![\"Cybers\u00e9curit\u00e9](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-2139979531-300x169.jpg\" "\\"Contributeur")
<\/p>\n<\/p>\n
L\u2019ann\u00e9e 2021 aura \u00e9t\u00e9 une annus horribilis<\/em> pour les sous-traitants, c\u00f4t\u00e9 IT. Les cyberattaques contre Gitlab, SolarWinds ou encore Kaseya ont en effet d\u00e9montr\u00e9 que les prestataires de services peuvent \u00eatre un vecteur d\u2019infection impactant plusieurs dizaines de milliers de clients \u00e0 travers le monde. Dans le m\u00eame temps, c\u00f4t\u00e9 OT, les sous-traitants sont nombreux, en charge de la maintenance et de l\u2019exploitation des installations. Avec des r\u00e9seaux industriels sensibles par nature, la situation a tout d\u2019un cocktail explosif. Mais comment l\u2019anticiper et s\u2019en prot\u00e9ger\u00a0?<\/strong><\/p>\n \u00c9l\u00e9ments de r\u00e9ponse face \u00e0 cette question de la s\u00e9curit\u00e9 de la sous-traitance dans l\u2019OT.<\/p>\n <\/p>\n Premi\u00e8re question d\u2019importance ici\u00a0: qui sont les sous-traitants dans le monde de l\u2019OT\u00a0?<\/strong> Les sous-traitants industriels interviennent quand le donneur d\u2019ordre n\u2019a pas les comp\u00e9tences ou la capacit\u00e9 d\u2019intervenir en propre. Int\u00e9grateurs et autres soci\u00e9t\u00e9s de maintenance en sont les acteurs classiques, et sont encore aujourd\u2019hui per\u00e7us comme des maillons faibles de la cha\u00eene de s\u00e9curit\u00e9 de l\u2019environnement OT. Mais dans les faits, d\u2019autres acteurs de sous-traitance peuvent \u00e9galement \u00eatre une menace, comme les bureaux d\u2019\u00e9tude et les fournisseurs de composants ou de sous-syst\u00e8mes par exemple. En contact avec les entreprises industrielles, ils font partie de la cha\u00eene de sous-traitance et sont donc par analogie une cible pour les cyber-criminels. Parce qu\u2019ils interviennent pour des actions de sp\u00e9cifications du syst\u00e8me, de conception, de d\u00e9veloppement, d\u2019int\u00e9gration, de mise en service, de validation d\u2019un syst\u00e8me ou de maintenance, ils sont amen\u00e9s \u00e0 partager des documents confidentiels quand les fournisseurs sont connect\u00e9s au syst\u00e8me d\u2019informations de l\u2019entreprise cibl\u00e9e.<\/p>\n La question de la maturit\u00e9 cyber des sous-traitants dans l\u2019OT devient plus centrale que jamais. La faible adoption historique des bonnes pratiques de cybers\u00e9curit\u00e9 contribue \u00e0 la fragilit\u00e9 actuelle de ces acteurs \u2013 dont le m\u00e9tier est de g\u00e9rer le fonctionnement des automatismes \u2013 et par extension celles de leurs clients industriels.<\/em><\/p><\/blockquote>\n Face aux actualit\u00e9s de l\u2019ann\u00e9e 2021, la question de la maturit\u00e9 cyber des sous-traitants dans l\u2019OT devient plus centrale que jamais<\/strong>. La faible adoption historique des bonnes pratiques de cybers\u00e9curit\u00e9 contribue \u00e0 la fragilit\u00e9 actuelle de ces acteurs \u2013 dont le m\u00e9tier est de g\u00e9rer le fonctionnement des automatismes \u2013 et par extension celles de leurs clients industriels. Chaque maillon peut alors devenir un vecteur d\u2019infection du reste de la cha\u00eene industrielle. D\u2019autant plus quand, du fait d\u2019une long\u00e9vit\u00e9 de plusieurs dizaines d\u2019ann\u00e9es, les \u00e9quipes en place n\u2019ont pas une connaissance fine de l\u2019historique des modifications des \u00e9quipements (comme des changements de composants, l\u2019ajout et la suppression d\u2019automate jusqu\u2019\u00e0 