Système industriel – Segmenter mon réseau OT/IT pour plus de sécurité ! La vraie difficulté avec les cyberattaques est qu’une fois que les attaquants ont compromis un point d’entrée, ils peuvent circuler librement au sein du réseau, sans que les administrateurs réseau et les dispositifs de cybersécurité déjà en place ne puissent faire grand-chose.
Heureusement, il existe une solution qui fonctionne bien à ce problème : la segmentation ! Celle-ci consiste à diviser un réseau informatique en plusieurs zones. Ainsi, même si un acteur malveillant a réussi à pénétrer une zone donnée, il lui sera quand même difficile de se frayer un chemin vers d’autres zones. La segmentation est donc l’un des meilleurs moyens de contenir les dégâts que peuvent occasionner une attaque réussie.
De plus en plus adoptée par les organisations et appliquée dans presque tous les secteurs (santé, sécurité, la fabrication, le transport…), la segmentation est surtout recommandée pour les réseaux comptant de nombreux d’appareils informatiques et utilisateurs ainsi que pour ceux déployant énormément d’appareils OT.
Segmenter mon réseau OT/IT pour plus de sécurité ! Découvrez dans cet article comment la segmentation réseau peut vous aider à répondre aux défis de performance et de sécurité auxquels vous faites face avec vos systèmes d’information industriels.
Sommaires
Définition des IT et OT
L’IT ou technologie de l’information fait référence à tout ce qui concerne la technologie informatique, y compris donc le matériel et les logiciels. Il désigne aussi le système informatique, qui peut être défini comme une combinaison de machines et de processus qui, pour un ensemble d’entrées, produit un ensemble défini de sorties, utilisées principalement pour la collecte, le stockage, le traitement et la distribution de l’information.
La technologie opérationnelle (OT), quant à elle, fait référence au matériel et aux logiciels utilisés pour modifier, surveiller ou contrôler les dispositifs physiques, les processus et les événements au sein d’une entreprise. Elle est la plus couramment utilisée dans les environnements industriels, en permettant le bon fonctionnement des outils industriels et de leur pilotage opérationnel.
Enfin, la principale différence entre ces deux technologies est que les appareils OT sont conçus pour contrôler le monde physique, tandis que les systèmes IT gèrent les données.
Réseau IT/OT – de quoi on parle ?
Si par le passé les appareils OT étaient complètement isolés et devaient être manipulés manuellement, depuis quelques années avec l’avènement de l’industrie 4.0, il devient de plus en plus courant que les appareils OT soient surveillés et contrôlés à l’aide de systèmes informatiques.
Ce croisement de l’IT et de l’OT sur de mêmes réseaux offre aux organisations de nombreuses possibilités comme l’analyse en temps réel de données, le mélange de données techniques remontées depuis les sites (consommation électrique, quantité fabriquée…) ainsi que des données issues des systèmes de gestion (commande client, production journalière, ordre de fabrication…).
Dans un système industriel, l’informatique peut aussi être utilisé pour les interventions à distance, comme arrêter automatiquement des machines qui surchauffent, ou encore pour la surveillance (ex : la surveillance de disponibilité des appareils OT) ou pour alerter les employés lorsqu’un composant est défaillant.
L’informatique rend les systèmes OT vulnérables aux cyberattaques
Comme nous l’avons vu plus haut, l’informatique et donc les systèmes informatiques peuvent être une aubaine pour les systèmes OT, en particulier les systèmes de contrôle industriels. Ces derniers pour ceux qui l’ignorent sont un type d’OT et se composent de tous les systèmes utilisés pour surveiller ou contrôler les processus industriels. Cela pourrait inclure le tapis roulant d’un site minier ou une alarme qui permet aux employés de savoir si une pièce d’équipement est dangereusement proche de la surchauffe.
Cependant, sachez également que l’informatique peut rendre les systèmes OT vulnérables aux attaques extérieures. La plus grande menace reste bien sûr Internet. Chaque fois qu’un appareil est autorisé à se connecter à Internet, le risque qu’un cybercriminel obtienne un accès non autorisé est important.
