Meilleures pratiques en matière de sécurité ICS

Table des Matières

Les systèmes de contrôle industriel (SCI) sont essentiels au fonctionnement des entreprises manufacturières et des infrastructures critiques. Les SCI englobent les systèmes d’automatisation industrielle tels que SCADA, DCS, PLC, HMI et autres, qui surveillent et contrôlent les processus physiques. Si ces systèmes offrent des avantages considérables en termes d’efficacité et de productivité, ils présentent également de sérieux risques de cybersécurité s’ils ne sont pas correctement protégés. Ces dernières années, la sécurité des ICS est devenue une préoccupation majeure en raison de l’augmentation des cyberattaques ciblées visant à perturber les opérations critiques. Les attaquants modernes, tels que les groupes d’États-nations et les pirates informatiques, cherchent activement à exploiter les environnements ICS. Une attaque réussie pourrait arrêter les lignes de production, endommager les équipements, mettre en danger la sécurité des employés et avoir des conséquences financières considérables. Les entreprises manufacturières comptent beaucoup sur le fait que leur SCI reste en ligne et soit digne de confiance. Toute perturbation de ces systèmes aurait des répercussions importantes sur l’entreprise. La prévention des incidents de sécurité ICS doit être une priorité absolue. Cet article fournit des conseils d’experts et une liste complète des meilleures pratiques de sécurité ICSque les entreprises manufacturières devraient mettre en œuvre pour sécuriser correctement les systèmes de contrôle industriel contre les menaces modernes. Le respect de ces lignes directrices en matière de sécurité ICS contribuera à réduire les risques et à permettre une détection et une réponse plus rapides à tout problème susceptible de survenir.

Meilleures pratiques de sécurité ICS 1 : Architecture sécurisée du réseau ICS

Disposer d’une architecture de réseau sécurisée est essentiel pour protéger les systèmes de contrôle industriels. Les anciens environnements ICS ont été conçus pour la sécurité et la fiabilité, et non pour la sûreté. La priorité était de maintenir les processus en cours. Mais en exposant ouvertement les systèmes ICS, on en fait des cibles faciles. Voici les meilleures pratiques essentielles en matière de cybersécurité pour mettre en place une architecture de réseau ICS sécurisée :

  • Séparer physiquement les réseaux OT et IT – Les réseaux ICS doivent être isolés de l’environnement de l’entreprise. Limiter les connexions entre l’OT et l’IT afin de réduire les surfaces d’attaque. Les trous d’air empêchent les menaces de se propager d’un environnement à l’autre.
  • Segmenter les réseaux ICS en zones – Diviser l’environnement OT en zones et restreindre la communication entre elles. Cela permet d’ajouter des incidents internes pour limiter les mouvements latéraux après un incident.
  • Supprimez les protocoles hérités inutiles – Les protocoles non sécurisés et obsolètes tels que Telnet, FTP et RPC constituent des voies d’accès pour les attaquants. Éliminez-les si possible ou filtrez-en l’accès.
  • Utiliser les DMZ pour les connexions externes – Toutes les connexions ICS externes doivent passer par des zones démilitarisées (DMZ). Les DMZ empêchent l’accès direct aux actifs critiques.
  • Authentifier toutes les communications – Exiger l’authentification pour toutes les communications du réseau ICS entre les équipements. Cela permet de s’assurer que seuls les systèmes autorisés peuvent interagir.
  • Cryptage du trafic ICS – Cryptez le trafic réseau pour empêcher la reconnaissance, le vol de données et les attaques de type «man-in-the-middle». Utilisez des certificats ou des protocoles tels que TLS et SSH.
  • Surveillez les flux de données – Bénéficiez d’une visibilité sur les modèles de communication ICS afin de détecter les comportements anormaux indiquant une activité malveillante.
  • Restreindre l’accès aux dispositifs – N’autorisez les dispositifs ICS qu’à communiquer avec les autres systèmes nécessaires à leur fonctionnement. Bloquez toute autre communication.
  • Utilisez des pare-feu et des listes de contrôle d’accès – Gérez l’accès au SCI à l’aide de pare-feu entre les zones et de listes de contrôle d’accès sur les points d’extrémité. N’autorisez que les connexions approuvées.