la perte d\u2019historisation des modifications sur les architectures de production). Les inventaires et cartographies ne sont que rarement tenus sur de longues dur\u00e9es, ce qui occasionne des situations risqu\u00e9es o\u00f9 le Shadow OT<\/a><\/em> se r\u00e9pand dans les environnements industriels. Avec l\u2019exemple classique de l\u2019int\u00e9grateur qui va acheter un routeur 4G dans un magasin de grande distribution pour assurer la maintenance de l\u2019installation car il n\u2019a pas d\u2019autre possibilit\u00e9 pour t\u00e9l\u00e9charger les mises \u00e0 jour...<\/p>\n Mais il faut reconna\u00eetre \u00e9galement que cette responsabilit\u00e9 doit \u00eatre partag\u00e9e par les entreprises industrielles qui ne leur imposent pas (suffisamment\u00a0?) d'exigences de cybers\u00e9curit\u00e9<\/strong>. Si les acc\u00e8s physiques des sous-traitants sont contr\u00f4l\u00e9s sur les infrastructures industrielles, leurs \u00e9quivalents num\u00e9riques ne suivent pas (encore) la m\u00eame logique. Et les m\u00e9thodes et outils de surveillance et de contr\u00f4le des acc\u00e8s \u00e0 distance sont \u00e0 ce jour trop souvent absents dans les faits.<\/p>\n <\/p>\n Pour s\u2019assurer d\u2019une certaine maturit\u00e9 des sous-traitants, le responsable de la s\u00e9curit\u00e9 OT peut toutefois s\u2019appuyer sur plusieurs normes de bonnes pratiques de cybers\u00e9curit\u00e9.<\/strong><\/p>\n La plus connue dans l\u2019univers industriel est sans contestation le r\u00e9f\u00e9rentiel IEC 62443<\/a>. Pragmatique, il est d\u00e9di\u00e9 \u00e0 la cybers\u00e9curit\u00e9 dans les milieux industriels en proposant des bonnes pratiques et en \u00e9valuant le niveau de maturit\u00e9 des composants industriels. En d\u00e9tails, le cahier IEC 62443-2-4 d\u00e9crit les exigences de s\u00e9curit\u00e9 pour l\u2019ensemble des fournisseurs de services\u00a0; ils couvrent une douzaine de sujets dont les enjeux des acc\u00e8s \u00e0 distance, du sans fil et de la gestion des configurations. Mais le responsable de la s\u00e9curit\u00e9 OT peut aussi s\u2019appuyer sur des normes qui viennent de l\u2019IT, \u00e0 l\u2019image de la norme ISO\/IEC 27001. Cette norme est d\u00e9di\u00e9e au management des syst\u00e8mes d\u2019information et permet de d\u00e9finir les exigences relatives \u00e0 la mise en place d\u2019un SMSI (syst\u00e8me de management de la s\u00e9curit\u00e9 de l\u2019information). La m\u00e9thodologie de cette norme permet d\u2019identifier, d\u2019\u00e9valuer et de traiter le risque cyber au travers d\u2019un plan de gestion. Issue de la m\u00eame famille, la norme ISO\/IEC 27036 est une norme internationale d\u00e9di\u00e9e aux relations entre le client et le fournisseur. Elle permet d\u2019\u00e9tablir les r\u00e8gles de s\u00e9curisation d\u2019un syst\u00e8me d\u2019information dans un contexte d\u2019\u00e9change de donn\u00e9es avec un tiers. Toutes ces normes sont structurantes pour la fili\u00e8re industrielle et permettent de prendre en compte les pr\u00e9rogatives et enjeux organisationnels et op\u00e9rationnels de la cybers\u00e9curit\u00e9 des environnements OT. De son c\u00f4t\u00e9, l\u2019ANSSI a \u00e9galement publi\u00e9 un r\u00e9f\u00e9rentiel<\/a> intitul\u00e9 \u2018Exigences de cybers\u00e9curit\u00e9 pour les prestataires d\u2019int\u00e9gration et de maintenance de syst\u00e8mes industriels<\/em>\u2019. Bien qu\u2019\u00e9dit\u00e9 en 2016, il reste toujours d\u2019actualit\u00e9.