Oakley Cox est Principal ICS Analyst chez le spécialiste en cybersécurité Darktrace. Il supervise la défense des infrastructures critiques et des systèmes de contrôle industriels. Oakley est certifié GIAC en matière de réponse et de défense industrielle (GRID). Il est également titulaire d’;un doctorat (PhD) de l’Université d’Oxford. Il dresse pour les lecteurs de SOlutions Numériques une liste des éléments essentiels pour garantir la protection des infrastructures critiques.
Les cyberattaques dirigées contre les infrastructures critiques (également désignées sous le
terme d’Opérateur d’Importance Vitale ou OIV) telles que les systèmes d’approvisionnement en eau ou les pipelines représentent une menace pour la sécurité nationale, économique et environnementale. C’est pourquoi les OIV nécessitent une stratégie de protection spécifique.
Dans ce domaine, les Etats-Unis sont des précurseurs : les attaques très médiatisées ayant
touché le pays ont incité l’administration Biden à à optimiser la sécurité des infrastructures
critiques américaines. Parmi les mesures, figure le National Security Memorandum on
Improving Cybersecurity for Critical Infrastructure Control Systems ainsi que l’allocation d’un budget de près de deux milliards de dollars dédié au renforcement de la sécurité des
infrastructures critiques pour “faciliter le déploiement de technologies et de systèmes qui
fournissent une visibilité, des indications, une détection et des alertes en cas de menace, et
qui facilitent les capacités de réponse en matière de cybersécurité dans les réseaux de
systèmes de contrôle essentiels et de technologies opérationnelles.”
De son côté, la France prend la mesure de la recrudescence des attaques visant le secteur
de la santé en pleine pandémie de Covid-19. Un plan annoncé par le gouvernement en
février dernier prévoit une enveloppe d’un milliard d’euros dédiée à la cybersécurité et la
création d’un Campus Cyber. Il réunira les principaux acteurs du secteur dans le cadre
d’un partenariat public-privé visant à faciliter le partage de compétences et stimuler les
projets de recherche. Une entreprise similaire a d’ailleurs vu le jour à l’échelle européenne
avec la création d’un Centre européen de compétences en matière de cybersécurité à
Bucarest en Roumanie.
Nous pouvons donc nous attendre à ce que, de la même manière que l’administration Biden, ces différentes entités émettent des recommandations en matière de technologies de sécurité, notamment en matière de protection des infrastructures critiques. Cela pourrait nous donner une indication des meilleures pratiques et des capacités technologiques requises pour garantir une protection optimale des OIV. En prévision de ces
recommandations, nous pouvons d’ores et déjà tenter d’établir une liste des éléments
essentiels pour garantir la protection des infrastructures critiques.
Aller au-delà de la cartographie et de la correction des CVE
Pendant des années, la communauté de la sécurité des technologies opérationnelles (OT) et des systèmes de contrôle industriel (ICS) a mis l’accent sur la cartographie et la correction des vulnérabilités et expositions communes (CVE). Le suivi des vulnérabilités est souvent nécessaire, mais la cartographie et la correction des vulnérabilités ne constituent pas à elles seules une stratégie suffisante pour armer les entreprises contre les cyberattaques.
Les failles connues ne représentent pas la totalité des risques, car les hackers tirent souvent parti de vulnérabilités inconnues appelées “zero-days” et utilisent des opérations légitimes qui ne sont pas reconnues comme malveillantes, à l’image de l’attaque SolarWinds. Ceci est particulièrement vrai pour les environnements de systèmes de contrôle, un tiers des failles ICS étant désignées comme zero-days lorsqu’elles sont divulguées.
Les appareils pour lesquels il n’existe pas ou peu de vulnérabilités connues sont parfois
insuffisamment étudiés, sans pour autant être plus sûrs. Par exemple, des millions de
dispositifs sont actuellement menacés par une vulnérabilité récemment découverte dans les
systèmes de contrôle utilisés dans des bâtiments – y compris le chauffage et la climatisation – et cela affecte également les PLC utilisés dans la fabrication et les équipements énergétiques.
Investir dans les bonnes technologies de sécurité
La stratégie de protection des OIV doit impérativement être renforcée par des technologies
de pointe, capables de répondre aux menaces plus récentes et plus sophistiquées. Les
derniers progrès de l’IA en matière de cybersécurité en font une technologie idéale pour
assurer la protection des infrastructures essentielles . Cependant, toutes les solutions
basées sur l’IA n’offrent pas les mêmes capacités, or des performances optimales sont
attendues et absolument nécessaires dans cinq domaines :
Visibilité sur les menaces – Une solution doit être à mesure d’obtenir une visibilité sur
l’écosystème, y compris tous les niveaux de Purdue, dans et autour de la DMZ. Elle se doit d’être agnostique en matière de protocole et de technologie et s’adapter à tout type d’environnement.
Indicateur – Les indicateurs sont essentiels, cependant, la compréhension du contexte doit permettre de mettre en évidence une activité en risque même lorsqu’elle n’est pas conforme aux indicateurs de compromission prédéfinis.
Détection – La force de L’IA réside dans sa capacité à comprendre les comportements
inhabituels plutôt que les règles et les signatures, ce qui lui permet de détecter, en amont,
même des attaques encore inconnues.
Alertes – Les professionnels de la sécurité sont souvent confrontés à un nombre jugé trop
important d’alertes de sécurité. L’IA doit permettre d’automatiser le traitement de ces alertes et de générer des rapports d’incidents adéquats, facilement lisibles, afin de libérer du temps et des ressources pour les équipes de sécurité.
Faciliter la réponse – L’IA doit également permettre de faciliter la réponse, limitant ainsi
l’intervention humaine tout en neutralisant les menaces à un stade précoce. Bien
évidemment.
Dans l’attente d’une véritable feuille de route technologique en matière de sécurité des OIV,
nous pouvons déjà identifier quelques pistes pour orienter le choix de technologies de
sécurité. L’IA en particulier offre de belles perspectives : en plus de sa capacité à stopper
des menaces sophistiquées, elle pourrait à terme aider à pallier la pénurie de talents en
cybersécurité que l’Etat souhaite adresser par le biais de son “plan cybersécurité”. Dans ce contexte où les effets de la multiplication des menaces sont amplifiés par le manque de
ressources, les solutions fondées sur l’IA vont s’avérer essentielles pour garantir la sécurité
des services qui permettent à nos sociétés de fonctionner.