Les environnements de technologie opérationnelle (OT) - tels que les usines, les centrales électriques, les centres de distribution et les complexes de bureaux - sont confrontés à des risques croissants de cyberattaques. Ces systèmes étaient autrefois isolés des réseaux informatiques des entreprises, mais ce n'est plus le cas.
Alors que les organisations adoptent de plus en plus d'applications IoT et connectent les systèmes OT à des réseaux plus vastes, le fossé traditionnel entre OT et IT disparaît. Ce changement augmente l'exposition aux menaces qui étaient autrefois limitées à l'informatique d'entreprise.
Une attaque réussie contre les systèmes OT peut provoquer des pannes de courant, des explosions chimiques et d'autres risques importants pour les employés et la sécurité publique. Les pertes potentielles de vies humaines ne sont qu'une des raisons pour lesquelles il est si important d'investir dans la sécurité des systèmes informatiques. Les systèmes OT sont également à l'origine d'infrastructures essentielles dont le monde moderne dépend, notamment la distribution électrique, le pétrole et le gaz, ou les transports. Les attaques contre ces types de systèmes peuvent entraîner l'arrêt de notre société.
Les organisations avant-gardistes sécurisent leurs systèmes OT avec une segmentation du réseau et des solutions avancées d'infrastructure à clé publiquePKI.
PKI pour la sécurité de l IoT et de l'OT
Les systèmes OT étant de plus en plus connectés aux réseaux informatiques modernes, les frontières entre OT et informatique s'estompent. Le résultat ? Une plus grande efficacité, une surveillance en temps réel et une automatisation basée sur les données.
Ce qui devrait être génial, n'est-ce pas ?
Or, les environnements OT modernes reposent sur du hardware ancien et des protocoles propriétaires, dont la sécurité est généralement médiocre, pour autant qu'ils en aient une. Les systèmes existants datent généralement de plusieurs dizaines d'années, ne sont pas cryptés et n'offrent que des contrôles d'authentification minimaux, voire inexistants. contrôles d'authentificationCe qui en fait un foyer de vulnérabilité dans un monde où les menaces évoluent.
Dans le domaine de l'Internet industriel des objets (IIoT), les certificats X.509 sont utilisés de deux manières principales : pour identifier les appareils (Device ID) et pour sécuriser les opérations (certificats opérationnels). Les certificats d'identification des appareils sont principalement gérés par les chefs de produit et les équipes d'usine au cours de la fabrication et de l'intégration. Les certificats opérationnels, qui sont utilisés pour sécuriser les communications des appareils et authentifier l'accès, sont gérés par les administrateurs informatiques qui interviennent dans l'environnement OT.
L'utilisation des certificats X.509 est directement liée à l'PKI, qui fournit le cadre pour l'émission, la gestion et la validation de ces certificats.
Dans le contexte de la sécurité OT, par exemple, l'PKI garantit que les appareils et leurs communications sont authentifiés et cryptés, ce qui réduit le risque d'usurpation d'identité ou d'accès non autorisé.
En attribuant des certificats d'identification aux produits connectés lors de la fabrication et de l'approvisionnement, la confiance est établie dès le début du cycle de vie de l'appareil. Les certificats opérationnels étendent ensuite cette confiance aux opérations en temps réel et sont gérés par les opérateurs pour s'assurer que ces appareils intelligents ne constituent pas un point d'entrée dans le réseau.
Segmentation du réseau
La segmentation du réseau consiste à contrôler le trafic. Elle empêche les acteurs de la menace de se déplacer latéralement depuis les actifs IoT compromis vers d'autres parties du réseau, ce qui limite essentiellement la surface d'attaque globale qu'un attaquant peut exploiter. La segmentation crée une posture plus proactive qui donne à votre environnement une sécurité réseau à plusieurs niveaux.
Voici comment cela fonctionne :
Étape 1 : Isoler les systèmes critiques
Si un capteur IoT , un ordinateur portable de maintenance tiers ou un autre point d'entrée est compromis, la segmentation du réseau limite la capacité d'un attaquant à se déplacer librement à travers les réseaux pour atteindre les systèmes les plus précieux ou les plus sensibles.
Cependant, dans les environnements OT modernes, la segmentation traditionnelle ne suffit pas. Il faut aller plus loin, dans la microsegmentation.
