Guide sur la cybersécurité des infrastructures critiques

Des menaces grandissantes sur l’infrastructure critique

Au cours des deux dernières années, les attaques sur des fournisseurs d’infrastructure critique (CI), telle que la « Colonial Pipeline », une installation de traitement de l’eau en Floride, et une installation israélienne de traitement de l’eau et des eaux usées, ont démontré que le secteur des infrastructures critiques présentait une vulnérabilité croissante. Et il ne s’agit pas d’incidents isolés : parmi les 179 entreprises CI sondées en 2021, 83 % d’entre elles ont rapporté avoir subi des atteintes à leur cybersécurité OT au cours des 36 derniers mois. Les conséquences de ces cyberattaques s’étendent bien au-delà des coûts et des perturbations causées. Gartner prévoit que d’ici 2025 les auteurs de cyberattaques s’en prendront aux structures OT pour attenter physiquement aux personnes.

Ce que les responsables en sécurité CI doivent savoir

• Un grand nombre de systèmes ICS sont facilement accessibles par des pirates informatiques, comme le montre cette investigation menée par le journal en ligne Cybernews.com.
• L’univers des menaces continue d’évoluer. Gartner explique que les systèmes OT sont en train de changer, mais aussi les tactiques et techniques des acteurs malveillants.
• Les pirates informatiques restent la source principale d’intrusion dans les réseaux ICS, a constaté une enquête de l’institut SANS auprès de 480 praticiens de la cybersécurité.
• La faiblesse des protocoles de sécurité et l’absence de standardisation facilitent les attaques IoT dans le secteur des infrastructures critiques, note cet article publié dans le World Economic Forum.

Les principales menaces pesant sur les infrastructures critiques

• Logiciel malveillant. Le centre national de cybersécurité au Royaume-Uni donne une explication de la manière dont fonctionne un logiciel malveillant, accompagnée d’exemples et de stratégies de défense.
• Menaces persistantes avancées (APT). Découvrez les détails techniques de la CISA ainsi que les recommandations de la NSA sur les stratégies d’atténuation.
• Menaces internes. Le centre national du contre-espionnage et de la sécurité (National Counterintelligence and Security Center) des États-Unis fournit des directives à l’intention des entités en charge des infrastructures critiques et la CISA propose un guide pour la mise en œuvre d’un programme contre les menaces internes d’une infrastructure critique.
• Attaques étatiques. Découvrez dans cet article de la CISA des exemples sur les menaces provenant de la Chine.
• Rançongiciels. Regardez une discussion virtuelle entre le directeur par intérim de la CISA et le McCrary Institute for Cyber and Critical Infrastructure Security, et lisez le guide général de la CISA sur les rançongiciels à destination des professionnels de l’informatique.

Notions fondamentales et meilleures pratiques en cybersécurité

Les agences gouvernementales, les entreprises du secteur concerné et les cabinets-conseils spécialisés en cybersécurité proposent des recommandations sur l’élaboration et la mise en œuvre du programme de cybersécurité adapté. Vous trouverez ci-dessous plusieurs articles et sites Internet décrivant les meilleures pratiques en termes de défense des infrastructures critiques.

L’un des cadres majeurs de la cybersécurité, reconnu dans le monde entier, est le celui du National Institute of Standards and Technology (NIST) des États-Unis. Le « Guide to Industrial Controls Systems (ICS) Security » (Guide sur les systèmes de commande industriels (ICS)) SP 800-82 du NIST comprend une présentation des systèmes ICS, couvrant les notions fondamentales de la sécurité telles que la gestion et l’évaluation des risques, l’architecture de sécurité et l’application des commandes IT aux systèmes ICS, ainsi que des mesures de réponse et de reprise en cas d’incidents de sécurité.

Les ressources ci-après présentent une vue d’ensemble des meilleures pratiques :

• Tips and Tactics for Control Systems Cybersecurity (Conseils et tactiques pour la cybersécurité des systèmes de commande) : une infographie du NIST présentant de rapides conseils et des mesures fondamentales à prendre
• Cybersecurity Practices for Industrial Control Systems (Pratiques en cybersécurité pour les systèmes de commande industriels) : une présentation de deux pages de haut niveau mais exhaustive de la CISA et du Ministère américain de l’énergie (DOE)
• ICS Cybersecurity for the C-Level (Cybersécurité des ICS pour les cadres supérieurs) : un guide de deux pages pour faciliter les conversations sur le sujet de la cybersécurité avec les cadres supérieurs et autres parties prenantes

