Tech Blog >

Comment réaliser une évaluation des risques dans votre environnement OT

Cybersécurité OT
Cybersécurité OT

Comment réaliser une évaluation des risques dans votre environnement OT

Comment réaliser une évaluation des risques dans votre environnement OT

Apprenez à effectuer des évaluations de risques efficaces dans les environnements OT pour identifier les vulnérabilités, prioriser les remédiations et protéger les systèmes industriels critiques contre les menaces cybernétiques.

📖 Temps de lecture estimé : 6 minutes

Article

Comment effectuer une évaluation des risques sur votre environnement OT

Les environnements de technologie opérationnelle (OT), tels que ceux que l'on trouve dans les systèmes de contrôle industriel (ICS), les réseaux énergétiques, les ateliers de fabrication et les infrastructures de transport, sont de plus en plus ciblés par des cyberattaques sophistiquées. Contrairement aux systèmes IT, où la confidentialité est traditionnellement primordiale, les systèmes OT privilégient la disponibilité et la sécurité. Une panne ici n'est pas un document perdu; c'est une ligne de production arrêtée ou une catastrophe environnementale.


Une défense efficace commence par la compréhension de ce que vous défendez et des menaces qui comptent. C'est l'essence de l'évaluation des risques. Dans cet article, nous aborderons les meilleures pratiques pragmatiques, techniques et architecturales pour l'évaluation des risques OT, avec des notes historiques et un accent sur les étapes concrètes—pas de la théorie utopique.

Pourquoi l'évaluation des risques est importante pour l'OT

Les premiers jours des systèmes de contrôle industriel reposaient sur la « sécurité par l'obscurité ». Les anciens appareils de terrain — PLC, DCS, RTU et IHM — étaient physiquement isolés et utilisaient des protocoles propriétaires. Mais la convergence des réseaux et la poussée pour l'Industrie 4.0 (ou tout autre mot à la mode) ont détruit ces jardins clos. Désormais, les PLC parlent TCP/IP sur Ethernet et les connexions à distance sont courantes.

Avec cette convergence, les modèles de menace doivent évoluer. L'incident Stuxnet (2010) a été un moment décisif illustrant le potentiel catastrophique lorsque l'OT est ciblée. Les attaques ultérieures sur le réseau électrique ukrainien et les campagnes de ransomware (par exemple, Colonial Pipeline, 2021) ont souligné ce point.


L'évaluation des risques est le processus qui vous aide à peser les menaces réelles par rapport aux capacités et aux expositions de votre environnement.


Les Fondements : Concepts clés en évaluation des risques OT

  • Identification des actifs : Cataloguer ce que vous avez : systèmes, segments de réseau, appareils de terrain, logiciels et versions de micrologiciels.

  • Analyse des vulnérabilités : Identifier les expositions pouvant être exploitées. Peut être technique (OS obsolète, credentials par défaut), procédural (gestion des modifications faible) ou physique (armoires non verrouillées).

  • Modélisation des menaces : Comprendre qui pourrait attaquer (initiés malveillants, États-nations, script kiddies) et leurs objectifs probables.

  • Analyse d'impact : Déterminer les conséquences — environnementales, perturbation des affaires, sécurité, financières, réglementaires — si un incident se produisait.

  • Estimation des risques : Synthétiser ce qui précède dans une image claire des risques, souvent en utilisant une matrice d'évaluation ou une échelle qualitative.

Note historique : Évolution des modèles de risque IT à OT

Les cadres de risque IT traditionnels (tels que ISO 27005, NIST 800-30) sont nés de l'idée que le risque = probabilité × impact. En pratique, de nombreux environnements OT manquent de données fiables sur la probabilité des incidents et sont confrontés à des scénarios de menaces « fort impact, faible fréquence », conduisant à des évaluations plus qualitatives ou basées sur des scénarios (par exemple, les directives NIST 800-82 et la série IEC 62443).


