault ou de Fleury-Michon nous le rappellent.

 

  • Comment la technologie permet à Stormshield de mieux protéger les environnements industriels ?

Chez Stormshield nous avons développé des produits qui permettent d’aller plus loin dans la sécurité de l‘OT. Traditionnellement la première étape d’une démarche Cyber en environnement industriel est celle de la protection périmétrique de l’OT. Cette approche a atteint ses limites dans le monde de l’IT ; mais elle est nécessaire dans le monde de l’OT qui commence seulement à s’ouvrir vers l’extérieur.  On doit protéger l’OT par rapport au reste du monde et par rapport au reste du SI. C’est une première étape nécessaire pour éviter l’introduction de malwares ou d’attaques issus de l’IT vers l’OT.

Ça n’est pas suffisant : les réseaux internes de l’OT sont très souvent « à plat », sans la moindre segmentation. Or, on sait que la ségrégation des flux est un incontournable en sécurité. C’est notamment rappelé par la norme ISA/IEC 62443 (qui pose les bases d’un système de management de la sécurité des systèmes de contrôle industriel). Il est important de bien identifier les différentes zones de criticité dans l’usine et d’appliquer une politique de sécurité adaptée à chacune de ces zones. Pour réussir cette segmentation, la compréhension des modes de fonctionnement de l’OT est cruciale. Il ne faut jamais perturber la production. On dispose très souvent de fenêtres de tir extrêmement réduites pour la maintenance et l’application de ce type de règles de filtrage. Les évolutions apportées aux systèmes industriels doivent être ciblées et pour réduire les impacts et pour maximiser l’adoption par les équipes OT.

La technologie Stormshield permet de réussir cette sécurisation du réseau interne de l’OT. Cela passe par la compréhension des protocoles utilisés dans les environnements industriels. Nous avons intégré cela dans nos produits dédiés à l’OT, comme le SNi40. C’est le fruit d’un travail de longue haleine avec des industriels, et notamment Schneider Electric. Nos équipes de R&D ont cherché à comprendre le fonctionnement des différents protocoles. Nous avons également intégré un mode « bypass » qui permet de laisser passer les flux en cas de dysfonctionnement matériel ou logiciel : la disponibilité est souvent le critère prioritaire pour la sécurité de l’OT. Cela peut sembler inconcevable pour l’IT mais c’est indispensable pour l’OT.

L’analyse protocolaire implémentée dans nos appliances (firewall, IDS/IPS, et.) permet de distinguer ce qui se passe au sein des réseaux OT, en remontant le plus haut possible dans les couches. Cela se fait grâce à une compréhension fine des codes fonctions et des protocoles des automates. On peut ainsi bloquer une commande qui ne serait pas attendue ou qui serait mal formulée. Cela revient à une approche de « whitelist » au sein des environnements OT : seules les commandes légitimes et valides pour un automate donné seront acceptées. Ce mode de fonctionnement est complexe dans l’univers mouvant de l’IT mais il s’applique bien aux contraintes et spécificités de l’OT. Nos équipes ont aussi mis en place un système de « custom signature » pour implémenter des protocoles non standard ou pour identifier des variables particulières à travailler.

 

  • Quelle est la prochaine innovation technologique sur laquelle vous travaillez ?

D’une part, notre technologie permet une évolution constante, grâce à l’apprentissage de nouveaux protocoles. Nous pouvons ainsi adresser de plus en plus de contexte sectoriel et métier. D’ici la fin d’année nous étoffons notre gamme industrielle d’un nouveau produit durci qui répond aux contraintes opérationnelles et environnements du domaine de l’énergie avec un équipement durcis qui répond aux contraintes opérationnelles de ces environnements. Il devrait également être largement mise en œuvre sur les systèmes distribués qui nécessitent une solution de sécurité avec un TCO optimisé. Enfin il intégrera, lui aussi, le mode by-pass indispensable aux outils de production privilégiant la continué de service.

 

Pour en savoir plus : https://www.stormshield.com/fr/solutions/par-secteur-activite/industrie/

Benjamin Leroux, Innovation & Marketing, Advens