Pour une immersion en profondeur dans l’univers des menaces et pour savoir comment démarrer un plan de cybersécurité, lisez « A Guide to Critical Infrastructure Security and Resilience » (Guide sur la sécurité et la résilience des infrastructures critiques) de la CISA. En outre, le document complet « 15 Cybersecurity Fundamentals for Water and Wastewater Utilities » (15 notions fondamentales en cybersécurité pour les installations de traitement d’eau et d’eaux usées) du WaterISAC examine les meilleures pratiques applicables à tout le secteur des infrastructures critiques, notamment :

• Exécution de l’inventaire des actifs
• Application des contrôles d’accès utilisateur
• Adoption d’une culture de la cybersécurité
• Sécurisation de la chaîne logistique
• Mise en œuvre de la détection et de la surveillance des menaces

Cadres de cybersécurité

Les cadres de cybersécurité présentent des feuilles de route pour gérer les risques liés aux infrastructures critiques et mettre en œuvre des stratégies d’atténuation des risques. Bien qu’il existe plusieurs cadres industriels qui puissent être adaptés aux infrastructures critiques, Rockwell Automation recommande d’utiliser le Cadre de sécurité du NIST (CSF), qui présente les meilleures pratiques à adopter pour une cyberprotection complète, sur la base des cinq grandes fonctions : Identifier, Protéger, Détecter, Répondre et Reprendre. Le cadre permet une certaine souplesse, et vous pouvez adapter les activités en fonction de vos propres exigences et de votre environnement particulier.

Le cadre NIST CSF, qui était à l’origine conçu pour concerner particulièrement les infrastructures critiques, est devenu un standard dans tous les secteurs industriels. Les agences fédérales des États-Unis ont l’obligation d’appliquer le cadre du NIST aux systèmes d’information fédéraux depuis 2017. Les sous-traitants de l’état qui doivent respecter des exigences particulières telles que le NIST 800-53 peuvent aussi adopter le cadre NIST CSF pour démontrer leur conformité.

Ressources facilitant la mise en œuvre du cadre NIST CSF :

• Le NIST Interagency Report 8170 (Rapport interagences du NIST 8170) examine les approches en matière de CSF pour les agences fédérales. Bien que le rapport soit principalement destiné aux usagers fédéraux, le NIST s’attend à ce que des entreprises privées utilisant le CSF puissent également en bénéficier.
• Parmi les autres guides de mise en œuvre sectorielle pouvant être largement appliqués aux infrastructures critiques, notons ceux du Ministère de l’énergie (DOE) pour l’énergie, du Ministère de la sécurité intérieure pour les systèmes de transport et de la CISA pour les barrages.

Autres cadres et modèles

• Modèle de maturité de la sécurité de l’IIoT Consortium. Le modèle a été conçu pour les propriétaires, intégrateurs, décisionnaires et autres parties prenantes des systèmes IoT (voir les renseignements complémentaires dans le guide du praticien).
• MITRE ATT&CK. Développé dans le cadre d’une recherche financée par l’état fédéral, le cadre MITRE est largement utilisé par les praticiens de la sécurité. ATT&CK est une matrice et une base de données organisées rassemblant des tactiques et techniques d’attaque basées sur des observations concrètes ; une section spécifique aux systèmes de commande industriels a été récemment ajoutée pour venir en aide aux équipes de sécurité sur le plan de l’exécution tactique. La CISA utilise également ATT&CK dans certains de ces avertissements sur les menaces — consultez à titre d’exemple l’alerte pour les opérateurs des systèmes de traitement de l’eau et des eaux usées, donnée en octobre 2021.
• ISO 27000 et CEI 62443. Cette série de normes développées par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) fournit des conseils sur la gestion des risques et la sécurité. La plupart des entreprises recherchent la certification ISO/CEI pour prouver leur adhérence aux pratiques de sécurité. La norme CEI 62443 a été élaborée pour procurer aux entreprises la souplesse nécessaire à l’examen de la cybersécurité et du risque sur toute la chaîne logistique par opposition au strict niveau du propriétaire d’actifs.
• Cadre de cyberévaluation du Royaume-Uni (CAF). Élaboré par le centre national de cybersécurité au Royaume-Uni (NCSC) pour la sécurisation du secteur des infrastructures critiques, cet ensemble de 14 principes traite de domaines tels que la gestion des actifs, la chaîne logistique, la sensibilisation et la formation du personnel, et la planification de la réponse et de la reprise.
• Modèle de maturité des capacités en cybersécurité (C2M2). Ce modèle du Ministère de l’énergie a été développé en collaboration avec le secteur privé pour traiter des pratiques en cybersécurité IT/OT. Il est applicable à tous les échelons des infrastructures critiques. Le modèle C2M2 recense plus de 300 pratiques de cybersécurité classées en 10 domaines, tels que la gestion des menaces et des vulnérabilités, l’évaluation des risques, la gestion des effectifs et l’architecture de cybersécurité.

