![\"Cybers\u00e9curit\u00e9](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock_1582400806-e1618485729386.jpg\" "\\"De")
<\/p>\n<\/p>\n
Les syst\u00e8mes d\u2019information op\u00e9rationnels sont omnipr\u00e9sents ; des usines de fabrication au mus\u00e9e en passant par les centres commerciaux ou les transports en communs. Par abus de langage, on les r\u00e9duit aux syst\u00e8mes d\u2019information industriels ou \u00e0 l\u2019OT. Ils accompagnent de mani\u00e8re discr\u00e8te nos moindres faits et gestes au quotidien, pour assurer notre confort et notre s\u00e9curit\u00e9 en toutes circonstances. Un changement de paradigme avec les syst\u00e8mes d\u2019information traditionnels de l\u2019IT qui, eux, favorisent la s\u00e9curit\u00e9 des donn\u00e9es, plut\u00f4t que la s\u00e9curit\u00e9 et la s\u00fbret\u00e9 de fonctionnement. Pour autant, il ne faut pas n\u00e9gliger la cybers\u00e9curit\u00e9 des syst\u00e8mes industriels tant les risques li\u00e9s aux cyberattaques sont bien pr\u00e9sents. Explications.<\/strong><\/p>\n <\/p>\n Dans un certain imaginaire collectif, l\u2019OT (pour Operational Technology<\/em>) ne concernerait que des secteurs tels que l\u2019industrie manufacturi\u00e8re<\/a>, l\u2019\u00e9nergie<\/a>, la sant\u00e9 ou encore les transports. Mais la quantit\u00e9 de champs d\u2019application que couvre l\u2019OT est bien sup\u00e9rieure \u00e0 cette id\u00e9e re\u00e7ue\u00a0: les syst\u00e8mes d\u2019information op\u00e9rationnels sont absolument partout<\/strong>.<\/p>\n \u00ab\u00a0\u00c0 titre d\u2019exemple, dans un a\u00e9roport, il y a une partie visible avec l\u2019\u00e9clairage, la d\u00e9tection incendie, la vid\u00e9o-surveillance ou encore la climatisation. Et une partie moins visible avec les syst\u00e8mes de tri bagages, les contr\u00f4les d\u2019acc\u00e8s pour les zones \u00e0 r\u00e9gime restrictifs, le balisage de pistes\u2026<\/em>\u00a0\u00bb, indique Jean-Christophe Mathieu<\/strong>, Head of Industrial Security Orange Cyberdefense<\/a>. Et les exemples abondent\u00a0: escalators, bornes d\u2019enregistrement, rames de m\u00e9tro, caisses enregistreuses, distributeurs de billets ou encore portiques de s\u00e9curit\u00e9\u2026 m\u00eame si ces outils n\u2019\u00e9voquent pas le monde industriel car ils ne produisent rien, ils constituent des syst\u00e8mes op\u00e9rationnels \u00e0 part enti\u00e8re. Et, par l\u00e0 m\u00eame, des syst\u00e8mes critiques.<\/p>\n La cybers\u00e9curit\u00e9 pour les syst\u00e8mes OT est donc primordiale, en cela qu\u2019elle participe \u00e0 leur s\u00fbret\u00e9 de fonctionnement<\/em><\/p>\n \u00ab\u00a0Ces syst\u00e8mes d\u2019information op\u00e9rationnels pilotent des \u00e9quipements qui agissent sur le monde physique. Une attaque sur le syst\u00e8me de s\u00e9curit\u00e9 incendie peut rendre inop\u00e9rante la s\u00fbret\u00e9\u00a0d\u2019un b\u00e2timent public par exemple<\/em>, souligne Vincent Nicaise<\/strong>, Responsable des partenaires et de l'\u00e9cosyst\u00e8me industriels chez Stormshield. Imaginez un stade de foot plong\u00e9 dans le noir par une cyberattaque visant le syst\u00e8me d\u2019\u00e9clairage\u2026 on n\u2019a pas de mal \u00e0 imaginer les mouvements de foule li\u00e9s \u00e0 la panique et leurs cons\u00e9quences d\u00e9sastreuses. De m\u00eame, une attaque malveillante sur le syst\u00e8me de signalisation dynamique modifiant les signaux d\u2019affectation des voies d\u2019un tunnel peut causer de graves accidents. La cybers\u00e9curit\u00e9 pour les syst\u00e8mes OT est donc primordiale, en cela qu\u2019elle participe \u00e0 leur s\u00fbret\u00e9 de fonctionnement.