Un automate PLC vieux de 20 ans tournant sous Windows XP Embedded ne peut pas prendre en charge le chiffrement, ne peut pas exécuter d'agent endpoint et ne peut pas être mis à jour. Pourtant, NIS2 exige qu'il soit inventorié, surveillé et protégé. C'est là la tension fondamentale entre les équipements OT legacy et la conformité NIS2 : les exigences de la directive supposent des capacités que la plupart des systèmes legacy ne possèdent tout simplement pas. Cet article présente des stratégies concrètes pour combler cet écart.
Le défi des équipements legacy
Les systèmes legacy, bien que souvent fiables, sont réputés pour leurs mesures de sécurité obsolètes et leur manque d'interopérabilité avec les protocoles de sécurité modernes. Ces systèmes — qui peuvent aller de vieux PLCs à des installations SCADA vétustes — ne disposent généralement pas de fonctions de sécurité intégrées telles que les tunnels de chiffrement ou les méthodes d'authentification avancées. Ils constituent donc des cibles de choix pour les cyberattaques, avec des conséquences opérationnelles et financières significatives.
Les environnements OT sont conçus pour des durées de vie longues, et le remplacement des équipements legacy n'est ni réalisable ni rentable dans de nombreux cas. Leur maintien en service peut toutefois entrer en conflit avec les exigences de sécurité strictes de la directive NIS2.
Impact sur la conformité NIS2
La directive NIS2 impose des mesures de sécurité renforcées pour les services essentiels, notamment dans les secteurs de l'énergie, des transports et de la santé. Les exigences clés comprennent l'évaluation des risques, la notification des incidents et la mise en œuvre de mesures de cybersécurité proportionnées aux risques. Pour les organisations qui s'appuient sur des systèmes legacy, atteindre la conformité NIS2 est particulièrement difficile en raison de :
- Fonctions de sécurité insuffisantes : de nombreux systèmes legacy ne prennent pas en charge le chiffrement ni l'authentification avancée, pourtant indispensables pour protéger les données et satisfaire aux exigences NIS2.
- Problèmes d'intégration : les équipements legacy ne s'intègrent pas facilement aux outils de sécurité modernes, ce qui complique la mise en œuvre de stratégies de sécurité globales.
- Support fournisseur limité : les fabricants ne supportent plus les systèmes anciens, rendant difficile l'obtention des mises à jour ou correctifs nécessaires.
Combler l'écart avec des solutions modernes
Pour relever ces défis, les organisations doivent mettre en œuvre des stratégies qui renforcent la sécurité des systèmes legacy sans perturber les opérations. Voici des actions concrètes à envisager :
Mettre en place des tunnels de chiffrement
L'utilisation de tunnels de chiffrement, tels que les VPNs ou SSL/TLS, permet de sécuriser les données en transit, même pour les systèmes qui ne prennent pas nativement en charge le chiffrement. Cette couche de sécurité supplémentaire protège les communications entre les équipements legacy et les systèmes IT modernes.
Déployer la segmentation réseau
La segmentation réseau divise un réseau en plusieurs segments ou sous-réseaux, limitant les déplacements latéraux des attaquants. En isolant les systèmes legacy dans leurs propres segments, les organisations peuvent contenir les violations potentielles et protéger les infrastructures critiques.
Utiliser des passerelles de protocoles
Les passerelles de protocoles facilitent la communication entre les systèmes legacy et les réseaux modernes, permettant des échanges de données sécurisés. Ces passerelles traduisent les protocoles de communication obsolètes en équivalents modernes et sécurisés, renforçant ainsi la sécurité globale.
Mettre en œuvre la surveillance de sécurité OT
La surveillance continue des environnements OT offre une visibilité sur les menaces potentielles et aide à détecter les anomalies. Le déploiement de solutions de surveillance avancées, telles que des systèmes IDS/IPS conçus pour l'OT, garantit une détection et une réponse précoces aux menaces.
Conformité NIS2 et systèmes legacy : une voie à suivre
Malgré les défis importants que posent les systèmes legacy, la conformité NIS2 est atteignable avec la bonne approche. En se concentrant sur le renforcement de la sécurité de ces systèmes, les organisations peuvent à la fois satisfaire aux exigences réglementaires et consolider leurs défenses contre les cybermenaces.
Audits et évaluations de sécurité réguliers
Des audits de sécurité et des évaluations des risques réguliers permettent d'identifier les vulnérabilités et de vérifier l'efficacité des mesures en place. Ces audits doivent inclure des évaluations techniques et des vérifications de conformité au regard des exigences NIS2.
Collaboration avec les fournisseurs
Solliciter les fournisseurs pour obtenir du support et des mises à jour est indispensable. Même si les fabricants ne supportent plus officiellement certains modèles, ils peuvent proposer des solutions ou des alternatives pour renforcer la sécurité.
Formation et sensibilisation
Former le personnel aux bonnes pratiques de cybersécurité et aux vulnérabilités spécifiques des systèmes legacy est indispensable. Cette formation doit porter sur la reconnaissance des menaces potentielles et la compréhension de l'importance des protocoles de sécurité.
Conclusion
Un PLC legacy ne peut pas, seul, être mis en conformité avec NIS2. La bonne approche consiste à l'envelopper : l'isoler dans sa propre zone réseau, chiffrer son trafic au niveau de la passerelle, le surveiller par détection réseau passive et documenter les contrôles compensatoires dans l'évaluation des risques. NIS2 autorise des mesures proportionnées — un contrôle compensatoire bien documenté pour un équipement legacy qui ne peut pas être mis à niveau constitue une voie de conformité valide. Commencez par les actifs legacy présentant le risque le plus élevé, puis élargissez progressivement le périmètre.
Pour plus de ressources NIS2, des options de déploiement souverain et des guides de conformité, consultez le hub Conformité NIS2 pour l'OT sur site.
