1. Home /
    2. Actualités générales /
  2. Technologies opérationnelles : une faille de sécurité sous-estimée
Technologies opérationnelles : une faille de sécurité sous-estimée
Actualités générales

Technologies opérationnelles : une faille de sécurité sous-estimée

À mesure que les bâtiments et les infrastructures critiques deviennent de plus en plus connectés, les systèmes de technologie opérationnelle tels que les interphones, la vidéosurveillance et les contrôles d’accès sont confrontés à des risques de cybersécurité croissants. Ce guide explique pourquoi la sécurité de technologie opérationnelle est importante, les principales menaces, les tendances clés et les meilleures pratiques exploitables.

Les bâtiments et les installations d’aujourd’hui s’appuient fortement sur des systèmes et des technologies connectés intelligents tels que les caméras réseau, les interphones, les ascenseurs, la climatisation, les alarmes incendie, etc. Ces technologies sont collectivement connues sous le nom de technologie opérationnelle (OT). De nombreux systèmes OT n’ont pas été conçus à l’origine avec cybersécurité car ils étaient souvent entrés par l’air. Aujourd’hui, la connectivité accrue de ces technologies les a rendues plus vulnérables aux cyberattaques.

La sécurité des technologies opérationnelles (OT) consiste à protéger ces systèmes connectés. Il ne s’agit pas seulement d’une question informatique, mais plutôt d’un risque commercial et d’un problème de sécurité croissant.

Qu’est-ce que la sécurité des technologies opérationnelles (OT) ?

Sur le marché de la sécurité physique, la technologie opérationnelle (OT) comprend tous les systèmes et appareils qui surveillent ou contrôlent l’accès physique, la sécurité et les conditions environnementales. La sécurité OT fait donc référence à la protection de ces systèmes contre les cybermenaces, les accès non autorisés, les falsifications et les perturbations opérationnelles.

Principaux systèmes de sécurité physique qui relèvent de l’OT :

  • Systèmes de contrôle d’accès (p. ex., lecteurs de badges, scanners biométriques)
  • Systèmes de surveillance (caméras IP, NVR, plates-formes VMS)
  • Systèmes d’interphonie et de communication d’urgence
  • Systèmes de détection d’intrusion et d’alarme
  • Systèmes de sécurité incendie
  • Systèmes de gestion technique des bâtiments (GTB)

Risques liés au système OT

La sécurité OT sur le marché de la sécurité physique devient de plus en plus critique, car les systèmes de sécurité physique, tels que la vidéosurveillance, le contrôle d’accès, les interphones, les alarmes et l’automatisation des bâtiments, sont désormais connectés par IP et intégrés dans des réseaux informatiques plus larges. Cette convergence expose l’infrastructure physique à des cybermenaces qui n’étaient auparavant une préoccupation que pour les systèmes informatiques traditionnels. Énumérons quelques-uns des risques des systèmes OT.

Risque cyber-physique

Un système de contrôle d’accès piraté peut déverrouiller les portes. Un système vidéo compromis peut être masqué ou utilisé pour la surveillance. Comme le  révèle une étude récente de BitSight,  40 000 caméras de sécurité sont exposées au piratage à distance.

Exposition au réseau

La plupart des dispositifs de sécurité physique modernes sont basés sur IP, ce qui signifie qu’ils peuvent être consultés ou exploités sur des réseaux s’ils ne sont pas correctement sécurisés.

Risques liés à la chaîne d’approvisionnement

De nombreux appareils proviennent de tiers. Si ces fournisseurs ne suivent pas de bonnes pratiques de cybersécurité, ils peuvent introduire des vulnérabilités dans votre environnement.

Pression de la conformité

Des réglementations telles que NIS2, GDPR et IEC 62443 exigent de plus en plus que les organisations traitent les systèmes physiques dans le cadre de leur posture globale de cybersécurité.

Augmentation de la surface d’attaque

Les systèmes de sécurité physique sont souvent négligés dans les stratégies de cybersécurité, ce qui en fait des outils à portée de main pour les attaquants.