Une segmentation adéquate du réseau, la protection des points d’accès et les contraintes imposées aux voies de communication rendent les mouvements latéraux beaucoup plus difficiles pour les incidents de cybersécurité. L’intégration de ces concepts améliorera considérablement le niveau de sécurité du SCI.

Meilleures pratiques de sécurité ICS 2 : Protéger les points finaux ICS

Outre le réseau, des protections solides doivent être déployées directement sur les actifs ICS tels que les IHM, les PLC, les RTU et les postes de travail d’ingénierie. Voici quelques mesures clés pour sécuriser les terminaux ICS :

  • Durcir les configurations des appareils – Désactiver les services inutilisés, fermer les ports ouverts, supprimer les comptes/mots de passe par défaut et mettre en œuvre les recommandations de sécurité du fournisseur.
  • Installez des contrôles compensatoires – La protection des points finaux comme l’antivirus, la liste blanche, l’IPS peut être mise en œuvre si elle n’a pas d’impact sur les performances.
  • Gérer les comptes et les privilèges – Ne donner aux comptes d’utilisateurs et d’applications que l’accès nécessaire. Appliquer le principe du moindre privilège.
  • Exigez une authentification multifactorielle – Ajoutez un facteur d’authentification supplémentaire aux mots de passe pour l’accès à l’administration. Cela permet d’éviter les incidents de cybersécurité.
  • Installez les mises à jour de sécurité – Les correctifs de sécurité des fournisseurs contiennent d’importantes corrections de vulnérabilités. Donnez la priorité aux correctifs des problèmes critiques.
  • Cryptage du stockage local – Utilisez le cryptage des disques et des supports amovibles pour vous protéger contre le vol de données en cas de compromission des actifs.
  • Enregistrez l’activité des terminaux – Capturez les journaux d’événements, les événements de sécurité et les journaux système afin d’améliorer la détection et l’analyse. Transférer vers un SIEM.
  • Surveillez l’intégrité des fichiers – Détectez les modifications malveillantes ou non autorisées apportées aux appareils, telles que la modification du micrologiciel ou des paramètres.
  • Utiliser la gestion des changements– Exiger une documentation, un examen, des tests et une approbation avant toute modification de la configuration ou du logiciel.

L’application de cette combinaison de contrôles préventifs et détectifs des points d’accès fournit une défense en profondeur qui réduit la surface d’attaque, augmente la visibilité et contient les menaces qui tentent de pivoter latéralement dans l’environnement.

Bonnes pratiques de sécurité ICS 3 : Sécuriser la chaîne d’approvisionnement ICS

La chaîne d’approvisionnement ICS présente un risque cybernétique important. Les fournisseurs, les intégrateurs et les autres tiers ont un accès direct à la modification et à l’installation des équipements dans l’environnement ICS. Les fabricants qui dépendent de la chaîne d’approvisionnement doivent prendre des mesures pour valider, surveiller et contrôler l’accès des fournisseurs :