Considérations liées à la réglementation

Puisque les acteurs malveillants ciblent de plus en plus les fournisseurs et installations d’infrastructure critique, les gouvernements imposent que la sécurité et la résilience soient améliorées. Les États-Unis ont été particulièrement actifs dans ce domaine, en renforçant continuellement les réglementations. Par exemple, le Mémorandum présidentiel de juillet 2021 sur l’amélioration de la cybersécurité CIS vise à intensifier la collaboration du gouvernement fédéral avec le secteur privé pour renforcer les défenses.

Bien que la démarche soit uniquement volontaire, de nouveaux standards en émergeront pour la gestion du risque et de la sécurité. Les chefs d’entreprise d’infrastructure critique devraient étudier de près les développements de cette initiative afin de comprendre comment les changements opérés peuvent influer sur la conformité réglementaire à venir.

Ressources réglementaires

• Revue de la CISA. Une revue des objectifs et des neuf domaines sur lesquels la CISA et le NIST se concentreront à la suite de mémorandum.
• Actualisation du NIST. Le NIST mettra à jour son guide sur la sécurité des systèmes de commande industriels, SP 800-82 (Guide to Industrial Control Systems Security) ; la mise à jour fait suite au mémorandum.
  
• Éclairages d’expert. Lisez les observations d’un cabinet juridique sur les implications potentielles.
• Directive sur la sécurité des réseaux et des systèmes d’information (NIS). La directive de l’Union européenne sur la supervision des secteurs critiques. Pour une analyse des implications de la directive sur les secteurs des infrastructures critiques et ses correspondances avec les autres normes telles que celles de la NIST et ATT&CK, lisez le livre blanc de l’institut SANS « ICS within the NIS Directive should be ATT&CK®ed » (Les systèmes ICS dans la directive NIS doivent être mis en ATT&CK®).

Concevoir une architecture OT sécurisée

L’un des neuf domaines prioritaires de la CISA mentionnés plus haut est l’architecture et la conception. L’intégration dans votre architecture de fonctionnalités de cybersécurité, telles que la segmentation de réseau, les pare-feu et la structuration en zone démilitarisée (DMZ), réduit votre surface d’attaque, rend l’intrusion plus difficile et améliore la détection et la réponse.

Le modèle « zéro confiance » est l’une des nombreuses approches qui peuvent contribuer à une meilleure architecture de cybersécurité. Elle est construite autour de l’idée que la confiance ne peut être automatiquement accordée à aucun utilisateur, aucune connexion ou requête sans authentification et autorisation continuelles et dynamiques. La CISA estime maintenant que le modèle « zéro confiance » constitue un objectif avancé en réponse à l’injonction présidentielle de renforcer la cybersécurité des infrastructures critiques.

Ressources sur les architectures de cybersécurité

• Conception d’architectures sécurisées. Une page interactive de la CISA avec des définitions et de la documentation concernant les composants ICS, des points d’accès sans fil aux serveurs d’applications Internet.
• Principes de conception et technologie opérationnelle. Recommandations du NCSC sur la conception de systèmes OT sécurisés.
• Anti-modèles d’architecture de sécurité. Un livre blanc du NCSC pour les modèles à éviter, dans le contexte de l’OT.
• Modèle de maturité « zéro confiance ». Un projet de document de la CISA conçu pour aider les agences fédérales à mettre en œuvre une approche « zéro confiance ». (Consultez ici les mises à jour).
• Conception de systèmes CNI : sécuriser l’accès à distance. Un article complet du NCSC consacré au secteur des infrastructures critiques, cruciales en temps de pandémie.
• NIST Publication 800-207. Discussion approfondie sur la stratégie « zéro confiance » et le déploiement de variantes.
• Rockwell Automation et John Kindervag sur la stratégie « zéro confiance » dans les systèmes OT. Découvrez les dernières actualités sur la stratégie « zéro confiance » dans les systèmes OT, présentées par Rockwell Automation et John Kindervag, à l’origine de l’approche « zéro confiance ».