Principales pratiques de sécurité OT pour le secteur de la sécurité physique

Une caméra de surveillance, un interphone ou un panneau de contrôle d’accès compromis peut devenir un point d’entrée dans votre réseau plus large ou même être utilisé pour perturber des opérations critiques. C’est pourquoi la sécurité OT est essentielle pour maintenir à la fois la sécurité et l’intégrité de la cybersécurité. Voici quelques-unes des meilleures pratiques en matière de sécurité OT dans le secteur de la sécurité physique

Vous n’avez pas besoin d’être technique pour comprendre les principes de base :

Sachez ce que vous avez et surveillez-le

Vous ne pouvez pas protéger ce dont vous ignorez l’existence. Tenez à jour un inventaire détaillé de tous les appareils de sécurité physiques connectés, de leurs configurations et des versions du micrologiciel. Un micrologiciel obsolète peut être un vecteur d’attaque courant. Maintenez une routine pour :

  • Mises à jour du micrologiciel provenant de fournisseurs de confiance.
  • Correctifs d’urgence pour les vulnérabilités connues.
  • Tests avant déploiement à grande échelle.

Soyez prêt en cas d’incident

Ayez un plan d’intervention conçu spécifiquement pour l’OT. Ne présumez pas que votre plan d’intervention informatique fonctionnera. Considérez-le comme une préparation à toute situation d’urgence : vous espérez ne jamais avoir à l’utiliser, mais si vous en avez besoin et que vous y êtes préparé, vous serez heureux de l’avoir.

Construisez une architecture défendable

Combinez des barrières physiques avec des protections numériques. Gardez les réseaux OT séparés de l’informatique. Limitez l’accès aux systèmes cruciaux à l’aide du principe du moindre privilège. Définissez des autorisations basées sur les rôles, auditez les journaux d’accès et désactivez les comptes inutilisés. Renforcez vos appareils en modifiant immédiatement les informations d’identification par défaut, en désactivant les ports et les services inutilisés.

Cinq tendances à connaître

L’OT et l’IT convergent

Les systèmes de technologie opérationnelle (OT), autrefois isolés et conçus principalement pour être stables, sont maintenant intégrés aux réseaux informatiques modernes pour prendre en charge le partage de données en temps réel, l’automatisation, le contrôle à distance et pour réduire la duplication des efforts et des investissements en R&D. Cette convergence améliore la productivité et la visibilité opérationnelle, mais elle élargit également la surface d’attaque.

Les outils de sécurité informatique traditionnels, avec leurs points de départ différents, peuvent ne pas bien s’adapter aux environnements OT, qui privilégient le temps de fonctionnement et la sécurité plutôt que les correctifs et l’analyse. Les équipes de sécurité doivent désormais gérer les deux domaines et adapter leurs outils et stratégies en conséquence.

Les régulateurs interviennent

Les gouvernements et les organismes industriels des États-Unis, de l’UE et d’autres régions n’attendent plus que les entreprises s’autorégulent. Les risques économiques et sociétaux sont devenus trop importants pour être ignorés. Les organismes de réglementation, les assureurs et les organismes sectoriels introduisent des exigences obligatoires en matière de cybersécurité. Il s’agit notamment du maintien de niveaux de sécurité élevés, du signalement obligatoire des incidents et de contrôles d’accès robustes. La sécurité est désormais une exigence de base pour faire des affaires.

Les fournisseurs font partie de votre défense

Dans les chaînes d’approvisionnement numériques d’aujourd’hui, l’intégration d’un nouveau système ou appareil signifie hériter des pratiques de sécurité de ses fournisseurs. La gestion des risques liés aux tiers est donc essentielle. Heureusement, de nombreux fournisseurs s’intensifient, adoptent des pratiques de développement sécurisées, améliorent la transparence et intègrent des protections plus robustes. Le choix direct de partenaires de confiance renforce votre posture globale en matière de cybersécurité.