<\/em>\u00a0\u00bb<\/p>\n <\/p>\n Si de par leur convergence<\/a>, il est courant de confondre l\u2019OT avec l\u2019IT, ce sont deux mondes que tout oppose de par les contraintes op\u00e9rationnelles. Ainsi, malgr\u00e9 la convergence IT\/OT, les objectifs ne sont pas les m\u00eames\u00a0: quand l\u2019IT traite de la donn\u00e9e, l\u2019OT la pilote pour op\u00e9rer une action physique avec un impact dans le r\u00e9el. En outre, s\u2019il est relativement facile de mettre \u00e0 jour un syst\u00e8me informatique \u00ab\u00a0classique\u00a0\u00bb, son pendant c\u00f4t\u00e9 OT, cette \u00ab\u00a0informatique industrielle\u00a0\u00bb ou \u00ab\u00a0informatique op\u00e9rationnelle\u00a0\u00bb, est plus complexe. Il est par exemple impossible de couper l\u2019activit\u00e9 d\u2019un r\u00e9seau d'assainissement et de distribution d'eau potable sans cons\u00e9quences directes sur la distribution\u2013 ce qui demande une organisation et une planification des mises \u00e0 jour des plus fines.<\/p>\n De plus, les syst\u00e8mes d\u2019information mis en place dans des contextes industriels le sont en g\u00e9n\u00e9ral pour des longues p\u00e9riodes (trentaine d\u2019ann\u00e9es, voire plus). Ils sont vieillissants et donc fragiles<\/strong>\u00a0: obsolescence des composants, pas ou peu de m\u00e9canismes de cybers\u00e9curit\u00e9 int\u00e9gr\u00e9s, patchs de management complexes \u00e0 mettre en \u0153uvre\u2026<\/p>\n Enfin, les environnements y sont souvent contraignants, voire hostiles<\/strong>, avec leurs conditions d\u2019exercice sp\u00e9cifiques (poussi\u00e8re, temp\u00e9ratures tr\u00e8s basses ou \u00e9lev\u00e9es, vibrations, \u00e9lectromagn\u00e9tisme, produits nocifs \u00e0 proximit\u00e9\u2026) et les possibilit\u00e9s d\u2019acc\u00e8s parfois ardues (tunnels, stations de pompage, sous-stations \u00e9lectriques, lieux isol\u00e9s\u2026).<\/p>\n Ainsi, les pr\u00e9occupations principales de la s\u00e9curit\u00e9 OT sont d\u2019\u00e9viter les dommages corporels, environnementaux, mat\u00e9riels, et le maintien de l\u2019activit\u00e9 industrielle, m\u00eame dans des conditions d\u00e9t\u00e9rior\u00e9es. \u00ab\u00a0Il s\u2019agit avant tout de faire face \u00e0 des \u00e9pisodes comme celui de la tentative d\u2019attaque sur le r\u00e9seau hydraulique isra\u00e9lien<\/a>, en avril dernier, durant laquelle du chlore ou d\u2019autres produits chimiques auraient pu \u00eatre m\u00e9lang\u00e9s \u00e0 l\u2019eau, dans de mauvaises proportions<\/em>\u00a0\u00bb, d\u00e9crit Vincent Nicaise. Une attaque dans la lign\u00e9e de celles contre Fleury Michon<\/a> en avril 2019 ou encore Honda en juin 2020, avec l\u2019impossibilit\u00e9 dans les deux cas de poursuivre des op\u00e9rations sur les lignes de production. En plus de cette pr\u00e9occupation de la s\u00fbret\u00e9 de fonctionnement dans l\u2019OT, la disponibilit\u00e9 du syst\u00e8me passe devant l\u2019int\u00e9grit\u00e9 des donn\u00e9es et leur confidentialit\u00e9. Une grande diff\u00e9rence avec l\u2019IT qui va privil\u00e9gier en premier lieu la confidentialit\u00e9. \u00ab\u00a0Certains secteurs font exceptions o\u00f9 la confidentialit\u00e9 conserve toute son importance. C\u2019est le cas par exemple de la pharmacologie, qui prot\u00e8ge scrupuleusement ses recettes de fabrication. Ici, la propri\u00e9t\u00e9 intellectuelle constitue un r\u00e9el avantage concurrentiel. Mais, pour la plupart des usines, prot\u00e9ger les secrets de fabrication ne constitue pas un challenge en soi\u00a0: en tout cas bien moins que devoir maintenir op\u00e9rationnel des centaines de machines avec des op\u00e9rateurs pas n\u00e9cessairement pr\u00e9cautionneux<\/em>\u00a0\u00bb, t\u00e9moigne Jean-Christophe Mathieu.