OT vs IT : Naviguer dans les contrôles CMMC dans les environnements industriels et d'infrastructure critique

La Cybersecurity Maturity Model Certification (CMMC) a introduit une évolution significative dans la manière dont les organisations, en particulier les sous-traitants gouvernementaux et les opérateurs d'infrastructures critiques, doivent gérer et démontrer la cybersécurité. Bien que ses racines soient dans la protection des informations non classifiées contrôlées (CUI) dans le cadre des contrats du Département de la Défense des États-Unis (DoD), son impact se fait de plus en plus sentir dans les environnements de technologie opérationnelle (OT). Cet article vise à clarifier, avec rigueur technique, les points de friction, les alignements et les architectures divergentes entre IT (technologies de l'information) et OT concernant les contrôles CMMC, avec des considérations pratiques pour les RSSI, les directeurs IT, les ingénieurs réseau et le personnel opérationnel.

Table des Matières

• Contexte historique : paradigmes de sécurité IT et OT

• CMMC en bref : Fondations et évolution

• Architectures dissemblables : Différences d'actifs entre IT et OT

• Contrôles de sécurité : Cartographie du CMMC aux réalités OT

• Segmentation du réseau : Le cœur de la connectivité sécurisée

• Collaboration IT/OT : Combler le fossé culturel et opérationnel

• Nuances de déploiement : Où les contrôles s'intègrent — et où ils échouent

• Operationaliser la conformité : Recommandations pragmatiques

Contexte historique : paradigmes de sécurité IT et OT

La scission entre IT et OT est autant historique que technologique. Les environnements IT — pensez aux centres de données d'entreprise, aux serveurs de messagerie et au cloud — ont vu le jour avec la confidentialité et l'intégrité des données comme vertus cardinales. Lorsque le ver Morris (1988) et la montée des vers et des virus ont catalysé l'émergence des antivirus et des pare-feux, l'IT a rapidement adopté une défense systématique et en couches.

En revanche, l'OT — couvrant tout, des DCS dans les centrales électriques aux SCADA dans la fabrication — a débuté avec la disponibilité et la sûreté comme préoccupations principales. Le temps d'arrêt d'une usine coûtait plus cher qu'une fuite de données; ainsi, les protocoles comme Modbus (1979) et les communications séries priorisaient le déterminisme et la disponibilité plutôt que l'hygiène cryptographique. Ce n'est qu'après l'incident Stuxnet en 2010 que les conséquences réelles des systèmes OT vulnérables sont devenues connues du public, provoquant un lent pivot vers la cybersécurité dans ces domaines.

Annotation culturelle : Pourquoi « Si ce n'est pas cassé, ne le répare pas » persiste dans l'OT

Le legs dans l'OT est souvent celui d'équipements vieux de plusieurs décennies utilisant des protocoles « sûrs par obscurité », avec une dépendance aux fournisseurs et des mandats de disponibilité qui rendent l'application de correctifs dangereuse. Cette inertie historique doit être prise en compte lors de l'adaptation des contrôles CMMC à l'OT.

CMMC en bref : Fondations et évolution

CMMC a émergé pour standardiser les pratiques de cybersécurité à travers les organisations manipulant le CUI au sein de la chaîne d'approvisionnement du DoD. C'est une combinaison des NIST SP 800-171, NIST SP 800-53, et d'autres cadres, classés en niveaux (à partir du CMMC 2.0 : fondamental, avancé et expert).

À noter pour les praticiens de l'OT : les contrôles CMMC supposent une vue centrée sur l'IT. La traduction directe en OT n'est pas toujours faisable sans modifications, tant techniques qu'opérationnelles.

Principaux domaines CMMC pertinents pour l'OT

• Contrôle d'accès (AC)

• Gestion des actifs (AM)

• Réponse aux incidents (IR)

• Protection des systèmes et des communications (SC)

• Intégrité des systèmes et des informations (SI)

Chacun de ces domaines possède des contrôles qui peuvent être difficiles (ou impossibles) pour l'OT ancien, notamment en ce qui concerne le chiffrement, les cycles de mise à jour et l'authentification des utilisateurs.