Étape 1 : Inventaire des actifs et cartographie réseau

La première étape n'est pas glamour, mais elle est fondamentale : si vous ne savez pas ce que vous avez, vous ne pouvez pas le protéger.

  1. Énumérer tous les appareils : Documenter les PLC, RTU, capteurs de terrain, actionneurs, IHM, postes de travail d'ingénierie et appareils réseau (commutateurs, routeurs, pare-feux).

  2. Comprendre la connectivité : Cartographier les topologies de réseau, y compris les VLAN, les passerelles série-IP, les liaisons sans fil et les chemins d'accès à distance. Les protocoles de bus de terrain hérités (Modbus, Profibus) fonctionnent maintenant souvent sur Ethernet — avec tous les risques associés.

  3. Base de référence OS et micrologiciel : Suivre les niveaux de correction, les versions des OS et des micrologiciels. De nombreuses exploits OT (par exemple, Triton/Trisis ciblant les contrôleurs Triconex SIS) ont des zero-days qui persistent en raison d'une mise à jour peu fréquente.

Astuce : Méfiez-vous des outils de découverte automatique. Les analyses agressives peuvent perturber les appareils OT anciens qui n'ont pas été conçus pour cela.

Étape 2 : Identifier les vulnérabilités

Contrairement à l'IT, où les CVE et les correctifs de fournisseurs abondent, les systèmes OT ne sont souvent pas documentés publiquement et les correctifs peuvent être rares en raison des préoccupations d'uptime.


  • Examen manuel : Passer en revue les configurations des appareils. Les credentials par défaut sont-ils utilisés ? Les paramètres réseau sont-ils sécurisés ?

  • Analyse des protocoles : Examiner les protocoles en clair (DNP3, Modbus/TCP, ICCP) pour l'exposition aux attaques de l'homme du milieu ou de rejeu. Certains protocoles manquent même d'une authentification basique.

  • Recherche fournisseur : Recouper les appareils avec les avis publics (voir ICS-CERT du CISA, VDE, JPCERT ou bulletins du fournisseur).

  • Chaîne d'approvisionnement : Les intégrateurs de systèmes et les sous-traitants suivent-ils vos standards de sécurité, ou introduisent-ils des risques inconnus ?

De nombreux opérateurs OT utilisent encore Windows XP SP3 ou des systèmes d'exploitation embarqués dépassés; l'évaluation des risques devrait les signaler clairement.


Étape 3 : Modélisation des menaces — Qui vous cible ?

Même la meilleure défense peut être débordée par un adversaire déterminé utilisant un accès interne, des zero-days ou des attaques physiques. Une évaluation des risques efficace signifie clarifier :


  • Menaces externes : Opérations d'États-nations (APT33, Sandworm), groupes de cybercriminels, hacktivistes.

  • Menaces internes : Employés mécontents, sous-traitants négligents, personnel de maintenance « utile ».

Scénario : Un pont entre le réseau IT d'entreprise et un système OT (pour l'analyse) pourrait être abusé si les credentials IT sont compromis, comme dans la fermeture induite par ransomware de Colonial Pipeline.

Étape 4 : Analyse d'impact — Qu'est-ce qui est en jeu ?

  • Perturbation opérationnelle : Combien de temps la production peut-elle être interrompue avant que les coûts en aval ne deviennent critiques ?

  • Conséquences sur la sécurité : Un contrôleur compromis pourrait-il entraîner des dommages à l'usine, un déversement chimique, un risque environnemental ou une blessure ?

  • Conformité et réputation : Pensez au NERC CIP (énergie), FDA (pharma) ou ITAR (défense). La non-conformité peut entraîner de lourdes pénalités.

Cartographier les classes d'actifs aux impacts potentiels (par exemple, systèmes instrumentés de sécurité vs capteurs non critiques) focalise la remédiation là où elle importe.