  • Vérifier les fournisseurs – Examiner la maturité et les pratiques des fournisseurs en matière de cybersécurité, ainsi que les incidents liés aux produits ou aux services qu’ils fournissent.
  • Sécuriser l’approvisionnement – Employer des mesures pour empêcher la falsification de la chaîne d’approvisionnement, comme la chaîne de contrôle, la vérification de la signature, l’emballage inviolable.
  • Limiter l’accès des fournisseurs– N’autorisez qu’un accès à distance temporaire et sécurisé via un VPN avec MFA et des sessions contrôlées en temps réel. Pas de connectivité persistante.
  • Gestion des informations d’identification des fournisseurs – Lors de l’intégration et de la désinsertion, délivrer, modifier ou révoquer rapidement les informations d’identification des fournisseurs et les privilèges liés aux systèmes ICS.
  • Validation de l’intégrité des logiciels – Vérifiez les sommes de contrôle et les signatures des logiciels ou des microprogrammes des fournisseurs afin de détecter les altérations ou les contrefaçons avant l’installation.
  • Isoler les connexions des tiers – Exiger que les systèmes des fournisseurs tournés vers l’extérieur soient intégrés via une zone démilitarisée (DMZ) afin d’empêcher tout accès non contrôlé à l’environnement ICS.
  • Surveillance des systèmes des fournisseurs – Détecter les anomalies dans l’infrastructure des fournisseurs qui pourraient indiquer une compromission, comme le trafic C2 ou des flux de données inhabituels.
  • Coordination de la divulgation – Maintenir des contacts et des relations pour signaler ou recevoir rapidement les divulgations de vulnérabilités qui ont un impact sur la chaîne d’approvisionnement.
  • Incorporer des accords de niveau de service – Inclure des exigences de sécurité, des mesures de performance et des responsabilités en matière d’incidents dans les contrats et les accords de service.

La sécurité d’une organisation dépend de son maillon le plus faible. Bien que vous ne puissiez pas contrôler totalement les fournisseurs, prendre des mesures pour valider, contrôler et limiter leur accès permet de minimiser les risques qu’ils peuvent introduire.

Bonnes pratiques de sécurité ICS 4 : Maintenir une surveillance efficace de la sécurité ICS

Les contrôles préventifs ne bloqueront pas toutes les attaques. Les fabricants doivent maintenir une surveillance efficace de la sécurité dans l’environnement ICS afin de détecter rapidement les intrusions potentielles et les anomalies opérationnelles. Les principales capacités de surveillance sont les suivantes

  • Découverte des actifs – Inventorier tous les composants ICS afin d’identifier l’informatique fantôme et de gérer correctement les appareils.
  • Surveillance du trafic réseau – Analyse des schémas de réseau pour détecter les flux de communication inhabituels ou le trafic malveillant.
  • Agrégation des journaux – Centralisez les journaux de tous les points d’extrémité et de l’infrastructure pour permettre une surveillance holistique et une corrélation.
  • Analyse du comportement – Détecter les écarts par rapport au comportement normal des composants du SCI qui pourraient indiquer une compromission.
  • Renseignements sur les menaces – Incorporez les dernières informations sur les menaces afin d’obtenir une visibilité sur les indicateurs d’attaques à haut risque actuels.
  • Planification des interventions d’urgence – Documenter les procédures d’intervention pour différents scénarios d’incidents, depuis les pannes de système jusqu’aux intrusions actives.
  • Sauvegardes et redondance – Veillez à ce que l’infrastructure de surveillance critique dispose de capacités de basculement et de sauvegardes en cas de panne des systèmes.
  • Exercices sur table – Tester les capacités de détection et de réaction au moyen de simulations et d’exercices sur table modélisant des incidents réels.
  • Maintenance et réglage – Validez et optimisez en permanence les contrôles de surveillance au fur et à mesure de l’évolution de l’environnement OT.

La surveillance de la sécurité offre une visibilité sur le paysage des menaces ICS et fournit la télémétrie nécessaire à une réponse efficace en cas d’incident. Cependant, l’infrastructure de journalisation et d’alerte nécessite un entretien et une maintenance comme tout système critique. Ne déployez pas de contrôles et ne vous attendez pas à ce qu’ils fonctionnent toujours sans problème.