Pour éviter que ce genre de scénario se produit, l’une des précautions à surtout prendre est bien sûr la segmentation de votre réseau OT/IT (réseau OT pour simplifier).
Qu’est-ce que la segmentation du réseau OT ?
La segmentation réseau est une approche architecturale consistant à diviser un réseau large en plusieurs zones, segments ou encore sous-réseaux. Par ailleurs, elle peut aussi être définie comme l’ajout de couche de sécurité physique qui sépare une partie du réseau des autres parties.
Au niveau des systèmes industriels, la segmentation réseau peut avoir plusieurs formes comme la séparation d’un réseau OT d’un réseau informatique, la division d’un grand réseau informatique en plusieurs zones plus faciles à gérer et à surveiller, ou encore la séparation un réseau invité d’un réseau d’entreprise ou un réseau de fabrication critique d’un autre.
Même si peu d’organisations segmentent leur réseau OT à cause du fait qu’il s’agit d’un procédé extrêmement coûteux et compliqué à mettre en œuvre, dans les infrastructures critiques telles que le pétrole et le gaz, l’électricité, les services publics, l’aérospatiale, les transports, la fabrication et d’autres secteurs verticaux critiques, elle est en revanche importante et s’impose comme la norme.
Autres articles :
- Comment prévenir ou gérer les risques industriels ?
- La Supervision pour garantir la sûreté des systèmes industriels
- Alarmes critiques industrielles : Supervision des réseaux et infrastructures
Comment séparer son réseau OT de l’informatique ?
La segmentation réseau OT est le fait de séparer son réseau OT de l’informatique. Bien qu’il soit plus compliqué de segmenter un réseau OT qu’un réseau informatique, cela doit être une priorité pour vous, car la performance ainsi que la sécurité de vos systèmes industriels en dépendent.
Pour séparer un réseau OT de l’informatique, la technique la plus utilisée consiste à créer une zone démilitarisée (DMZ) entre les deux. Isolée du réseau local ainsi que d’Internet par un pare-feu, la zone démilitarisée est la zone sur laquelle est placée les machines et les équipements les plus accessibles depuis Internet et bien sûr qui n’ont pas besoin d’accéder au réseau local.
Avec cette configuration, si une attaque survient, elle se passe presque toujours dans la zone dite démilitarisée vu que c’est dans cette zone que sont placées les machines accessibles par Internet. Le pare-feu interviendra ensuite pour bloquer l’accès au réseau local à partir de la DMZ. C’est de cette manière que le réseau local est protégé de toute menace avec la création de DMZ.
Outre la création d’une zone démilitarisée, pour sécuriser le réseau OT, il est aussi demandé aux administrateurs réseau de créer plusieurs zones distinctes pour la séparation du système d’exécution de la fabrication (MES), de l’interface homme-machine (IHM) et de l’automate programmable industriel (PLC) des autres zones. Ce procédé limite au minimum le trafic réseau entre les zones et empêche par la même occasion les activités malveillantes.
Segmenter mon réseau OT pour plus de sécurité
En gardant différentes parties de votre réseau OT isolées les unes des autres grâce à la segmentation, l’avantage le plus important est la possibilité de ralentir les attaquants qui tentent d’infiltrer votre réseau. Les cybercriminels qui accèdent à une zone dans un réseau segmenté ont plus de mal à infiltrer le reste du réseau.
Ensuite, puisque la taille de chaque zone créée, puis isolée par le pare-feu est moins importante, il sera plus simple pour les administrateurs réseau d’identifier et d’arrêter les menaces.
Si quand même les cybercriminels parviennent à causer des dégâts avec une attaque, ces dégâts seront moindres et contenus avec moins de temps et d’argent nécessaires pour faire face aux conséquences.
Enfin, avec la segmentation de réseau OT, la sécurité globale des données est, elle aussi, renforcée car la séparation entre les zones réduit le risque de vol ou de destruction des données.
Il convient aussi d’intégrer les sondes NIDS, qui sont faites et utilisées pour effectuer la supervision de sécurité, et qui par nature sont très exposées aux attaques, il convient de les soigner à l’installation.
Auteur Antonio Rodriguez, Editeur et Directeur de Clever Technologies