Subventions en cybersécurité dans la législation américaine sur les infrastructures

En novembre 2021, le Congrès américain a voté une loi d’une portée considérable sur les dépenses d’investissement, H.R. 3684, Infrastructure Investment and Job Act. (voir les sections 40121-40127, 50113 et le titre VI, sections 70611-70612 pour le contenu intéressant la cybersécurité).

Dans le cadre de la loi, le Ministère de la sécurité intérieure (DHS) accordera aux entreprises d’infrastructures critiques des subventions en lien avec les améliorations en cybersécurité. Les services publics tels que les installations de traitement d’eau/d’eaux usées et les centrales électriques, les installations de pétrole et gaz, les systèmes de transport et de santé – ainsi que des entreprises privées dans 16 secteurs identifiés par la CISA – sont ciblés pour recevoir de telles subventions.

Que couvriront les subventions ?

Les directives doivent être publiées en 2022, mais les subventions devraient probablement couvrir un large éventail d’investissements autour du renforcement des systèmes IT, OT et des défenses de sécurité ICS dans les cinq catégories du NIST, à savoir Identifier, Protéger, Détecter, Répondre et Reprendre.

Les entreprises peuvent commencer dès maintenant à définir et documenter leurs besoins en cybersécurité afin d’accélérer l’élaboration et la soumission d’un plan, si un tel plan n’existe pas déjà. Rockwell Automation a élaboré un modèle de plan de cybersécurité gratuit ainsi qu’une liste de contrôle que vous pouvez télécharger pour commencer à construire un plan de cybersécurité formel, qui pourront appuyer une demande de subvention auprès du DHS.

D’autres outils et conseils sur le cadre de cybersécurité du NIST

Voici plusieurs ressources utiles à explorer en parallèle des catégories du NIST, à savoir : Identifier, Protéger, Détecter, Répondre et Reprendre.

Identifier.

Ce domaine consiste à connaître les cyberrisques auxquels votre entreprise est exposée, notamment son contexte industriel et les ressources disponibles.

• Évaluation rapide de la cybersécurité OT. Développé par Rockwell Automation, cet outil permet de connaître rapidement l’état de préparation en matière de cybersécurité et les lacunes existantes, et présente des recommandations ainsi que des données de référence provenant d’entreprises homologues réparties par secteur industriel, taille et région géographique.
• Outils d’analyse IIoT/IoT — Une liste de trois outils publics destinés à découvrir les périphériques Internet des systèmes ICS, avec des conseils sur l’utilisation de ces outils ; la CISA présente aussi des informations détaillées ici sur chacun de ces outils.
• Outil d’évaluation de la cybersécurité (CSET). Logiciel de bureau gratuit proposé par la CISA permettant d’évaluer la cybersécurité des réseaux des systèmes de commande
• Guide permettant de conduire une évaluation des risques. Publication 800-30 du NIST, visant les systèmes d’information fédéraux, mais applicable aussi au secteur privé.
• Évaluation du risque interne. Un kit d’auto-évaluation téléchargeable proposé par la CISA.

Pour les entreprises qui souhaiteraient davantage de services complets, Rockwell Automation propose une identification et une analyse des actifs en réseau, accompagnées d’une surveillance continuelle de l’ensemble des actifs afin d’aider au recensement continu des risques pour la sécurité. En savoir plus.

Protéger

Ce domaine est consacré au développement et à la mise en place de protections telles que la sécurité des données, la gestion des identités et les contrôles d’accès, l’architecture appropriée, la sécurité des produits et plus encore, notamment la nécessité de sensibiliser et de former le personnel.

• ISC-CERT advisories (Avis de l’ISC-CERT). Une liste des vulnérabilités et expositions courantes (Common Vulnerabilities and Exposures, CVE) de divers fournisseurs ; voir aussi les références CVE supplémentaires du NIST et du MITRE.
• Gestion des identités et des accès (IAM). Cette présentation de l’IAM par le NCSC comprend une section sur les technologies de production (OT).
• Defending Against Software Supply Chain Attacks (Se protéger des attaques visant la chaîne logistique logicielle). Un livre blanc de la CISA destiné aux développeurs de logiciels et à leurs clients.
• Protecting internet-facing services (Protection des services Internet). Un article du NCSC destiné aux opérateurs d’infrastructure critique.
• Sécurité des vidéoconférences pour les entités d’infrastructure critique. Pratiques recommandées par la CISA.

Détecter

Cette fonction consiste à continuellement surveiller les process afin de détecter les incidents liés à la cybersécurité.