Étape 2 : Microsegmentation
La microsegmentation est une étape supplémentaire. Elle permet aux entreprises de définir des politiques d'accès au niveau de la charge de travail ou de l'appareil plutôt que de s'appuyer sur de vastes zones de réseau.
Lorsque vous combinez la microsegmentation avec des contrôles stricts basés sur l'identité, vous vous rapprochez d'une véritable architecture de confiance zéro, où chaque demande - qu'elle provienne d'un utilisateur, d'un appareil ou d'un système - est vérifiée avant que l'accès ne soit accordé. Rien n'est supposé sûr.
Étape 3 : Combinaison avec l'authentification PKI
Mais le contrôle d'accès basé sur l'identité dans le domaine de la sécurité des télécommunications ne fonctionne que si l'on peut vérifier l'identité en toute confiance. C'est là qu'intervient l'authentification PKI.
L'authentification PKI est un moyen de vérifier les identités numériques en utilisant des certificats cryptographiques au lieu d'adresses IP ou de noms d'hôtes. Chaque appareil doit présenter un certificat valide avant de pouvoir communiquer avec d'autres systèmes. Dans le domaine de la sécurité OT, cela permet de s'assurer que seuls les utilisateurs ou les appareils de confiance peuvent accéder aux systèmes sensibles.
En l'absence de solution PKI , le risque est de s'appuyer sur des solutions non sécurisées, telles que des mots de passe partagés, des informations d'identification par défaut ou des protocoles non cryptés. Les attaquants le savent. Ils exploitent ces faiblesses pour se déplacer latéralement entre les systèmes.
Une PKI gérée renforce l'authentification à chaque frontière du réseau. Associée à la segmentation, elle ne permet qu'aux appareils autorisés d'accéder à des zones spécifiques, et ce uniquement pour des tâches approuvées.
En outre, l'application de l'accès au moindre privilège est plus facile lorsque l'PKI et la segmentation fonctionnent ensemble. Le verrouillage de chaque segment en fonction du rôle, du type d'appareil ou même de l'âge d'un certificat limite les risques de violation de la sécurité.
PKI + Visibilité = Sécurité maximale de l'OT
La segmentation fonctionne mieux avec la visibilité de l'inventaire des certificats de l'organisation, y compris des informations sur la façon dont les certificats sont utilisés et où ils le sont. Un manque de visibilité augmente les risques d'avoir des certificats expirés ou défectueux. Avec l'explosion du nombre de certificats utilisés, il n'est pas pratique de gérer ces certificats manuellement.
En cas de violation ou d'intrusion, la compréhension des détails de tous les certificats accélère la détection et l'endiguement.
C'est pourquoi une sécurité OT réussie nécessite l'automatisation et la surveillance de l'utilisation des certificats, du mappage et de la surveillance des anomalies. Cela vous aide à révoquer rapidement le certificat et à isoler le segment affecté lorsque quelque chose semble anormal.
Renforcer la résilience dès maintenant pour sécuriser les systèmes OT
La mise en place d'une résilience à long terme commence par une recherche cryptographique complète dans vos environnements OT et IT afin d'identifier les clés et les certificats non gérés.
Ensuite, segmentez vos réseaux industriels à l'aide de pare-feu, de réseaux locaux virtuels et de serveurs mandataires sensibles à l'identité. Remplacez l'accès par mot de passe par des certificats d'appareil pour vous assurer que seuls les appareils vérifiés peuvent communiquer entre les segments.
Les systèmes industriels ayant des cycles de vie longs, investir dans la crypto-agilité vous permet de vous adapter à l'évolution des normes cryptographiques, ce qui vous aide à renforcer la sécurité de votre système d'exploitation.
Pour maintenir la visibilité et le contrôle de vos actifs numériques, utilisez des outils automatisés de gestion du cycle de vie des certificats tels que Keyfactor Command. Cet outil vous aide à gérer l'émission, le renouvellement et la révocation à l'échelle - même entre les anciens appareils OT et les appareils IoT modernes. Le suivi manuel ne peut tout simplement pas suivre le volume ou la vitesse requis dans les environnements d'aujourd'hui.
La combinaison de la segmentation et d'une PKI solide vous offre une défense à plusieurs niveaux. En cas de violation, l'impact est isolé et les systèmes les plus critiques restent protégés. L'identité PKI garantit la confiance, tandis que la segmentation limite l'exposition.