Un exemple : Cartographier le modèle Purdue

La Purdue Enterprise Reference Architecture (PERA, années 1990) conceptualise les ICS en couches (Niveau 0 — Physique, Niveau 5 — Entreprise). Chaque couche a des risques et contrôles distincts. La segmentation réseau — rare dans les usines héritées — est essentielle pour limiter les mouvements latéraux lorsque (pas si) une brèche se produit.

Étape 5 : Estimation et Priorisation des risques

Aggréger les résultats à l'aide d'une matrice de risque : tracer la probabilité contre l'impact et signaler les zones « rouges » les plus élevées. Soyez honnête sur les incertitudes et ne surestimez pas vos capacités de détection ou de réponse.


  • L'entreprise a-t-elle besoin que tous les systèmes soient en ligne, ou pouvez-vous tolérer la perte d'un nœud SCADA hérité ?

  • Les contrôles sont-ils simplement procéduraux ou techniquement appliqués (pare-feux, listes d'accès, passerelles unidirectionnelles) ?

  • Avez-vous des journaux ou une visibilité dans ces environnements, ou la détection est-elle un vœu pieux ?


Étape 6 : Recommandations et planification de la remédiation

Une évaluation des risques qui reste sur l'étagère ne vaut rien. Utilisez vos conclusions pour :


  • Prioriser la mise à jour des correctifs et le durcissement des systèmes soutenant les processus à impact le plus élevé.

  • Mettre en œuvre une segmentation réseau pour réduire la surface d'attaque ; utilisez des pare-feux et DMZ entre IT et OT (référence IEC 62443-3-3).

  • Revoir et renforcer les chemins d'accès à distance (désactiver RDP/VNC directs dans l'OT, appliquer l'authentification multi-facteurs).

  • Développer des plans de réponse aux incidents adaptés aux réalités de production (pouvez-vous « tirer la prise » en toute sécurité ?).


Collaboration OT/IT : Leçons apprises à la dure

Trop souvent, les équipes IT et OT parlent sans se comprendre. L'IT veut patcher, scanner et surveiller. L'OT craint toute perturbation de l'uptime critique. Combler cet écart demande de l'empathie et de la formation croisée :


  • Impliquer les ingénieurs OT dans les revues de risque — eux seuls comprennent les dépendances au niveau du processus et les « règles non écrites ».

  • Éduquer le personnel IT sur les défis des systèmes embarqués vieux de 20 ans et des contraintes de sécurité.

  • Construire des équipes de réponse mixtes ; exécuter des exercices simulés incluant les opérateurs et ingénieurs, pas seulement le personnel IT.


Conclusion

Les environnements OT ne sont pas une note de bas de page dans la sécurité — ils soutiennent l'infrastructure nationale et la sécurité industrielle. Une évaluation des risques efficace ne demande pas la perfection ou une surveillance omnisciente ; elle demande de l'honnêteté, de la diligence et une collaboration interdisciplinaire. Commencez par les bases : connaissez vos actifs, comprenez vos risques et ayez un plan clair pour atténuer les plus dangereux. Les diagrammes de réseau, les revues d'accès et un dialogue honnête entre le personnel OT et IT accomplissent plus que n'importe quelle boîte magique avec des lumières clignotantes.


En fin de compte, réaliser une évaluation des risques sur votre environnement OT n'est pas un effort ponctuel mais une discipline. Comme la revue de code ou les exercices de sécurité, cela devrait être une pratique récurrente : apprenez de chaque changement, de chaque échec, de chaque incident évité de justesse. Les attaques ne s'arrêteront pas ; seule votre vigilance compte.


Autres articles de blog de Trout

Principaux Cadres pour la Cybersécurité OT : IEC 62443, NIST, et Plus
Ce que les équipes de sécurité OT peuvent apprendre des rapports de violation informatique
Background

Créez votre proposition d'investissement NAC en 3 minutes

Créez votre proposition d'investissement NAC en 3 minutes

Background

Créez votre proposition d'investissement NAC en 3 minutes

Créez votre proposition d'investissement NAC en 3 minutes