Politiques de sécurité qui fonctionnent à travers l'IT et l'OT

La convergence des environnements de technologies de l'information (IT) et de technologies opérationnelles (OT) est une réalité pour de nombreuses organisations aujourd'hui. À mesure que les organisations augmentent leur dépendance aux systèmes interconnectés, les politiques de sécurité transdomaines deviennent impératives. Cet article explore la mise en œuvre de politiques de sécurité efficaces qui harmonisent l'IT et l'OT, fournissant des aperçus critiques pour les RSSI, les Directeurs IT, les Ingénieurs Réseau et les Opérateurs dans des contextes industriels.

Comprendre l'IT et l'OT : Une vue d'ensemble

L'IT englobe des systèmes et des technologies conçus pour le traitement de l'information, impliquant généralement une informatique haute performance, des bases de données et des applications d'entreprise. En revanche, l'OT comprend le matériel et les logiciels qui détectent ou contrôlent les processus physiques, souvent présents dans les environnements manufacturiers, énergétiques et d'infrastructures critiques. L'évolution historique de ces domaines met en évidence leurs différences fondamentales :

• Évolution de l'IT : Née de la nécessité de gérer les données, l'IT est passée des mainframes à l'informatique en nuage, adoptant des architectures de réseau sophistiquées et des solutions définies par logiciel.

• Historique de l'OT : Historiquement isolés, les cadres OT (comme les systèmes SCADA) ont évolué d'une base de protocoles hérités tels que Modbus et DNP3 à de nouveaux paradigmes comme les systèmes de l'Internet Industriel des Objets (IIoT), désormais dotés d'une interconnectivité avec l'IT.

Comprendre ces différences fondamentales peut aider à élaborer des politiques qui comblent les lacunes liées à la sécurité, à la gouvernance des données et à la gestion des risques.

Principaux concepts de politique de sécurité

Pour un cadre de politique de sécurité efficace s'appliquant à l'IT et l'OT, certains concepts clés sont primordiaux :

• Défense en profondeur : Une approche de sécurité à plusieurs niveaux où les politiques englobent la sécurité physique, la sécurité des réseaux, la sécurité des applications, l'intégrité des données et la formation des utilisateurs.

• Principe du moindre privilège : Les utilisateurs et les applications doivent disposer du minimum de permissions nécessaires pour effectuer leurs fonctions efficacement, réduisant ainsi la surface d'attaque.

• Segmentation : Mettre en œuvre une segmentation de réseau pour séparer les systèmes IT et OT. La segmentation peut atténuer les risques en s'assurant qu'une attaque dans un domaine ne se propage pas facilement à l'autre.

Cadre pour la collaboration des politiques IT et OT

Pour créer des politiques de sécurité efficaces, les départements IT et OT doivent collaborer. Voici des stratégies concrètes :

1. Établir des comités de gouvernance conjoints

La création d'un comité composé de représentants tant de l'IT que de l'OT peut faciliter l'alignement sur les stratégies de sécurité, la création de politique et les plans de réponse aux incidents. Des réunions régulières aident à synchroniser les initiatives liées aux mises à jour, aux correctifs et aux menaces émergentes.

2. Définir des objectifs communs

Établir un ensemble unifié d'objectifs de sécurité garantit que les deux départements priorisent l'intégrité opérationnelle et la confidentialité des données. Les indicateurs clés de performance (KPI) doivent inclure des métriques pertinentes pour les environnements IT et OT.

3. Créer des protocoles de conformité unifiés

La conformité doit être envisagée sous un angle holistique englobant à la fois les réglementations IT (telles que le RGPD, HIPAA) et les normes spécifiques à l'OT (comme NIST SP 800-82). Harmoniser ces standards réduit les redondances et clarifie les exigences de conformité.

Déploiement de solutions de connectivité sécurisée

La mise en œuvre d'une connectivité sécurisée à travers les environnements IT et OT convergés est critique pour protéger les opérations sensibles. Voici les meilleures pratiques dans ce domaine :

1. Utiliser des protocoles de communication sécurisés

Les protocoles tels que HTTPS, VPN et le protocole SSL/Transport Layer Security (TLS) doivent être la norme pour toute transmission de données. De plus, les appareils IIoT devraient également supporter des protocoles sécurisés comme MQTT sur TLS ou DTLS pour assurer l'intégrité des données.

2. Mises à jour de sécurité régulières et gestion des correctifs

Les deux environnements doivent adopter une approche proactive de la gestion des correctifs. Cela inclut de développer un calendrier pour les mises à jour régulières qui prend en compte à la fois les systèmes IT et les appareils OT sans perturber les opérations.

3. Mettre en œuvre des solutions maison avec précaution

Bien que les solutions de sécurité personnalisées puissent convenir à des environnements spécifiques, elles peuvent aussi introduire des vulnérabilités. Fiez-vous aux cadres et outils établis, et ne développez des solutions propriétaires que si elles ne compromettent pas les protocoles standards.

Défis et considérations

Malgré les avantages évidents des politiques de sécurité harmonisées, plusieurs défis doivent être pris en compte :

• Différences culturelles : Les employés IT mettent souvent l'accent sur la rapidité et l'agilité, tandis que le personnel OT privilégie la stabilité et la fiabilité. Combler cet écart culturel est essentiel.

• Infrastructure héritée : De nombreux environnements OT fonctionnent encore sur des systèmes obsolètes qui sont difficiles, voire impossibles, à mettre à jour sans temps d'arrêt opérationnel. Comprendre ces contraintes est vital pour développer des politiques réalistes.

• Complexité de l'évaluation des risques : Les évaluations des risques doivent tenir compte des impacts opérationnels ; les risques de cybersécurité doivent être évalués aux côtés des risques physiques pour la continuité des activités.

Conclusion

Les efforts de collaboration entre les départements IT et OT sont cruciaux pour créer des politiques de sécurité qui protègent les systèmes interconnectés dans les environnements industriels. En développant une compréhension claire des deux domaines, en établissant des structures de gouvernance, en tirant parti des technologies appropriées et en reconnaissant les défis inhérents, les organisations peuvent considérablement améliorer leur posture de sécurité tout en favorisant l'innovation.

À mesure que le paysage des menaces continue d'évoluer, nos stratégies de protection doivent également évoluer. Cela requiert un dialogue continu entre les équipes IT et OT pour garantir des opérations de sécurité adaptables et évolutives dans un monde de plus en plus interconnecté.