Le CISO* comme capitaine d’une équipe de sécurité OT solide par sa diversité
Les récents changements réglementaires dans le domaine de la cybersécurité impliquent davantage de responsabilités pour les CISO. Pour ceux opérant dans le secteur industriel, cela comprend notamment le risque lié aux appareils IoT** et réseaux OT. Alors que la frontière entre les réseaux IT, IoT et OT est toujours plus floue, une supervision complète des risques reste plus que jamais nécessaire. Si la plupart des cyberattaques surviennent sur le réseau de l’entreprise, le risque qu’elles atteignent les sites de production et portent atteinte à la santé ou à la sécurité est en effet pesant. C’est pourquoi les entreprises sont de plus en plus sensibles à la sécurité de leur environnements OT / IoT.
L’adoption d’une approche fondée sur les risques constitue une évolution positive, mais des questions cruciales sur les responsabilités concernant le choix des solutions, leur déploiement et leur maintenance persistent.
*CISO, le responsable de la sécurité des systèmes d’information en anglais, Chief information security officer ou CISO d’une entreprise.
** L’Internet des objets ou IdO
Au-delà du CISO comme gestionnaire du risque naturel
À moins de disposer d’une perle rare multitâche au département IT maîtrisant le cadre de sécurité IT, l’environnement industriel, les exigences réglementaires et les différences fondamentales entre les pratiques de sécurité IT et OT/IoT, les entreprises doivent constituer une véritable équipe. En règle générale, les politiques de cybersécurité peuvent être très différentes dans l’OT et l’IoT en raison des risques pour la sécurité physique. Les entreprises ont alors besoin d’une équipe transversale dotée de l’expertise et de la détermination nécessaires pour combler le fossé culturel entre l’OT et l’IT, ainsi que pour favoriser l’adoption et assumer la responsabilité de la sécurité des technologies OT sur le long terme.
De premier abord, le CISO est le choix naturel pour assumer la gestion des risques de l’entreprise. Il est souvent très expérimenté, a déjà mis en œuvre de stratégies de sécurité, même si c’est principalement dans des environnements IT. Toutefois, la sécurité OT et IoT exige une approche différente. Il est impossible d’ajouter du matériel, des licences et de développer la technologie, les politiques et les contrôles de sécurité dans un environnement de production industrielle, où les mesures de sécurité sont souvent considérées comme une nuisance, voire comme une menace pour la productivité. Chargé de promouvoir la sécurité OT auprès de la direction, le CISO doit donc fournir une orientation stratégique, obtenir les ressources nécessaires, démontrer l’engagement de l’entreprise envers la gestion des risques, surveiller les étapes du projet ou encore communiquer les résultats. Relever ces défis nécessite donc bel et bien la constitution d’une équipe solide.
L’équipe idéale comprend ainsi des responsables de sites, ingénieurs et opérateurs qui connaissent parfaitement les systèmes de contrôle industriel, et ce même s’ils sont sceptiques à l’égard de la cybersécurité. Du côté de cette dernière, des RSSI, des experts et des administrateurs de sécurité, susceptibles de peu connaître l’industrie, doivent être recrutés. Enfin, afin d’être conforme aux différentes réglementations existantes, un expert en conformité doit être inclus afin de s’assurer que les solutions installées répondent aux différentes normes.
Un rôle de conciliateur pour réunir autour d’un objectif de cybersécurité commun
Une équipe avec une telle variété de profils connaîtra forcément des rivalités culturelles. Les opérateurs industriels pourront par exemple s’opposer au déploiement de solutions de sécurité imposées par l’équipe cybersécurité par crainte de voir la chaîne de production perturbée. Afin de supprimer ces frictions et de sécuriser efficacement les environnements OT, la collaboration est impérative. Les équipes IT devront aussi comprendre les enjeux spécifiques de l’OT comme la gestion des systèmes hérités, les plages de maintenance limitées ou encore la segmentation du réseau fondé sur le modèle Purdue. Quant aux équipes OT, elles doivent admettre que les dispositifs et les protocoles OT ne sont pas sûrs par nature, reconnaître la menace croissante d’attaques contre les infrastructures critiques et lancer un inventaire des équipements pour améliorer la visibilité et détecter ensuite de potentielles anomalies.
Toute équipe a un capitaine et ici intervient alors le CISO. Au-delà de qualités indispensables de leadership, il devra être capable de conduire et d’anticiper le changement. La sécurité OT implique un fonctionnement bien différent : nouvelles politiques de configurations et contrôles, gestion plus stricte des accès, … Certaines mesures seront impopulaires. Le capitaine devra alors non seulement expliquer ces changements, mais les défendre et les promouvoir auprès de l’ensemble des équipes afin d’accélérer la transition. Ces tâches appartiennent au CISO, mais ce dernier aura besoin d’un partenaire de confiance qui pourra être présent au quotidien auprès des équipes en interne, convaincre les sceptiques ou encore être l’interlocuteur des fournisseurs externes.
Une fois la solution de cybersécurité adoptée, la gestion sur le long terme des processus et stratégies est également essentielle. Les données de l’environnement OT doivent être introduites dans un système de gestion des informations et des événements de sécurité (SIEM) ou alors intégrées à la plateforme de sécurité informatique existante afin que le centre des opérations de sécurité (SOC) ou le fournisseur de services de sécurité gérés (MSSP) puisse identifier les anomalies. La formation continue du SOC ou du MSSP sur les sensibilités des réseaux OT est primordiale pour une réponse efficace aux incidents.
En appliquant ces recommandations, qui s’appuient surtout sur de la collaboration et de l’ouverture d’esprit, les entreprises pourront constituer une équipe de sécurité solide, composée de profils variés disposant de compétences larges, mais capables de mettre à profit leur expertise au bénéfice d’un objectif commun : protéger l’organisation contre les menaces auxquelles font face les réseaux OT et IoT.
Le CISO, capitaine d’une équipe de sécurité OT/Le CISO, capitaine d’une équipe de sécurité OT