Architectures dissemblables : Différences d'actifs entre IT et OT

Les réseaux IT et OT sont fondamentalement construits avec des architectures et des objectifs de conception différents. Cela est important pour les praticiens envisageant la conformité CMMC.

Architecture IT typique

• Réseaux hiérarchiques avec segmentation via VLANs, pare-feux, ACLs.

• Informatique centrée sur l'utilisateur, authentification via LDAP/Active Directory.

• Correctifs réguliers, utilisation d'antivirus/EDR, journalisation des points de terminaison, et routines de sauvegarde.

Architecture OT typique

• Réseaux plats (historiquement) : segmentation interne limitée ; de nombreux systèmes, un domaine de diffusion unique.

• Appareils : PLCs, RTUs, IHMs, historiens avec capacité de calcul/stockage limitée, souvent sans OS complet.

• Protocoles : texte clair, déterministes, non routables (par exemple, basés sur des séries) ; sans authentification/chiffrement natif.

• Contraintes de mise à jour : Possible uniquement lors d'arrêts majeurs ; pénalités sévères pour les changements imprévus.

Résumé sur la gestion des actifs

L'inventaire des actifs — le cœur des contrôles CMMC — est simple en IT, où des outils comme Active Directory et SCCM dominent. En OT, des outils sur mesure ou un inventaire manuel sont souvent nécessaires, car les appareils peuvent manquer d'agents détectables SNMP ou autres.

Contrôles de sécurité : Cartographie du CMMC aux réalités OT

Tous les contrôles ne peuvent ou ne doivent pas être mis en œuvre de manière égale entre IT et OT. Voici les considérations clés pour chaque domaine pertinent au CMMC.

Contrôle d'accès (AC)

• IT : Comptes intégrés à AD, MFA, contrôle d'accès basé sur les rôles avec contrôle granulaire.

• OT : De nombreux contrôleurs manquent du concept de comptes utilisateurs ; « admin » est souvent intégré. Mettre en œuvre le contrôle d'accès basé sur les rôles nécessite des contrôles compensatoires — pensez à des hôtes de saut, des enclaves sécurisées ou une zonage du réseau.

Protection des systèmes et des communications (SC)

• IT : TLS partout, VPN pour l'accès à distance, chiffrement des e-mails obligatoire sur les flux de travail sensibles.

• OT : Modbus/TCP, DNP3, et d'autres protocoles ne sont pas chiffrés nativement. Les réaménagements via des diodes de données, des passerelles de protocoles ou la création de VPN (pour le nouvel accès distant) peuvent aider, mais adapter les protocoles existants pour prendre en charge un chiffrement fort est un effort herculéen (et peut annuler le support du fournisseur).

Intégrité des systèmes et des informations (SI)

• IT : Systèmes de gestion des correctifs, balayage des endpoints par AV/EDR toutes les heures/jours. Surveillance en ligne IDS/IPS.

• OT : De nombreux points de terminaison ne peuvent pas être mis à jour (risque fournisseur), ni AV/EDR traditionnel ne peut être installé. La surveillance passive du réseau, la détection des anomalies, et la journalisation aux pare-feux ICS du périmètre deviennent des contrôles de compensation.

Segmentation du réseau : Le cœur de la connectivité sécurisée

Le modèle Purdue pour la sécurité ICS (Industrial Control System), proposé dans les années 1990, reste valide. Il divise formellement les réseaux industriels en niveaux ; avec l'IT aux Niveaux 4/5 et l'OT du Niveau 3 « Opérations/Contrôle » jusqu'au Niveau 0 « Processus physique ».

Les pragmatiques de la segmentation sous CMMC

• Séparez IT et OT en utilisant des pare-feux, des passerelles unidirectionnelles, ou au moins des VLANs avec des ACL strictes.

• N'autorisez que la communication nécessaire (documentée, évaluée) entre les zones IT et OT.

• Restreignez l'accès à distance via des hôtes de saut ou des VPN qui imposent une journalisation complète et l'enregistrement des sessions.

Annotation : Contrairement à la segmentation IT générique, la segmentation industrielle doit tenir compte du trafic critique au processus — ne bloquez pas les protocoles sans cartographier le processus en profondeur, ou risquez des arrêts involontaires.

