5 enseignements sur l'événement Nexus OT Cybersécurité à Miami, Floride
J'ai eu la chance et l'opportunité d'assister à l'événement cybersécurité OT #Nexus organisé à Miami (Floride) en Octobre 2023. Je vous partage les enseignements tirés de ma participation.
Le sujet de l’OT est un sujet qui me passionne depuis bien longtemps et sur lequel j’ai la chance de travailler depuis quasiment mes débuts dans la cybersécurité.
Cette année, j’ai eu la chance d’être invité à l’événement Nexus organisé à Miami, Floride. Cet événement est organisé par l’éditeur Claroty, mais n’a pas vocation a être un événement où l’on parle que de l’éditeur. Cela se vérifie sur place : pas de pitch commerciaux et ennuyeux sur les produits et services de diverses sociétés.
J’ai essentiellement assisté à des présentations d’officiels américains et des retours d’expériences de confrères du monde entier. C’était très enrichissant.
Je vous partage ici 5 enseignements que je trouve utile de vous partager et qui, je pense, pourront vous aider.
Des menaces cyber sur l’OT, spécifiques à chaque zone géographique.
Dans le cadre de la guerre au Moyen Orient, nous avons assisté à une présentation sur les menaces d’organisations basées en Israël. J’ai en particulier découvert une carte des différents organisations cybercriminels des pays voisins à Israël, et étonnement ils sont nombreux : Turquie, Liban, Egypte, Iran etc.
Les attaques cyber qu’elles soient de nature à espionner ou à endommager les infrastructures sont clairement reliées à un contexte géopolitique.
Après échanges avec d’autres confrères venant de différents continents, je me suis aperçu que les menaces et les organisations sont différentes :
En Amérique latine, des acteurs présents au Venezuela, en Colombie peuvent perturber les opérations dans ce continent et évidemment y compris sur l’OT.
En Australie, les tensions géographiques en Asie sont aussi des sources d’inquiétude, avec des hacktivistes pouvant perturber les opérations d’organisation.
L’enseignement principal que je retiens des présentations et échanges avec mes confrères du monde entier est qu’il est important de tenir compte des menaces régionales au niveau OT cybersécurité. Nous travaillons avec une organisation internationale avec, par exemple, des usines dans le monde entier. L’impact peut rapidement dépasser les frontières.
La converge OT/IT
Il y a fort longtemps, j’ai assisté à la convergence télécom, réseaux et informatique. Il s’agissait à l’époque de faire en sorte que les DSI pilotent et soient responsables de l’ensemble des systèmes d’information. Il semblerait que ce soit désormais pareil pour l’OT.
Dans de nombreuses présentations, il a été question de convergence OT/IT où les équipes des DSI étendent leurs compétences au monde de l’industriel. Il y a de nombreux articles en ligne qui traitent de ces sujets. Mais j’ai été assez surpris par le nombre d’organisation où le sujet est en cours, avec des questions d’interconnexion, de data, et d’ingénierie.
Ce que je retiens est qu’il faut désormais rapidement se poser la question d’une potentielle convergence avec le DSI. L’axe cybersécurité peut être un moyen pour le DSI de prendre pied dans ce monde industriel.
Des premiers déploiements matures en cybersécurité OT
L’OT dans la cybersécurité, nous sommes nombreux à en parler, et cela devient un sujet important pour de nombreuses organisations. De mon expérience ces derniers mois, j’ai vu de nombreux programmes cybersécurité industriels se construire. Ces programmes aux roadmaps bien établies commencent à se déployer.
Pour d’autres, nous sommes encore sur les arbitrages financiers. A mon avis, la Directive NIS2 en Europe va jouer le rôle d’accélérateur sur ces déploiements.
Lors de l’événement, nous avons eu des retours d’expériences d’entreprises américaines ayant commencé leurs déploiements il y a 2 à 3 ans. Elles sont désormais sur la fin du déploiement de la cybersécurité industrielle et préparent le run. Une majorité d’usines avec des briques de cybersécurité industriels, des process en place et des outils massivement déployés.
Je retiens des différents retours que c’est la fin d’un cycle, où les early adopters ont quasiment terminé leur transition vers la cybersécurité OT. Désormais nous nous dirigeons vers l’adoption de masse. L’enjeux va désormais être de ne pas faire parti des late adopteurs et devenir les victimes faciles d’organisations cybercriminelles.
La découverte d’assets IoT/OT, un usage dual
Pour protéger un système d’information, il est primordial de le connaitre. C’est aussi le cas dans un monde industriel ou domaine d’activité l’OT est présent en quantité. Cette phase de reconnaissance est un moment toujours stimulant où l’on découvre des composants numériques inédits. C’est aussi le moment pour une organisation de remettre la main sur des systèmes perdus, où constater des branchements sauvages.
Pendant l’événement, plusieurs retours d’expérience vantaient les mérites de la découvertes d’assets pas uniquement pour la cybersécurité. Au premier abord, je suis plutôt sceptique. J’ai déjà entendu ce genre de discours par le passé sans qu’il y est d’éléments concrets par la suite. Pourtant il semblerait que des retours intéressants ont pu être faits aux équipes IT dans le monde hospitalier. J’ai en tête la découverte de NAS contre des équipements OT, non sécurisés et non secourus.
Je retiens des différents discours, qu’il peut être utile d’impliquer les équipements IT en charge des ces périmètres. Non pour les convaincre sur l’usage de ce genre d’outils, mais tout bêtement pour leur en faire profiter si les résultats les intéresse. A tester donc dans cette démarche de découvertes d’assets.
La télémaintenance sécurisée
La télémaintenance est, de base, un sujet critique dans le monde IT. C’est un vecteur apprécié des organisations cybercriminelles utilisant ces accès ouverts à des tiers pour remonter les organisations et les infecter, dans la version simple. Ce sujet est également vrai dans le monde de l’OT. De nombreux acteurs font de la télémaintenance comme les acteurs historiques tels que Schneider et Siemens. Les réseaux industriels souvent obsolètes, non segmentés multiplient les impacts potentiels d’un usage illicite des ces liens de télémaintenance.
Pendant l’événement, il est apparu que de nombreux RSSI industriels ou équipes en charge de la cybersécurité ont déployé massivement des solutions de télémaintenance sécurisée. Les outils utilisés sont des outils spécifiques au monde industriel, avec la possibilité de prendre en charge des protocoles de nature exotique.
Dans les roadmaps industriels, c’est un sujet phare qui ressort systématiquement. Sur le moment, j’étais un peu sceptique, ne croyant pas aux solutions miracles pour résoudre les problèmes rapidement dans ce secteur.
Mon constat, après avoir pris en compte les différentes discussions, est que l'importance accordée à ce sujet par nos confrères internationaux révèle qu'il représente un véritable enjeu. Il devient donc essentiel de s'interroger à ce propos. Par conséquent, lors de l'évaluation des risques industriels, il me paraît primordial d'examiner systématiquement la question de la télémaintenance et d'approfondir notre compréhension pour éviter de négliger un aspect crucial.
