Contactez-nous
NIS2

NIS2 va demander aux entreprises industrielles d’importants efforts de sécurisation de leurs environnements OT : Par où commencer ?

Arnaud Masson
Placeholder for ARMARM

Arnaud Masson , Responsable Technique OT/XIoT

6 min. lecture
Placeholder for Industrial company NIS2Industrial company NIS2

Share

La directive NIS2 (Network and Information Security) a pour objectif d’élever le niveau de sécurité physique et numérique d’un grand nombre d’entreprises et d’établir un niveau de maturité homogène au sein des pays de l’UE. En Europe, des milliers d’entreprises vont être concernées par l’entrée en vigueur de NIS2 prévue en octobre 2024, avec des problématiques différant largement d’une entité à une autre.

Si nous parlons beaucoup d’IT et d’attaques ciblant les environnements bureautiques, nous oublions trop systématiquement les cyberattaques ciblant les environnements opérationnels (OT) et la grande vulnérabilité de ces réseaux. Les entreprises industrielles vont en effet devoir redoubler d’effort pour répondre aux exigences de NIS2. Mais rappelons que même si la directive va générer beaucoup de contraintes au début, elle a bien pour vocation d’aider les entreprises à protéger leurs outils de production.

L’OT est aussi peu sécurisé que les TPE-PME

Si nous parlons beaucoup de cybersécurité de l’IT, nous oublions trop souvent d’alerter sur la cybersécurité des environnements opérationnels (OT) alors que des cyberattaques contre des usines et entreprises industrielles peuvent avoir des conséquences désastreuses (Renault ou encore Saint-Gobain peuvent en témoigner, pour ne citer qu’eux). Pourquoi ces réseaux OT sont-ils si vulnérables et que faire ?

  • Les environnements OT ont 10 à 15 ans de retard en matière de cybersécurité par rapport aux environnements IT et n’ont pas été sécurisés « by-design ».
  • Nombre des réseaux d’entreprises industrielles sont encore basés sur des architectures « à plat » c’est-à-dire avec des serveurs, postes de travail et autres terminaux industriels fonctionnant sur le même réseau, sans aucune segmentation. En d’autres termes, une porte laissée ouverte permet l’accès à l’ensemble du réseau.
  • Le problème de la gouvernance de la sécurité des réseaux OT n’est toujours pas réglé. Qui est responsable de la sécurité OT ? Si tant est qu’il y ait une équipe sécurité OT, comment la faire collaborer avec les responsables de la sécurité IT ?
  • Les accès à distance aux automates programmables et autres robots des systèmes OT se sont multipliés, surtout durant le COVID-19, créant ainsi des ponts vers l’extérieur souvent peu voire pas sécurisés du tout.

Démarrer en trois phases et douze étapes

Les entreprises industrielles de plus de 50 salariés et 10 millions de CA sont très nombreuses et leurs réseaux OT vont être largement impactés par NIS2. Plutôt que de céder à la panique, résumons les grandes étapes pour se mettre en conformité, en 3 phases et 12 points, avec cette nouvelle mouture de la directive NIS, plus spécifiquement dans le monde industriel.

Phase 1 : Évaluer, découvrir et définir

1. Audits de sécurité

Évaluer la sécurité de l’entreprise en réalisant des audits, portant sur les réseaux OT mais également – c’est une nouvelle exigence de NIS2 - sur les accès physiques à l’entreprise et aux équipements.

2. Politiques

Définir une politique et une gouvernance spécifique à la cybersécurité OT, à commencer par définir qui est responsable de la sécurité OT, à qui reporte le responsable, qui a le pouvoir de décision quant aux investissements, etc.

Phase 2 : Mise en œuvre et déploiement (protection et détection)

3. Segmentation

Concevoir et mettre en œuvre une architecture intégrant une segmentation de la cybersécurité́ OTet des systèmes de contrôle industriels (ICS). En d’autres termes en finir avec les réseaux plats et segmenter les réseaux IT et OT.

4. Découverte des actifs et détection des menaces

Sélectionner et mettre en œuvre des outils de découverte des actifs et de détection des menaces OT/ICS, tels que des systèmes de détection des intrusions (IDS).

5. Hygiène de la configuration OT

Avoir une hygiène de configuration OT en s’assurant de disposer des briques de sécurité classiques telles que des systèmes de sauvegarde (en généralisant le modèle de sauvegarde 3+2+1) ou encore des gestionnaires de mots de passe des machines. NIS2 concernant également les prestataires ayant des accès aux réseaux, l’entreprise doit veiller à exiger des garanties d’hygiène de cybersécurité à ses fournisseurs.

6. Sécuriser l'accès à distance aux systèmes OT

Sécuriser les accès à distance aux systèmes OT. Là aussi les fabricants de machines/automates programmables, etc. ayant des accès à leurs machines principalement pour des actions de maintenance, l’entreprise doit leur demander des garanties de sécurité.

