La sécurité des technologies opérationnelles face aux cybermenaces
Des systèmes de plus en plus vulnérables
Les équipements tels que les ascenseurs, les onduleurs et les bâtiments intelligents sont désormais équipés de capteurs et de logiciels. Regroupés sous le terme de **technologies opérationnelles (OT)**, ces systèmes présentent une vulnérabilité grandissante aux cybermenaces, attirant ainsi l’attention des responsables de la sécurité des systèmes d’information (RSSI). Cependant, de nombreux RSSI pensent encore qu’il n’est pas nécessaire d’évaluer les risques liés à l’OT, ce qui constitue une vision dépassée et entraînant des angles morts dans la sécurité.
Risques associés aux systèmes opérationnels
Les technologies opérationnelles englobent divers matériels et logiciels, notamment ceux utilisés pour la gestion des bâtiments, pour le chauffage, la ventilation, la climatisation et les dispositifs de contrôle d’accès. Avec l’augmentation des bâtiments intelligents et le rapprochement de l’IT et de l’OT, le risque cyber dans ces domaines est devenu prépondérant. En effet, les équipements OT, autrefois relativement protégés, sont aujourd’hui de plus en plus exposés en raison des capteurs intelligents et des accès à distance pour l’analyse prédictive.
À titre d’exemple, en 2018, un thermomètre intelligent a été compromis dans l’aquarium d’un casino américain, donnant accès au réseau et à la base de données de l’établissement. De même, en 2013, des chercheurs ont démontré qu’il était possible de pirater les systèmes de chauffage, ventilation et climatisation (CVC) de Google Australie grâce à des outils adéquats. Plus récemment, en 2022, des vulnérabilités critiques ont affecté les onduleurs électriques d’une entreprise reconnue, permettant des attaques à distance sur les systèmes concernés.
Défis pour les RSSI
Ces incidents soulèvent plusieurs questions pour les RSSI, qui doivent faire face à la réalité que la protection des technologies opérationnelles n’est pas leur cœur de métier. Dans de nombreuses entreprises, la sécurisation des systèmes comme les ascenseurs ou les CVC est souvent jugée moins cruciale, et cela peut poser problème. La probabilité d’une attaque moins élevée justifie-t-elle une allocation réduite de ressources à leur protection ? Les RSSI doivent trouver un juste équilibre entre ne pas se perdre dans les détails et gérer le risque de manière adaptée.
Modélisation des menaces et évaluation des risques
Pour anticiper ces défis, il est essentiel que les entreprises disposent d’une modélisation adéquate des menaces et évaluent les risques associés. La vigilance vis-à-vis des technologies opérationnelles en matière de cybersécurité ne devrait pas être inférieure à celle consacrée à la chaîne d’approvisionnement numérique, aux environnements de test et développement, ou au Shadow IT. L’équilibre se trouve lorsque des processus de gouvernance des risques sont établis et peuvent être gérés efficacement.
Les étapes à suivre incluent l’identification des ressources OT et IoT périphériques, ainsi que la catégorisation de leur impact potentiel sur l’entreprise. Une analyse approfondie des vecteurs de menace et des conséquences potentielles d’une attaque est cruciale, notamment sur les plans des processus, de la sécurité, de la réputation, des finances et de la conformité.
En résumé
Les technologies opérationnelles représentent un enjeu crucial pour la sécurité des entreprises face à l’évolution des cybermenaces. Une collaboration étroite entre les différents acteurs, ainsi qu’une réévaluation des priorités en matière de cybersécurité, s’avèrent indispensables pour protéger ces systèmes vitaux.