AVIS D’EXPERT – Marc Coutelan, Senior Regional Sales Manager chez Nozomi Networks, évoque pour les lecteurs de Solutions Numériques & Cybersécurité l’importance de combiner la détection passive et active dans l’OT et l’IoT pour améliorer la cyber-résilience.
Longtemps, les sondes de sécurité surveillant les réseaux OT et les systèmes ICS dans les infrastructures critiques étaient fondées sur une approche passive. Cela, afin de minimiser les risques, de ne pas perturber les réseaux OT et ainsi exclure une implication active dans la surveillance.
La surveillance passive en temps réel offre une visibilité sur ces réseaux sans interférer avec le trafic et sans perturber les opérations. Il est essentiel de maîtriser ce qui est diffusé sur le réseau, mais aussi le moment et les moyens mis en place, pour recenser les équipements, gérer les vulnérabilités, assurer la visibilité des opérations et se défendre contre les cyberattaques. Mais alors que le paysage des cybermenaces évolue en permanence, la surveillance passive est insuffisante.
Fichiers de configuration et intégrations de données externes : 2 facteurs clés pour améliorer la surveillance passive
Les fichiers de configuration du système, lorsqu’ils sont disponibles, peuvent être importés pour compléter l’inventaire des équipements et donc améliorer la surveillance passive. Le fichier de configuration offre un aperçu des informations relatives à un système spécifique. Toutefois, les fichiers de configuration comportent certaines limites puisqu’ils ne sont pas toujours disponibles. De plus, certains fournisseurs ne partagent pas ces données et les fichiers deviennent obsolètes si les informations ne sont pas à jour.
Les environnements OT et ICS abritent également pléthore de technologies provenant de fournisseurs tiers externes. Des intégrations de données externes sont nécessaires pour compléter les informations sur les équipements des fournisseurs tiers avec les éléments déjà existants, dans le but de maintenir l’inventaire des équipements à jour. Le problème de l’intégration de données externes est qu’elle repose sur une technologie tierce qui n’est pas nécessairement disponible, et que les différentes sources peuvent avoir des niveaux de précision différents.
L’avantage de la surveillance passive est qu’elle permet une surveillance continue du réseau en exploitant les communications existantes. Cependant, elle peut impacter la précision du recensement des équipements, l’évaluation de la vulnérabilité et la surveillance des équipements qui ne transmettent pas d’informations. La surveillance active comble certaines des limites de la surveillance passive.
Détection active dans l’OT et l’IoT
Introduire la surveillance active dans les environnements OT et IoT est un virage majeur. Le scanning intégral suppose une augmentation du débit et une détérioration de l’utilisation des cycles CPU des terminaux, ce qui affecte les performances et la stabilité du réseau. Certaines solutions répondent à ces problèmes associés au scanning intégral en proposant une détection active via des requêtes actives et une reconnaissance active par des sondes de endpoints.
Détection active via des requêtes actives et une sonde sur les équipements
Contrairement au scanning classique, la détection active via des requêtes actives consiste à interroger les équipements sur la base de la connaissance de leurs capacités protocolaires, en exploitant des messages et des directives spécifiques susceptibles de renvoyer des informations utiles, sans affecter la stabilité de l’équipement. Il s’agit d’une condition indispensable pour les appareils embarqués, où les solutions basées sur des agents ne peuvent être hébergées.
La détection active est pertinente lorsque des équipements embarqués OT/IoT sont exploités et qu’il est alors impossible d’utiliser une sonde d’endpoint. Via des requêtes actives, elle offre ainsi une visibilité maximale sur les appareils embarqués et une évaluation renforcée des vulnérabilités. Par exemple, le fournisseur, le nom du produit et la version du micrologiciel d’une caméra CCTV ne sont pas disponibles par le biais de la détection passive. En recherchant activement ces informations, les vulnérabilités sont alors déterminées.
Ainsi, la présence d’une sonde d’endpoint accroît la visibilité jusqu’au terminal, et combine ainsi les détections de réseau, la surveillance du trafic dans l’équipement concerné et les détections de ressources. La surveillance globale du réseau offerte par une surveillance passive est alors complétée par une surveillance locale, transformant les équipements cibles en sondes eux-mêmes. Elle inclut la possibilité d’exécuter la détection via des requêtes actives, à partir du terminal lui-même. Cela permet une visibilité locale complète à partir de la sonde, sans dépendre des commutateurs et des câbles ainsi qu’une visibilité entière des équipements non connectés au réseau grâce à une collecte de données hors ligne.
Combiner la puissance des détections passive et active pour sécuriser les environnements OT et IoT
In fine, les plateformes permettant de combiner les surveillances passive et active sont l’une des solutions à privilégier dans le cadre de la sécurisation des environnements OT et IoT : elles fournissent une visibilité et une protection maximales sans compromettre la stabilité des réseaux et des points d’extrémité. Et l’enjeu est de taille : selon le rapport sécurité OT & IoT « Assessing the Threat Landscape » publié en février 2024 par Nozomi Networks, les anomalies et les attaques du réseau survenus dans les environnements OT et IoT représentent 38 % des menaces, soit la part la plus importante des menaces au cours de la seconde moitié de 2023.
Marc Coutelan