7. Contrôler l'accès aux systèmes OT

Mettez en œuvre des mesures pour réglementer et surveiller l'accès aux systèmes OT, en veillant à ce que seul le personnel autorisé puisse interagir avec les actifs industriels critiques. Il s'agit notamment d'appliquer des protocoles d'authentification et d'autorisation stricts pour empêcher les accès non autorisés ou les activités malveillantes.

8. Protéger les endpoints de la technologie de l'information

Déployez des mesures de sécurité pour protéger les endpoints au sein des environnements OT, tels que les machines industrielles, les contrôleurs et les capteurs, contre les cybermenaces. Cela implique le déploiement de logiciels antivirus, de systèmes de protection et de réponse aux endpoints (EDR), de systèmes de détection d'intrusion (IDS), la mise en œuvre de contrôles pour les périphériques USB et la mise à jour régulière des mesures de sécurité des endpoints pour atténuer les menaces et les vulnérabilités émergentes.

9. Sécuriser la chaîne d'approvisionnement en technologies de l'information

Mettez en œuvre des mesures pour protéger la chaîne d'approvisionnement OT contre les risques de cybersécurité posés par les logiciels, les équipementiers et les fournisseurs de services tiers. Cela implique de réaliser des évaluations approfondies des risques, d'établir des accords contractuels clairs avec les fournisseurs pour définir les responsabilités en matière de cybersécurité, et de contrôler régulièrement la conformité des fournisseurs afin d'atténuer les vulnérabilités et d'améliorer la sécurité globale de l'OT.

Phase 3 : Surveiller, réagir et mesurer

10. Security Operations Centre (SOC)

Surveiller la cybersécurité́ OT via un SOC intégré́ ou un SOC managé.

11. Plan de réponse aux incidents

Avoir un plan de réponse aux incidents OT prêt pour faire face à des cyberattaques ou autres incidents.

12. Audits continus

Enfin, effectuez régulièrement des audits et des tests de sécurité pour les environnements OT afin de garantir une conformité permanente aux exigences de cybersécurité et d'identifier rapidement les vulnérabilités ou les faiblesses.

La cybersécurité est un processus continu

Et après ? Et bien il faut recommencer… La cybersécurité est en effet un éternel recommencement. Mais rassurez-vous si toutes les étapes ont été respectées et que les politiques ont été mises en place, il s’agira ensuite beaucoup plus simplement de réaliser des audits moins réguliers, des tests, des mises à jour et de vérifier les points de contrôles. C’est d’ailleurs pour cette raison que cette suggestion de « plan de mise en conformité » commence et se termine par des audits.

Si cela vous semble compliqué et fastidieux - surtout lorsque la cybersécurité n'est pas le principal objectif de l'entreprise - il est possible de faire appel à des experts. Heureusement, il existe de nombreuses organisations qui peuvent vous aider à assurer la sécurité et la conformité autour de NIS2. Nomios est l'une d'entre elles. Idéalement, nous agissons en tant que partenaire et transférons progressivement les connaissances aux points focaux de sécurité au sein de votre entreprise afin de nous assurer que vous comprenez votre réseau (OT), ses forces et ses vulnérabilités. En outre, nous pouvons sensibiliser et former vos employés.

Contactez nous

Vous souhaitez en savoir plus sur ce sujet ?

Nos experts et nos équipes commerciales sont à votre service. Laissez vos coordonnées et nous vous contacterons rapidement.

Appelez maintenant
Placeholder for Portrait of french manPortrait of french man
À la une

Plus de nouveautés

Placeholder for Joshua coleman ygp2y U QMEQ unsplashJoshua coleman ygp2y U QMEQ unsplash
Juniper Networks

Juniper Networks HPE

L'acquisition stratégique de Juniper Networks par HPE

La décision de Hewlett Packard Enterprise (HPE) d'acquérir Juniper Networks pour environ 14 milliards de dollars est une preuve de sa stratégie dans le paysage des réseaux pilotés par l'IA.

3 min. lecture
Placeholder for Engineer focused on taskEngineer focused on task

Cybersécurité

Sécurise ton avenir : Les tendances de la cybersécurité pour 2024

Nous sommes à nouveau à l'aube d'une nouvelle année. Il est temps de tout savoir sur les tendances les plus importantes en matière de cybersécurité pour 2024.

Mohamed El Haddouchi
Placeholder for Mohamed El HaddouchiMohamed El Haddouchi

Mohamed El Haddouchi

13 min. lecture
Placeholder for DMARC google yahoo emailsDMARC google yahoo emails

E-mail security

DMARC - A partir de février 2024 vos emails à destination de gmail et yahoo risquent d’être rejetés

D'ici février 2024, Google et Yahoo imposeront de nouvelles règles strictes en matière de sécurité électronique. Les entreprises devront obligatoirement adopter la technologie d'authentification DMARC.

Romain Quinat
Placeholder for Romain QuinatRomain Quinat

Romain Quinat

4 min. lecture
 Tous les articles