Ne négligez pas la convergence TI\OT
Alors que la convergence est à nos portes, la résistance est futile. Longtemps considérées comme des fiefs distincts au sein de la plupart des fabricants, les technologies de l'information (TI) et les technologies opérationnelles (OT) se fusionnent de plus en plus. L'intégration de ces deux domaines devient bientôt une pratique exemplaire qui rationalise les investissements et contribue à l'agilité organisationnelle. Mais si la convergence présente de réels avantages, elle comporte de nouveaux risques du point de vue de la cybersécurité. À l’heure actuelle, le modèle standard de cybersécurité informatique ne suffit pas pour les OT.
En bref: ce qui protège les TI ne protège pas nécessairement les OT
Dans une récente enquête de TrapX Security publiée sur le blog Security, 53 % des professionnels en cybersécurité des manufacturiers américains déclarent que leur infrastructure OT est vulnérable aux cyberattaques. Et ce, même s’ils disposent déjà d'une équipe dédiée à la cybersécurité. Aussi, 58 % d'entre eux déclarent utiliser une stratégie et des tactiques communes pour protéger à la fois les TI et les OT. Selon une étude conjointe du SANS Institute et du fabricant de pare-feu Fortinet, 74 % des organisations ont subi des intrusions de malware au cours de l'année dernière, ce qui a eu des répercussions sur la productivité, les revenus, la confiance dans la marque, la propriété intellectuelle et la sécurité physique de l’entreprise.
Convergence IT / OT - L'exemple de Merck
Les sociétés pharmaceutiques sont réputées pour leur prudence en matière de cybersécurité. Elles sont conscientes de la menace que peuvent représenter les attaques informatiques. Mais en 2017, le rançongiciel NotPetya a paralysé 30 000 postes de travail et 7 500 serveurs et ce n'était qu'une couverture pour une attaque encore plus sévère visant à fermer les infrastructures critiques de Merck. L'attaque, déguisée pour ressembler à un rançongiciel "grand public", a en fait livré un paquet visant à paralyser l'infrastructure OT de l’organisation. Le résultat final : arrêt complet de la production d'un médicament clé. Il a fallu 18 mois à Merck pour combler le déficit de production et a coûté au fabricant plus de 1,3 milliard de dollars. Vous pouvez tout lire sur le piratage de Merck ici.
En quoi le risque des OT est-il différent de celui des TI ?
Vos systèmes OT sont très différents de vos systèmes TI. À moins que vous ne soyez une jeune entreprise, votre système d'OT a probablement été développé dans un environnement plus isolé, à l'écart du monde féroce de l'Internet. L'industrie 4.0 et l'avènement des réseaux d'OT signifient que ses systèmes d'OT traditionnels sont de plus en plus exposés à des cyberattaques potentielles. Celui-ci est constitué de systèmes d'exploitation spécifiques, de contrôleurs ICS, de SCADA et même de dispositifs IoT. Certes, les systèmes de cybersécurité informatique traditionnels comme les pare-feu et les SIEM offrent une certaine protection, mais les outils comme les antivirus ne sont pas conçus pour protéger vos systèmes d'OT. S'il est difficile de les protéger efficacement, il faut, à tout le moins, les surveiller en permanence pour détecter les indicateurs de compromission.
Surcharge d'alertes
De plus, du côté des TI, les organisations sont déjà confrontées à plusieurs défis en matière de threat intelligence (ou « renseignement sur les menaces ») et de réponses aux alertes de sécurité. Lorsque vous ajoutez tous les nouveaux vecteurs de menace engendrés par les OT, cette charge peut rapidement devenir ingérable. C'est ce qu'on appelle la surcharge d'alertes.
Dans un article paru en 2019 sur le blog populaire Security Boulevard, les responsables de la sécurité ont classé la surcharge d'alertes parmi les trois principaux problèmes des équipes de sécurité. L'article cite également une étude de Fidelis Cybersecurity où 67% des cadres en technologie de l’information ont identifié la surcharge d'alertes comme un défi majeur.
