Sécuriser le réseau OT des industriels est un projet vital. En effet, la disponibilité des systèmes OT, souvent anciens et vulnérables, ne peut être traitée à la légère. En parallèle de ce constat, il semble que les utilisateurs qui demandent une plus grande sécurité pour le réseau OT soient les mêmes qui réclament plus d’accès aux systèmes OT, depuis le réseau informatique. Dans un premier temps, les technologies de sécurité utilisées par les organisations déploient en premier sont les pare-feux. Oui, mais est-ce réellement suffisant ? Dans les faits, plusieurs risques existent : les réseaux de pare-feu exécutent des tâches qui peuvent être piratées, des erreurs de configuration, une pression des équipes qui gèrent les firewalls.
Alors, comment faire ? L’approche data diodes ?
Un bon moyen de protéger son environnement OT est de se tourner vers les « data diodes ». Les fournisseurs de « data diodes » peuvent dire en toute honnêteté qu’ils protègent contre toutes les attaques de l’IT vers le réseau OT. Mais leur coût est prohibitif. Ici, nous entendons le coût de la productivité, car les utilisateurs habitués à une interaction bidirectionnelle en temps réel avec les systèmes OT réalisent qu’ils devront physiquement accéder aux systèmes qu’ils ont l’habitude d’utiliser.
L’alternative de l’approche Electronic Air Gap
Elle permet aux utilisateurs de réaliser des communications bidirectionnelles complètes entre les réseaux IT et OT, tout en offrant la même protection contre les attaques de couche réseau que les fournisseurs de « data diodes ». L’Electronic Air Gap repose sur une technologie innovante. Il y a trois processus distincts dans cette technologie. Ils sont implémentés sur trois circuits imprimés distincts au sein du dispositif.
Dans le premier processus, chaque paquet IP en provenance du réseau informatique est dépouillé des couches 1 à 4. Le deuxième processus transmet la charge utile au troisième processus, sans aucune information de couche 1-4. Dans le troisième processus, les couches 1 à 4 sont reconstruites, sans aucun code malveillant qui aurait pu s’y trouver à l’origine. Les couches 5 et 7 du paquet d’origine sont ajoutées aux couches reconstruites 1 à 4 ; le paquet entier est transmis au réseau OT. Étant donné que l’Electronic Air Gap détruit puis recrée l’intégralité des couches 1 à 4 de chaque paquet IP, il rend physiquement impossible la transmission de toute attaque de réseau ou de couche de transport dans le réseau OT. Le réseau OT dispose alors du plus haut niveau de protection contre les cyberattaques du réseau.
Enfin, il est aussi possible d’implémenter un pare-feu de couche application en ligne avec un Electronic Air Gap. Le pare-feu de la couche application peut être configuré pour bloquer les attaques connues sur les applications, bases de données et protocoles particuliers trouvés sur le réseau OT.
Par Xavier FACELINA, CEO de Seclab