<\/p>\n La structure documentaire du r\u00e9f\u00e9rentiel IEC 62443<\/em><\/p><\/div>\n Mais comment choisir un sous-traitant tout en s\u2019assurant qu\u2019il int\u00e8gre les bonnes pratiques de cybers\u00e9curit\u00e9\u00a0?<\/strong> Une question centrale qui doit intervenir d\u00e8s la phase d\u2019appel d\u2019offres. L\u2019un des premiers leviers est de bien choisir son prestataire par l\u2019\u00e9valuation de son niveau de s\u00e9curit\u00e9 lors de la soutenance. Pour se faire, il est imp\u00e9ratif que le RSSI du client soit pr\u00e9sent et qu\u2019il soit possible de v\u00e9rifier que les bonnes pratiques de cybers\u00e9curit\u00e9 soient int\u00e9gr\u00e9es et mises en place dans les fonctions techniques et organisationnelles de l\u2019entreprise sous-traitante. Cette \u00e9tape d\u2019\u00e9valuation peut \u00e9galement se faire au travers d\u2019un audit de s\u00e9curit\u00e9 par l\u2019interm\u00e9diaire d\u2019un prestataire ind\u00e9pendant. Ces audits doivent se syst\u00e9matiser tous les ans ou tous les deux ans sur l\u2019ensemble des prestataires. Un autre moyen de s\u2019assurer de la qualit\u00e9 d\u2019un prestataire est d\u2019imposer des exigences dans la relation contractuelle. Dans les appels d\u2019offres, de v\u00e9ritables clauses relatives \u00e0 l\u2019int\u00e9gration des exigences de cybers\u00e9curit\u00e9 doivent \u00eatre int\u00e9gr\u00e9es. Ces clauses doivent par exemple contenir les exigences de l\u2019application d\u2019une PSSI (politique de s\u00e9curit\u00e9 du syst\u00e8me d\u2019information) chez le sous-traitant et d\u2019une sensibilisation \u00e0 la cybers\u00e9curit\u00e9 des \u00e9quipes qui viennent installer et maintenir les \u00e9quipements sur site. L'identification d\u2019un r\u00e9f\u00e9rent cyber est \u00e9galement indispensable, tout comme la pr\u00e9sence d\u2019une SLA (service-level agreement<\/em>) sp\u00e9cifique au patching de s\u00e9curit\u00e9. Enfin, il est essentiel d\u2019inclure dans ces clauses la description de la m\u00e9thode de communication entre le sous-traitant et son client en cas d\u2019incident de s\u00e9curit\u00e9. Tous ces points (et d\u2019autres encore) devant faire partie int\u00e9grante de la note de soutenance qui sera attribu\u00e9e \u00e0 chaque prestataire, avant l\u2019accord final et la validation du RSSI de l\u2019entreprise \u00e9mettrice de l\u2019appel d'offres. Pour la r\u00e9daction de votre cahier des charges \u00e0 direction des prestataires d\u2019administration et de maintenance, le r\u00e9f\u00e9rentiel PAMS<\/a> de l\u2019ANSSI s\u2019av\u00e8re d\u2019une pr\u00e9cieuse aide.<\/p>\n <\/p>\n Mais la question de la s\u00e9curit\u00e9 de la chaine des sous-traitants doit \u00e9galement \u00eatre prise en compte du c\u00f4t\u00e9 des industriels<\/strong>. Et ce, \u00e0 plusieurs niveaux.<\/p>\n Au niveau des \u00e9quipements d\u00e9j\u00e0, certains industriels appliquent une phase d\u2019auto-certification interne et cela avant toute installation d\u2019un nouveau mat\u00e9riel ou d\u2019un nouveau syst\u00e8me. Cette pratique permet de certifier la conformit\u00e9 des machines industrielles re\u00e7ues en se basant sur un cahier des charges d\u00e9velopp\u00e9 par le client lui-m\u00eame. Ce cahier des charges contient les r\u00e8gles et bonnes pratiques de cybers\u00e9curit\u00e9. Associ\u00e9 \u00e0 un MCS (Maintien en Condition de S\u00e9curit\u00e9), le client poss\u00e8de ainsi la capacit\u00e9 de s\u2019assurer qu\u2019il n\u2019int\u00e8gre pas un \u00e9quipement ou un syst\u00e8me vuln\u00e9rable \u00e0 son environnement de production. D\u2019un point de vue