Si votre organisation dispose d'une petite équipe SOC ou d'aucune ressource spécialisée en matière de cybersécurité et que votre département informatique se charge de répondre aux alertes de sécurité, sachez que la situation peut rapidement dégénérer.
Une technologie qui répond aux deux enjeux
La solution est la surveillance de la sécurité des réseaux. Pour les manufacturiers, il existe une technologie qui répond à la fois à la difficulté de protéger l'infrastructure OT et à la menace d'une surcharge d'alertes paralysant votre capacité de réaction.
Protéger les TI et les OT
La surveillance de la sécurité des réseaux (détection des menaces et la détection des intrusions) fonctionne différemment des solutions comme les pare-feu, les SIEM, les antivirus et les EDR, qui tentent de bloquer les menaces au niveau du périmètre de votre réseau. Bien qu'ils jouent un rôle essentiel dans votre posture de sécurité globale, ces systèmes ont tous deux facteurs limitants. Comme ils sont souvent basés sur les signatures, ils ne peuvent détecter que les menaces connues. Tant qu'une menace n'a pas été documentée et que votre système n'a pas été mis à jour, vous n'avez aucune protection contre celle-ci. L'autre inconvénient est la nécessité pour votre équipe de sécurité de passer au travers d’une montagne d'alertes, d'évaluer puis de prendre des mesures face à ses importantes menaces.
Les technologies de surveillance des réseaux des plus avancés (comme le CDS de StreamScan) utilisent l'IA et l'apprentissage machine pour identifier les indicateurs de compromission générés par les appareils (y compris les dispositifs OT). Elles mettent la machine compromise automatiquement en quarantaine et bloquent l’attaque. De plus, ce type de technologie peut fournir une couche de protection supérieure et essentielle en appui aux défenses de votre périmètre. Elles peuvent fournir une visibilité sur les TI, les OT, l'infrastructure et les applications dans le cloud.
Comme elles sont principalement basées sur l’IA, ces technologies peuvent détecter même les attaques de type "zero-day" grâce au profilage comportemental. La surveillance de la sécurité des réseaux est également votre seule ligne de défense contre les menaces qui traversent votre périmètre. Selon des recherches menées en 2018 par le Ponemon Institute, le temps moyen nécessaire pour détecter une violation de données est de 128 jours. Avec la surveillance des réseaux, ce chiffre tombe à quelques minutes.
Régler la surcharge d'alertes
Les environnements de sécurité actuels sont... plutôt étourdissants. Du fait qu'ils identifient de nombreuses menaces, qu’ils génèrent plusieurs alertes qui doivent être toutes évaluées et auxquelles il faut remédier.
Un autre avantage de la surveillance intelligente des réseaux est la possibilité de s'intégrer aux systèmes de sécurité existants pour automatiser la capacité de blocage des menaces. Le blocage automatisé améliore votre posture de sécurité en réduisant les délais et en éliminant la possibilité que des menaces se faufilent en raison d'une erreur humaine. L'automatisation réduit également la charge de travail répétitive de votre équipe de sécurité, lui permettant de se concentrer sur d'autres tâches clés. Il permet même de limiter le besoin de nouveaux membres pour l'équipe SOC. Si vous souhaitez voir comment fonctionne la surveillance de la sécurité des réseaux, vous pouvez en avoir un aperçu rapide de 2 minutes en regardant notre vidéo.
Protégez vos TI et vos OT avec StreamScan
Nous sommes convaincus qu'après avoir vu notre solution MDR (alimentée par notre technologie de surveillance du réseau CDS) en action, vous ne voudrez plus laisser votre réseau sans protection. C'est pourquoi nous vous proposons un essai gratuit de 30 jours qui comprend :
- Une séance d'information
- Configuration du CDS
- Preuve de concept gratuite de 30 jours
- Rapport d'activité du premier mois et recommandation
Courriel: Freetrial@streamscan.ai