<\/p>\n <\/p>\n Avec la convergence IT\/OT et l\u2019omnipr\u00e9sence du num\u00e9rique, les syst\u00e8mes d\u2019information op\u00e9rationnels, traditionnellement isol\u00e9s, gagnent en efficacit\u00e9 et en agilit\u00e9. Mais cette flexibilit\u00e9 nouvelle va de pair avec de nouveaux risques cyber. Pour s\u2019en pr\u00e9munir et assurer la cybers\u00e9curit\u00e9 pour les syst\u00e8mes OT, retour sur quelques principes d\u2019hygi\u00e8ne num\u00e9rique de base.<\/p>\n \u00ab\u00a0Toutes ces couches de s\u00e9curit\u00e9 constituent autant d\u2019\u00e9l\u00e9ments d\u2019une d\u00e9fense en profondeur<\/a><\/em>\u00a0\u00bb, pr\u00e9cise Vincent Nicaise. Une approche d\u00e9fendue notamment par l\u2019ANSSI<\/strong>, dont le m\u00e9mento<\/a>, publi\u00e9 en 2004, conserve toute sa pertinence.<\/p>\n <\/p>\n Le monde de l\u2019IT juge souvent le monde de l\u2019OT trop norm\u00e9, avec beaucoup de standards \u00e0 respecter. Pour autant, si l\u2019IT comprend l\u2019\u00e9cosyst\u00e8me OT et ses probl\u00e9matiques, il peut s\u2019av\u00e9rer \u00eatre une v\u00e9ritable valeur ajout\u00e9e pour ce dernier. \u00ab\u00a0Les \u00e9l\u00e9ments \u00e0 prot\u00e9ger se situent parfois dans des lieux g\u00e9ographiquement recul\u00e9s, presque inaccessibles\u00a0: elles manquent donc de moyens humains, de v\u00e9ritables experts. Les seuls agents de maintenance sur site sont ceux \u00e0 qui l\u2019on confie la gestion des pare-feux\u00a0: un probl\u00e8me en soi, puisqu\u2019ils n\u2019ont pas la connaissance r\u00e9seau et cyber pour remplacer un \u00e9quipement d\u00e9faillant. Un de nos clients avait cette probl\u00e9matique\u00a0: avec les int\u00e9grateurs, Stormshield a mis au point un proc\u00e9d\u00e9 sp\u00e9cifique qui r\u00e9pond \u00e0 cette difficult\u00e9<\/em>, d\u00e9clare Khobeib Ben Boubaker<\/strong>, Head of Industrial Security Business Line Stormshield. Un autre de nos clients, qui avait adopt\u00e9 notre solution Endpoint, s\u2019interrogeait sur le moyen de l\u2019arr\u00eater en cas de maintenance, sans expert sur place. L\u2019id\u00e9e a \u00e9t\u00e9 de mettre un fichier sp\u00e9cifique sur une cl\u00e9 USB reconnue uniquement par notre solution et illisible par des solutions tierces ; celle-ci se mettait alors en phase d\u00e9brid\u00e9e le temps de la maintenance. Ce genre de petites choses, que les gens de l\u2019IT sont habitu\u00e9s \u00e0 faire, aident grandement ceux de l\u2019OT.<\/em>\u00a0\u00bb<\/p>\n Lorsque la gouvernance IT \/ OT est unifi\u00e9e, on constate une meilleure int\u00e9gration de la cybers\u00e9curit\u00e9 pour les syst\u00e8mes industriels.