Collaboration IT/OT : Combler le fossé culturel et opérationnel

Historiquement, les équipes IT et OT ont des priorités et des lexiques différents.

• IT : « Arrêtez-le s'il y a un malware. »

• OT : « Arrêter le processus coûte des millions et comporte des risques pour la sécurité. »

Favoriser la collaboration

• Comités de risque conjoints — incluez des parties prenantes IT et OT dans l'évaluation des risques et la définition des contrôles.

• Formation croisée — les ingénieurs réseau doivent comprendre les PLCs, tandis que les opérateurs de l'usine doivent connaître les bases du TCP/IP et des modèles de menaces.

• Définir des « contrôles compensatoires » — si la mise à jour n'est pas réalisable, renforcez la surveillance et la défense périmétrique.

Nuances de déploiement : Où les contrôles s'intègrent — et où ils échouent

Chaque contrôle CMMC ne fait pas sens dans l'OT, et dans certains cas, tenter une conformité littérale est contre-productif.

• Chiffrement des données au repos : Chiffrer le firmware du PLC ou les données de processus peut être irréalisable. Envisagez de sécuriser l'accès physique et des sauvegardes résistantes au ransomware à la place.

• Cadence de mise à jour : Les « fenêtres » de mise à jour trimestrielles ou semestrielles sont la norme dans les usines réglementées — documentez cela et assurez-vous que la surveillance compense les périodes plus longues sans patch.

• MFA : La plupart des protocoles OT manquent totalement d'authentification. Restreindre l'accès à la station d'ingénierie des PLC (boîtes de saut, jetons physiques) à la place.

Le CMMC n'est pas « une solution unique pour tous ». Documentez les justifications, recherchez des variantes ou des contrôles alternatifs, et évitez une conformité « à la case à cocher » bureaucratique ou dangereuse.

Operationaliser la conformité : Recommandations pragmatiques

• Maintenez un inventaire d'actifs à jour couvrant à la fois IT et OT ; investissez dans des outils de découverte passifs ou des visites manuelles au besoin.

• Séparez les réseaux IT des réseaux OT aussi strictement que la sécurité des processus et la fiabilité le permettent. Utilisez des pare-feux, des passerelles sensibles aux protocoles, et la cartographie réseau.

• Imposez le principe du moindre privilège sur tous les postes de travail opérationnels ; fermez les comptes « admin partagés » ou de fabricants par défaut où possible.

• Documentez les contrôles compensatoires pour chaque exigence CMMC qui est partiellement ou totalement impraticable en OT — surveillance, IDS basé sur le réseau ou restrictions procédurales.

• Blanchiment par opposition à la liste noire : Sur les IHMs OT et les postes de travail d'ingénierie, le blanchiment d'applications est généralement plus viable qu'un antivirus traditionnel.

• Exercices de résilience : Pratiquez la réponse aux incidents pour les scénarios axés à la fois sur l'IT et les processus ; impliquez les deux équipes.

Conclusion

La convergence de l'OT et de l'IT sous des cadres comme le CMMC est un processus complexe et nuancé. Reconnaissez les différences techniques et culturelles entre les environnements ; prônez des mises en œuvre informées et sur mesure au lieu de déploiements de contrôles superficiels. Rappelez-vous que la disponibilité et la sécurité priment sur la sécurité « à la case à cocher » — là où les contrôles échouent, documentez rigoureusement et substituez des alternatives mieux adaptées au contexte. La cybersécurité réelle dans les infrastructures critiques est précise, pragmatique et collaborative.

Références

• NIST SP 800-171 : Protection du CUI dans les systèmes non fédéraux

• CMMC : Documentation officielle CMMC

• NIST SP 800-82 : Guide de la sécurité des systèmes de contrôle industriel (ICS)

• ISA/IEC 62443 : Sécurité pour l'automatisation industrielle et les systèmes de contrôle

• Modèle de référence de Purdue : Modèle de Purdue ISA

• Moore, T. (2010). L'impact de Stuxnet.

Cet article est écrit avec une perspective technique franche — pas de mots à la mode, juste la réalité. Si vous êtes ingénieur, opérateur ou leader de la sécurité aux prises avec le CMMC (et fatigué de la fumée publicitaire), restez vigilant, restez honnête, et documentez tout.