Bonnes pratiques de sécurité ICS 5 : Donner la priorité à la gestion de la vulnérabilité ICS

  • De nouvelles vulnérabilités – dans les logiciels et le matériel ICS – sont découvertes régulièrement. L’incapacité à remédier aux failles de sécurité connues expose les fabricants. Une bonne gestion des vulnérabilités ICS implique :
  • Inventaire des actifs – Maintenez un inventaire à jour de tous les composants logiciels et matériels pour comprendre votre surface d’attaque.
  • Analyse des vulnérabilités – Analyser régulièrement les composants du SCI afin d’identifier les services vulnérables, les correctifs manquants, les mauvaises configurations et les conditions exploitables.
  • Évaluation des risques – Analyser les résultats de l’analyse pour évaluer la gravité de la vulnérabilité et l’impact potentiel sur l’exécution des fonctions ICS.
  • Gestion des correctifs – Tester et installer les correctifs applicables aux versions vulnérables des logiciels. Cependant, donnez la priorité aux correctifs en fonction des risques liés aux problèmes potentiels de compatibilité/stabilité.
  • Contrôles compensatoires – Pour les vulnérabilités qui ne peuvent pas être directement corrigées, mettez en place des contrôles compensatoires temporaires pour réduire les risques, comme une surveillance accrue ou une segmentation du réseau.
  • Tests d’intr usion – Effectuez régulièrement des tests d’intrusion autorisés simulant des attaques réelles afin de valider les efforts de remédiation et de découvrir les failles non détectées.
  • Examen par un tiers – Faites appel à des experts indépendants en cybersécurité pour examiner votre programme et identifier les lacunes potentielles en matière de couverture.

De nouvelles vulnérabilités seront introduites en permanence par les fournisseurs. L’analyse proactive combinée à l’atténuation stratégique des risques graves permet d’éviter les perturbations dues à la compromission de failles connues.

Bonnes pratiques de sécurité ICS 6 : Mise en œuvre de plans de réponse aux incidents ICS

Malgré tous les efforts déployés, des incidents de sécurité ICS se produiront inévitablement à la suite d’attaques ciblées, de menaces internes ou même d’accidents opérationnels. La planification de la réponse aux incidents permet de contenir, d’éradiquer et de récupérer rapidement les événements liés à la sécurité du SCI.

  • Équipe spécialisée – Constituez et formez une équipe interfonctionnelle comprenant des spécialistes de l’OT, de l’IT, de la sécurité, des juristes et des cadres, qui pourra coordonner les efforts d’intervention.
  • Expertise en matière de SCI – Assurez-vous que l’équipe possède des connaissances spécialisées en matière de systèmes de contrôle industriel, de protocoles de communication pertinents et d’impacts potentiels des perturbations.
  • Procédures d’ intervention – Définir des procédures d’intervention détaillées attribuant des rôles, des ressources, des canaux de communication et des guides adaptés aux différents types d’incidents ICS.
  • Déclencheurs de notification – Établissez des seuils clairs pour savoir quand déclarer un incident et faire remonter l’information en interne et en externe à des parties telles que les forces de l’ordre.
  • Systèmes de sauvegarde – Disposer de réseaux ICS redondants ou de capacités de restauration rapide pour rétablir les environnements compromis et maintenir le temps de fonctionnement.
  • Capacités médico-légales – Collecte d’artefacts médico-légaux pour déterminer les causes profondes, l’étendue des dommages et empêcher qu’ils ne se reproduisent sans entraver la restauration.
  • Rapport d’incident – Suivez les détails tels que les délais d’anomalie, les étapes d’atténuation et les leçons apprises pour les audits, les réclamations d’assurance et l’amélioration des capacités de réponse futures.
  • Exercices d’intervention – Effectuer des exercices de simulation d’intervention en cas d’incident, de la détection au rétablissement, afin de valider l’efficacité de la préparation.

Avec les technologies opérationnelles, les réactions incontrôlées peuvent parfois faire plus de mal que l’incident lui-même. Une planification et des tests réfléchis facilitent une réponse rapide et contrôlée qui minimise les pertes.