organisationnel ensuite, une bonne pratique est de nommer des r\u00e9f\u00e9rents cybers\u00e9curit\u00e9 dont la mission est de s\u2019assurer de l\u2019application des r\u00e8gles de la PSSI dans les environnements de production dans chaque usine. Un r\u00e9f\u00e9rent qui peut \u00eatre un responsable d\u2019usine ou un automaticien ayant une app\u00e9tence et des connaissances dans la gestion des r\u00e9seaux, et qui vient soulager le RSSI qui ne peut pas \u00eatre pr\u00e9sent chaque jour sur les diff\u00e9rents sites industriels. En compl\u00e9ment et dans le but d\u2019endiguer le ph\u00e9nom\u00e8ne de Shadow OT<\/em>, il est \u00e9galement conseill\u00e9 d\u2019effectuer une cartographie des flux et des diff\u00e9rents \u00e9quipements et composants utilis\u00e9s dans l\u2019environnement industriel. La cartographie s\u2019effectue au travers de sondes qui vont d\u00e9couvrir et inventorier les \u00e9l\u00e9ments pr\u00e9sents sur les r\u00e9seaux. Pour faire face aux nombreuses modifications de l\u2019environnement de production, cette cartographie doit \u00eatre mise \u00e0 jour de mani\u00e8re r\u00e9guli\u00e8re. En compl\u00e9ment, il est n\u00e9cessaire d\u2019interdire aux \u00e9quipes de connecter des \u00e9quipements r\u00e9seaux suppl\u00e9mentaires et d\u2019ainsi contourner la DSI, en pensant gagner du temps d\u2019intervention.<\/p>\n Dernier point et non des moindres, avant d\u2019imposer des r\u00e8gles aux sous-traitants et fournisseurs, il est imp\u00e9ratif de mettre en place des infrastructures pouvant les accueillir. Les actions les plus r\u00e9pandues sont la cr\u00e9ation d\u2019une DMZ (demilitarized zone<\/em>) par fournisseur, la fourniture d\u2019acc\u00e8s VPN ou encore la mise en place d\u2019outils s\u00e9curis\u00e9s de prise en main \u00e0 distance. Des m\u00e9canismes de contr\u00f4le des acc\u00e8s ou encore une solution de filtrage de donn\u00e9es appel\u00e9e DLP (Data Leak Prevention<\/em>) permettent ensuite de s\u2019assurer que les donn\u00e9es qui sont \u00e9chang\u00e9es avec le prestataire le sont bien dans un cadre l\u00e9gitime.<\/p>\n Face \u00e0 ce besoin d\u2019accompagnement, plusieurs initiatives se sont d\u00e9velopp\u00e9es ces derni\u00e8res ann\u00e9es. Sur l\u2019aspect de la formation, en France, l\u2019institut de r\u00e9gulation et d\u2019automation propose la formation CYB-OT<\/a>, formation d\u00e9di\u00e9e \u00e0 la cybers\u00e9curit\u00e9 des syst\u00e8mes industriels. En parall\u00e8le, des groupements d\u2019acteurs de la fili\u00e8re industrie se sont \u00e9galement form\u00e9s, comme le GIMELEC.<\/strong> Ce groupement est compos\u00e9 d\u2019\u00e9diteurs, constructeurs et int\u00e9grateurs du domaine de la cybers\u00e9curit\u00e9 industrielle. Sa mission est notamment de produire du contenu informationnel \u00e0 destination des entreprises industrielles dans le but de faire monter en maturit\u00e9 les d\u00e9cideurs sur les probl\u00e9matiques de la cybers\u00e9curit\u00e9. \u00c0 ce titre et via son club GIMELEC Cyber OT, elle vient de publier son premier guide p\u00e9dagogique sur la cybers\u00e9curit\u00e9 OT<\/a> \u00e0 destination des d\u00e9cideurs informatiques.<\/p>\n <\/p>\nSous-traitance OT : un surplus de risques \u00e0 prendre en compte<\/h2>\n
Un ensemble de normes et r\u00e9f\u00e9rentiels pour encadrer la sous-traitance OT<\/h2>\n
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/stormshield-fr-iec-table-scaled-e1618485464165.jpg\")
Sous-traitance OT\u00a0: une responsabilit\u00e9 des entreprises industrielles<\/h2>\n