<\/em><\/p>\n Lors d\u2019un webinaire d\u00e9di\u00e9 aux b\u00e2timents hospitaliers, nous avons pos\u00e9 la question de savoir \u00e0 qui incombait la charge du r\u00e9seau OT<\/strong>. Pour deux tiers des r\u00e9pondants, c\u2019est l\u2019IT qui va g\u00e9rer ce r\u00e9seau op\u00e9rationnel, en am\u00e9liorant sa compr\u00e9hension du sujet au fur et \u00e0 mesure. Mais ce manque de collaboration entre les \u00e9quipes IT et OT constitue un frein \u00e0 la cybers\u00e9curit\u00e9 globale des entreprises qui souhaitent tirer pleinement parti de leur convergence pour augmenter leur comp\u00e9titivit\u00e9. Selon Jean-Christophe Mathieu, \u00ab\u00a0tr\u00e8s souvent les sujets autour de la s\u00e9curit\u00e9 industrielle sont confi\u00e9s aux \u00e9quipes IT. Pourtant, l\u2019OT est un environnement que l\u2019IT connait de mieux en mieux mais pas encore assez pour d\u00e9cider unilat\u00e9ralement des solutions \u00e0 mettre en \u0153uvre. Pour que la cybers\u00e9curit\u00e9 s\u2019int\u00e8gre harmonieusement dans les syst\u00e8mes industriels, il faut un travail commun entre \u00e9quipe IT et OT<\/em>\u00a0\u00bb.<\/p>\n <\/p>\n Finalement, le principal d\u00e9fi de la cybers\u00e9curit\u00e9 op\u00e9rationnelle et industrielle serait-il d\u2019ordre humain\u00a0? Le dialogue entre les \u00e9quipes IT, fortes de leur exp\u00e9rience en cybers\u00e9curit\u00e9, et les \u00e9quipes OT, sp\u00e9cialistes de leur r\u00e9seau op\u00e9rationnel, serait alors la cl\u00e9 d\u2019une meilleure s\u00e9curit\u00e9 de l\u2019infrastructure globale. Certains industriels semblent avoir compris que ces enjeux de cybers\u00e9curit\u00e9 industrielle passent par une mont\u00e9e en comp\u00e9tences des \u00e9quipes. Et incitent leurs RSSI \u00e0 se former \u00e0 l\u2019OT et aux contraintes op\u00e9rationnelles et organisationnelles de ces syst\u00e8mes. Une mont\u00e9e en comp\u00e9tences qui se traduit par la nomination de premiers r\u00e9f\u00e9rents OT au sein des RSSI. Et si la convergence IT\/OT passait \u00e9galement par une convergence des \u00e9quipes\u00a0?<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":" Les syst\u00e8mes d\u2019information op\u00e9rationnels sont omnipr\u00e9sents ; des usines de fabrication au mus\u00e9e en passant par les centres commerciaux ou les transports en communs. Par abus de langage, on les r\u00e9duit aux syst\u00e8mes d\u2019information industriels ou \u00e0 l\u2019OT. Ils accompagnent de mani\u00e8re discr\u00e8te nos moindres…<\/p>\n","protected":false},"author":51,"featured_media":195862,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1608],"tags":[6564,4363],"business_size":[682,683,681],"industry":[699,697],"help_mefind":[],"features":[],"type_security":[],"maintenance":[],"offer":[],"administration_tools":[],"cloud_offers":[],"listing_product":[6567,1552,1565,1530],"class_list":["post-195854","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-paroles-experts","tag-cybersecurite-industrielle","tag-la-cybersecurite-premiers-pas","business_size-eti","business_size-grande-entreprise","business_size-pme","industry-industrie-fr","industry-sante-et-etablissements-de-soin","listing_product-sni20-fr","listing_product-sni40-fr","listing_product-ses-fr","listing_product-sns-fr"],"acf":[],"yoast_head":"\nL\u2019omnipr\u00e9sence de l\u2019OT<\/h2>\n
Vincent Nicaise,<\/strong> Responsable des partenaires et de l'\u00e9cosyst\u00e8me industriels chez Stormshield<\/pre>\n<\/blockquote>\n
Les contraintes sp\u00e9cifiques de la s\u00e9curit\u00e9 OT<\/h2>\n
L\u2019OT face aux risques cyber<\/h2>\n
\n
De la n\u00e9cessit\u00e9 de l\u2019IT de comprendre l\u2019OT<\/h2>\n
Jean-Christophe Mathieu,<\/strong> Head of Industrial Security Orange Cyberdefense<\/pre>\n<\/blockquote>\n