Meilleures pratiques de sécurité ICS 7 : Fournir une formation à la sécurité ICS

La technologie seule ne peut pas protéger un environnement ICS. Les personnes qui interagissent avec ces systèmes et les gèrent jouent un rôle majeur dans la sécurité. Mais le personnel chargé des SCI manque souvent des connaissances nécessaires en matière de cybersécurité. Un programme efficace de formation à la sécurité ICS implique :

  • Formation basée sur les rôles – Adapter les programmes de formation aux différents rôles (ingénieurs de contrôle, techniciens, opérateurs) en fonction de leurs tâches pratiques.
  • Intégration des politiques – Expliquez les politiques au personnel afin qu’il comprenne les lignes directrices qu’il doit suivre et leur raison d’être.
  • Sensibilisation – Fournir une formation générale sur les cyberrisques des SCI, l’ingénierie sociale et l’impact du personnel sur la posture de sécurité.
  • Mettre en place une formation – Exiger une formation à la cybersécurité lors de l’orientation des nouveaux employés, ainsi que des sessions récurrentes pour maintenir les compétences à jour.
  • Promouvoir la responsabilité – Rendre les individus responsables de l’application de bonnes pratiques de sécurité dans leurs activités quotidiennes.
  • Simulation de menaces – Organisez des exercices tels que des simulations d’hameçonnage pour préparer le personnel et évaluer la vulnérabilité aux vecteurs de menaces les plus courants.
  • Encourager le signalement – Favoriser un environnement dans lequel le personnel se sent à l’aise pour signaler des activités suspectes sans subir de répercussions.
  • Valider les compétences – Utiliser des questionnaires et des tests après la formation pour évaluer l’efficacité et identifier les lacunes potentielles en matière de connaissances afin d’améliorer le programme d’études.

L’élément humain peut faire ou défaire un programme de sécurité ICS. Une main-d’œuvre instruite et vigilante, qui intègre la sécurité dans ses activités courantes, apportera des avantages considérables.

Travaillez avec un partenaire qualifié en cybersécurité ICS

Dans le domaine complexe et critique des environnements de contrôle industriel, la sécurisation de vos systèmes contre les menaces émergentes n’est pas seulement une nécessité, mais un impératif stratégique. En adoptant nos meilleures pratiques éprouvées en matière de sécurité ICS, vous placez votre organisation en position de mieux se défendre contre les menaces modernes, en diminuant considérablement la probabilité de perturbations opérationnelles et d’incidents. Ce renforcement de la sécurité est essentiel pour les fabricants qui reconnaissent l’importance de protéger leurs activités.

Les entreprises manufacturières font confiance à Vumetric pour sécuriser leurs systèmes et processus OT les plus vitaux contre les cybermenaces modernes. Découvrez comment nous pouvons vous aider à relever vos défis et à répondre à vos exigences uniques en matière de cybersécurité ICS.

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Partager cet article sur les médias sociaux :

Articles de Blogue Récents

Services en Vedette

Catégories

Les Derniers Articles de Blogue de Vumetric

Qu’il s’agisse des dernières tendances du secteur ou des bonnes pratiques à adopter, apprenez-en davantage sur la cybersécurité:

COMMENCEZ DÈS AUJOURD'HUI

Faites-nous part de vos besoins
Obtenir une réponse le même jour

Vous avez une demande urgente ? Appelez-nous au 1-877-805-7475 ou Prenez rendez-vous.

Une fois le formulaire envoyé :

Un expert vous contactera pour se renseigner sur votre projet de cybersécurité

La portée du projet sera défini (environnement cible, délais, exigences, etc.)

Une soumission détaillée comprenant un prix tout inclus vous est envoyée

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

ÉDITION 2024

Guide de l'Acheteur de Tests d'Intrusion

Tout ce que vous Devez Savoir

Planifiez et réalisez des projets de test d’intrusion avec succès.

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.