L’utilisation de l’IA augmente des deux côtés

Les défenseurs et les attaquants utilisent de plus en plus l’intelligence artificielle. Du côté de la défense, l’IA permet de détecter les anomalies, de prédire les menaces et d’automatiser les réponses. Du côté offensif, les attaquants l’utilisent pour découvrir des vulnérabilités, élaborer des campagnes de phishing plus convaincantes et contourner les défenses. Pour garder une longueur d’avance, il faut adopter l’IA de manière stratégique tout en étant conscient de ses limites.

Le Zero Trust arrive dans l’OT

Le modèle Zero Trust, qui est essentiellement « vérifier d’abord, et ne faire confiance que lorsque le résultat est correct » en tant que principe, qui a longtemps été utilisé dans l’informatique, est maintenant appliqué aux environnements OT. Cette approche suppose qu’aucun système, utilisateur ou appareil n’est intrinsèquement digne de confiance, pas même ceux à l’intérieur du réseau. Chaque demande d’accès doit être vérifiée et surveillée en permanence. Bien que la mise en œuvre puisse être difficile dans l’OT en raison de l’infrastructure existante et des exigences de disponibilité, le Zero Trust devient de plus en plus essentiel pour prévenir et arrêter les pirates dans leur élan.

Cadres de cybersécurité largement connus :

Les normes de sécurité OT fournissent un cadre pour sécuriser les systèmes de technologie opérationnelle (OT), qui contrôlent les processus et les infrastructures industriels critiques. Il s’agit des cadres réglementaires de cybersécurité OT largement connus et acceptés

ISA/IEC 62443la norme mondiale de référence en matière de sécurité OT

Une série de normes axées sur la cybersécurité pour les systèmes d’automatisation et de contrôle industriels (IACS), couvrant des aspects tels que l’évaluation des risques, les politiques de sécurité, la segmentation du réseau et la réponse aux incidents.

NIST SP 800-82Directives américaines sur la sécurisation des systèmes industriels

Un cadre qui fournit des conseils sur l’amélioration de la capacité d’une organisation à gérer et à réduire les risques de cybersécurité, y compris ceux liés à l’OT.

ISO/CEI 27001 pour la gestion de la sécurité de l’information

ISO/IEC 27001 est une norme complète de sécurité de l’information applicable aux environnements IT et OT. Il se concentre sur l’évaluation des risques, la réponse aux incidents et la sécurisation des flux de données entre les systèmes IT et OT, en veillant à ce que les organisations adoptent une approche cohérente et sécurisée de la gestion de l’information.

Questions clés

Ces cinq questions peuvent vous aider à déterminer si votre environnement OT est vraiment sécurisé :

  1. Certains de nos systèmes OT sont-ils connectés à des réseaux au-delà de leur champ d’application ? (Par exemple, exposé à Internet ou aux réseaux d’entreprise sans pare-feu ?)
  2. Qui a accès à ces systèmes et cet accès est-il strictement géré ? (Les titres de compétences font-ils l’objet d’une rotation ? L’authentification multifacteur est-elle utilisée ?)
  3. Disposons-nous d’un inventaire complet de nos appareils et logiciels OT ? (Vous ne pouvez pas protéger ce que vous ne savez pas que vous avez.)
  4. Surveillons-nous activement les activités inhabituelles ? (Tant au niveau du réseau qu’au niveau du point de terminaison ?)
  5. Disposons-nous d’un plan testé en cas de mise hors ligne ou d’attaque d’un système OT critique ? (Le temps de récupération est-il acceptable ? La communication est-elle coordonnée ?)

En conclusion

Les systèmes OT sont l’épine dorsale de la sécurité physique, mais ils ne sont aussi solides que la cybersécurité qui les protège. Vous n’avez pas besoin d’un investissement massif pour faire la différence. La plupart des menaces peuvent être bloquées grâce à une cyber-hygiène de base : une visibilité claire, une séparation du réseau, un accès limité et un plan de réponse qui fonctionne réellement.

En mettant en œuvre une stratégie de défense et en s’attaquant de manière proactive aux principales vulnérabilités, les organisations peuvent mieux protéger leur personnel et leur infrastructure.

Que vous exploitiez un bâtiment intelligent, gériez des infrastructures critiques ou protégiez des centres de transport, la sécurité OT devrait être un élément essentiel de votre stratégie de sécurité.