Longtemps protégées par leur isolement du réseau, les organisations du secteur industriel sont aujourd'hui confrontées à un risque cybernétique croissant. La convergence des technologies de l'information et des technologies opérationnelles (OT) crée de nouvelles possibilités d'efficacité et d'innovation - et introduit la possibilité d'exploitation.
Les systèmes d'automatisation et de contrôle industriels (IACS) sont de plus en plus souvent la cible d'acteurs menaçants. Contrairement aux environnements informatiques, les systèmes OT dépendent souvent de fournisseurs et d'entrepreneurs tiers, ce qui, malheureusement, laisse souvent des portes supplémentaires ouvertes aux acteurs malveillants.
Les risques de compromission des infrastructures essentielles sont catastrophiques. Pour atténuer les risques, les organisations doivent adopter une approche de défense en profondeur, guidée par les normes horizontales de la norme CEI 62443. Le chiffrement est un élément essentiel de cette stratégie, car il offre une protection contre l'interception, la manipulation et l'accès non autorisé aux données.
Examinons les défis spécifiques de la cybersécurité industrielle, l'importance du cryptage et la manière de mettre en œuvre le site PKI pour protéger les infrastructures critiques .
Qu'est-ce que la CEI 62443 ?
La série série CEI 62443 fournit un cadre complet pour la sécurisation des systèmes de contrôle industriel (ICS). Contrairement aux systèmes informatiques, les ICS ont des caractéristiques uniques et des exigences strictes en matière de performance, de disponibilité et de longévité. En outre, les conséquences d'une attaque réussie sur les systèmes industriels peuvent être beaucoup plus graves, pouvant conduire à des catastrophes environnementales ou à des pertes de vies humaines.
La norme CEI 62443 relève ces défis en adoptant une approche holistique englobant non seulement la technologie mais aussi les facteurs humains, les processus de travail et les contre-mesures. La norme, élaborée en collaboration entre le gouvernement et l'industrie, met l'accent sur une méthodologie basée sur le risque, en se concentrant sur la protection des actifs critiques tout en maintenant l'efficacité opérationnelle.
Le cadre comporte quatre parties principales :
- Général: Établir des concepts, une terminologie et des modèles fondamentaux pour la sécurité du SIGC.
- Politique et procédures : Description des méthodes et des processus de mise en œuvre et de gestion des programmes de sécurité des SIGC, y compris la gestion des correctifs et les exigences relatives aux fournisseurs de services de sécurité.
- Système: Se concentrer sur la sécurité des outils au niveau du système, sur l'évaluation des risques et sur les exigences générales en matière de sécurité.
- Composants et exigences : Fournir des spécifications de sécurité détaillées pour les différents dispositifs intégrés, les composants de réseau et les applications software .
La norme CEI 62443 joue un rôle essentiel dans la protection des infrastructures critiques et l'atténuation des risques associés aux cyberattaques, et la cryptographie joue son propre rôle dans la protection des réseaux industriels.
Quelle est la place de PKI dans la norme IEC 62443 ?
L'infrastructure à clé publique (PKI) - un système cryptographique permettant de créer, de gérer, de distribuer, de stocker et de révoquer des certificats numériques afin de vérifier l'identité des entités dans les communications électroniques - est particulièrement pertinente pour les couches transport et application des systèmes d'automatisation et de contrôle industriels. Ces couches sont responsables de la transmission et de la structuration des données entre l'architecture numérique de votre IACS global, y compris les dispositifs tels que :
- Contrôleurs logiques programmables (PLC) : Ordinateurs industriels contrôlant les machines et les processus
- Unités de terminal à distance (RTU) : Dispositifs qui collectent des données à partir de capteurs et d'équipements de contrôle situés dans des endroits éloignés.
- Contrôle de surveillance et acquisition de données (SCADA) : Systèmes qui surveillent et contrôlent les processus industriels, y compris les PLC et les RTU, afin de permettre une supervision de haut niveau sur une large surface.
- Interfaces homme-machine (IHM): Interfaces permettant à l'homme d'interagir avec les machines et les processus.
La couche transport assure une livraison fiable des données grâce à des protocoles tels que HTTPS et TLS, qui cryptent les données en transit. Parallèlement, la couche application définit la manière dont les données sont structurées et échangées, à l'aide de protocoles tels que le ModbusOPC et DNP3. Bien que ces protocoles disposent de leurs propres mécanismes de sécurité, ils s'appuient souvent sur PKI pour l'authentification et le cryptage.
En s'appuyant sur des certificats et des autorités de certification de confiance, PKI établit un cadre de confiance solide au sein du système de contrôle industriel. Cela garantit que seuls les dispositifs et systèmes autorisés peuvent communiquer, ce qui réduit le risque d'accès non autorisé et de falsification des données. Le "passeport numérique" PKI vérifie l'identité de chaque entité au sein du réseau, renforçant ainsi la sécurité globale contre les intrusions indésirables.
Sans cryptographie ni certificats, des utilisateurs non autorisés peuvent intercepter des données, se cacher et se déplacer latéralement sur les systèmes et exploiter les vulnérabilités à des fins malveillantes. Un système de gestion PKI robuste bloque ces points d'entrée non autorisés, obligeant chaque identité numérique à prouver son authenticité avant de procéder à l'échange de données.