• Évaluation de la cyberhygiène. Une liste de services tels qu’analyses de vulnérabilité, tests d’hameçonnage et tests de pénétration, proposés gratuitement par la CISA pour les entreprises d’infrastructure critique.
• Présentation de la défense en profondeur. Bien que développé par la CISA pour le secteur nucléaire, cette infographie présente des informations pertinentes pour tous les secteurs.
• SOC buyers guide (Guide de l’acheteur d’un SOC). Pour les entreprises qui envisagent d’externaliser leur centre opérationnel de sécurité (SOC), ce guide du NCSC fournit une vaste vue d’ensemble et des conseils pratiques sur les SOC.

Pour les entreprises qui souhaiteraient avoir davantage de services complets, Rockwell Automation propose des services de détection des anomalies et des menaces, ainsi que des partenariats stratégiques avec des prestataires internationaux tels que Claroty et Cisco. En savoir plus.

Réagir et reprendre

Les deux derniers domaines du cadre NIST CSF sont consacrés aux mesures à prendre en réaction aux événements liés à la cybersécurité afin d’enrayer toute tentative d’intrusion et d’empêcher sa propagation, et pour permettre la reprise du cours normal des opérations. Ces catégories utilisent des tentatives d’attaques pour améliorer les connaissances et la résilience.

• Modèles de communication d’incident. Divers formulaires téléchargeables de l’institut SANS.
• Exercices de simulation. Kits de la CISA présentant des scénarios de réponse en cybersécurité.
• Guide de réponse aux cyberincidents. Bien que destiné aux entreprises publiques de distribution d’énergie, ce guide du Ministère de l’énergie (DOE) peut être adapté à tous les échelons des infrastructures critiques.
• Planification de la réponse aux incidents. Un guide pas-à-pas du NCSC. Consultez également ce guide utile sur la création d’une équipe de réponse aux incidents.
• Se préparer à un cyberincident. Un guide d’introduction du bureau de cyberinvestigations des services secrets américains (U.S. Secret Service Cyber Investigations), basé sur le cadre NIST CSF.
• Exemple concret. Un article intéressant sur la ville de La Nouvelle-Orléans, et son plan de réponse aux incidents qui lui a permis de contrer une attaque par rançongiciel.

Ressources au niveau industriel

Les ressources spécifiques au secteur industriel présentées ci-après comportent des informations et des conseils utiles adaptables à n’importe quelle entreprise d’infrastructure critique. Voici quelques exemples :

• Pipelines cyber-risk mitigation (Atténuation des cyberrisques pour les oléoducs). Présentation sommaire de la CISA.
• Water sector best practices (Pratiques de cybersécurité pour le secteur de l’eau). Une liste des ressources en cybersécurité de l’Agence de protection de l’environnement (EPA) des États-Unis.
• Checklist for incident response (Liste de contrôle pour la réponse aux incidents). Développée par l’EPA pour le secteur de l’eau.
• IoT security best practices (Meilleures pratiques en sécurité IoT). Un guide détaillé sur l’Internet Industriel des objets (IIoT) pour une fabrication intelligente, par l’Agence de l’Union européenne pour la cybersécurité (ENISA).
• Cybersecurity risk in the water sector (Risque pour la cybersécurité dans le secteur de l’eau). Un livre blanc de l’American Water Works Association.

Prendre des mesures et rester vigilant

La cybersécurité dans les infrastructures critiques évolue très rapidement. Pour devancer les menaces, les responsables de la sécurité doivent être continuellement au courant des nouvelles tendances, des développements réglementaires et des progrès industriels. L’une des ressources précieuses consiste à s’abonner aux listes de diffusion de la CISA, avec le choix de recevoir les dernières nouvelles, des alertes, des conseils et autres renseignements.

Services de cybersécurité industrielle de Rockwell Automation

Si vous recherchez une expertise en sécurité industrielle et des conseils sur la meilleure façon de sécuriser une infrastructure critique, Rockwell Automation peut vous aider. Nous pouvons évaluer, concevoir, mettre en œuvre et gérer un certain nombre de solutions de services administrés en continu ou spécifiques à un projet. Grâce à une implantation mondiale et à plus de 100 ans d’expérience auprès d’entreprises au cœur de l’industrie, nos équipes de cybersécurité réactives et nos robustes capacités SOC industrielles vous aideront à vous assurer que vos opérations de production sont bien protégées.

Pour en savoir plus, contactez-nous dès aujourd’hui pour programmer un rendez-vous avec un expert.