Quels sont les autres effets du site PKI ?
Au-delà de la sécurisation de la transmission des données, PKI joue un rôle essentiel dans plusieurs autres processus critiques de sécurité industrielle :
- Signature du code : Cryptée signature du code empêche l'injection de code malveillant et garantit que seul le site software autorisé est exécuté.
- Démarrage sécurisé : Le démarrage sécurisé protège le démarrage de l'appareil en vérifiant les signatures numériques des chargeurs d'amorçage et des microprogrammes, empêchant ainsi les modifications non autorisées. Cependant, de nombreuses implémentations de démarrage sécurisé s'appuient sur la cryptographie asymétrique native au lieu de PKI, ce qui peut présenter des risques. Bien que cette approche tire parti de la sécurité intégrée de la puce, elle crée souvent une dépendance vis-à-vis du fournisseur de la puce, ce qui peut avoir un impact sur la stratégie de sécurité de votre produit.
- Mises à jour OTA (Over-the-air) : PKI sécurise la distribution et l'installation des mises à jour software , en les protégeant contre la falsification et en veillant à ce que seules les mises à jour légitimes soient appliquées.
- Exécution de code mobile : PKI authentifie et autorise l'exécution de code dynamique, réduisant ainsi les risques associés aux scripts ou applications malveillants.
Le réseau PKI communique entre les systèmes IT et OT. PKI sécurise la distribution et l'échange de clés entre les appareils et les systèmes et permet de protéger les clés elles-mêmes contre les manipulations non autorisées. Des identités de machine uniques marquant chaque appareil pour l'authentification mutuelle garantissent que seuls les appareils autorisés peuvent accéder aux réseaux et aux services.
Dans tous ces processus, PKI exploite la puissance de la cryptographie pour établir un cadre de confiance pour les systèmes d'automatisation et de contrôle industriels, obligeant chaque appareil à prouver son authenticité à chaque fois plutôt que de supposer qu'il est digne de confiance. Même lorsque les cyberattaquants ciblent des fournisseurs tiers, PKI peut les empêcher d'atteindre vos systèmes. Pour l'IACS, où la fiabilité, la sécurité et la continuité opérationnelle sont primordiales, PKI permet d'authentifier, de valider et de sécuriser les éléments les plus importants de l'infrastructure de votre organisation contre les acteurs malveillants.
L'automatisation alimente vos systèmes, mais aussi votre cybersécurité.
Les opérations industrielles à grande échelle avec de nombreux appareils et systèmes ont besoin d'outils de gestion automatisés PKI pour protéger de manière cohérente les échanges PKI dans l'environnement et rationaliser la gestion du cycle de vie des certificats. gestion du cycle de vie des certificats de l'émission et du déploiement à la révocation et au renouvellement. S'appuyer sur des processus manuels pour l'émission, le renouvellement, le stockage et la révocation des certificats n'a tout simplement pas de sens, surtout lorsque votre chaîne de production utilise elle-même l'automatisation.
La gestion automatisée PKI réduit la charge administrative de votre équipe de sécurité et minimise l'erreur humaine, tout comme elle le fait dans vos usines et entrepôts. En outre, la gestion automatisée de PKI aide les organisations à atteindre et à maintenir la conformité avec des normes telles que la norme IEC 62443 - ou tout autre contrôle de conformité important pour votre secteur d'activité.
Intégrer la gestion industrielle PKI industrielle aux côtés de vos autres contrôles de sécurité crée une approche globale et stratifiée de la cybersécurité qui complète la stratégie holistique de la norme CEI 62443.
La cyber-résilience industrielle protège les systèmes critiques
Alors que les enjeux de la cybersécurité continuent d'augmenter, la norme IEC 62443 sera probablement rejointe par d'autres normes et cadres promouvant une stratégie de défense en profondeur pour les systèmes de contrôle industriels. PKI joue un rôle central dans cette stratégie. Il constitue la base de la confiance et de la sécurité numériques dans l'environnement industriel en sécurisant la transmission des données, en permettant la signature de code, en protégeant les microprogrammes et en facilitant les mises à jour sécurisées.
Bien que l'évolution vers un environnement industriel entièrement sécurisé soit en cours, les organisations qui utilisent des équipements anciens devraient prendre des mesures proactives dès maintenant. Les composants des systèmes de contrôle industriels en fin de vie numérique risquent de ne plus jamais recevoir de mise à jour de sécurité de la part du développeur, ce qui ouvre la porte aux cyberattaques. Réduisez l'exposition au risque des IACS et protégez vos opérations en adoptant une approche d'atténuation des risques et des technologies de sécurité telles que PKI management for Industrial Control Systems.
Accélérez votre mise en conformité avec la norme IEC 62443 et protégez votre entreprise en mettant en œuvre les solutions PKI proposées par des conseillers experts tels que Keyfactor. Les outils d'entreprise peuvent vous donner une visibilité et automatiser le contrôle du site PKI de votre entreprise afin d'éviter les pannes critiques et de prévenir l'exploitation.
Prêt à découvrir les possibilités de PKI en action ? Demandez une démonstration et commencez à assurer l'avenir de votre organisation.