Les acteurs de l’OT subissent actuellement une double pression : des cyberattaques de plus en plus efficaces et variées, et, par ricochet, une contrainte réglementaire renforcée. Dans ce contexte, les responsabilités liées à l’OT s’élèvent hiérarchiquement et l’accélération de la détection et de la réponse aux menaces s’impose à tous les RSSI.

Les pressions réglementaires exercées dans le monde entier obligent les RSSI et les conseils d’administration des entreprises à assumer une plus grande responsabilité en matière de cybersécurité, y compris en ce qui concerne les technologies opérationnelles (OT), les systèmes de contrôle industriel (ICS) et les dispositifs IoT. 

Aux États-Unis, la Securities and Exchange Commission exige désormais que les entreprises publiques divulguent des informations sur les violations « importantes » et documentent leur gestion globale des risques, leur stratégie et leur cadre de gouvernance. En Europe, la directive NIS2 étend les obligations des entités en matière de déclaration des incidents. Elles doivent signaler à leur autorité nationale les incidents de sécurité ayant un impact important et fournir des rapports concernant l’évolution de la situation.

Un tiers des acteurs de l’OT ont subi au moins six intrusions en 2024

Ces pressions réglementaires sont les bienvenues, les acteurs de l’OT étant en effet de plus en plus ciblés par les cybermenaces. Dans un rapport intitulé « État des lieux 2024 des technologies opérationnelles et de la cybersécurité », la société Fortinet dévoile que près d’un tiers (31 %) des acteurs de l’OT indiquent avoir subi au moins six intrusions au cours de l’année écoulée, contre 11 % l’année précédente. En dehors des malwares qui reculent, tous les types d’intrusions ont augmenté par rapport à l’année précédente. Les intrusions par phishing et usurpations d’identité par email sont les plus courantes, tandis que les techniques les plus souvent utilisées donnent lieu à des incidents sur la sécurité mobile et à des compromissions web.

Un autre rapport (« OT/IoT : Tendances et perspectives en matière de cybersécurité »), publié par Nozomi Networks, nous apprend que les secteurs les plus touchés par les CVE (Common Vulnerabilities and Exposures) dans le domaine de l’OT/IoT sont les secteurs de la fabrication critique, de l’énergie, des systèmes de transport, de l’eau et des eaux usées.

Par ailleurs, l’étude Fortinet signale que près de 73 % des personnes interrogées déclarent avoir subi une intrusion ayant impacté leurs systèmes OT uniquement, ou leurs systèmes IT et OT conjointement (ce pourcentage était de 49 % en 2023). Selon les données recueillies, le nombre d’intrusions perpétrées sur les systèmes OT uniquement progresse de 17 % à 24 %. Face à cette recrudescence des attaques, près de la moitié des répondants (46 %) déclarent que le délai de restauration post-incident constitue leur principal indicateur d’efficacité de leur stratégie de cybersécurité.  

Accélérer la détection et la réponse aux menaces, un impératif

« Le rapport souligne que, même si les industriels utilisant des technologies OT ont renforcé leur posture de sécurité, leurs équipes restent néanmoins confrontées à des défis majeurs pour sécuriser leurs environnements IT/OT convergents. Il devient essentiel, pour ces acteurs, d’adopter les outils et fonctionnalités qui amélioreront la visibilité sur l’ensemble de leur réseau, ainsi que son niveau de protection. L’objectif reste d’accélérer la détection et la réponse aux menaces pour, in fine, maîtriser le risque global qui pèse sur ces environnements », déclare John Maddison, Directeur marketing de Fortinet.

Mais les méthodes de détection peinent à garder le rythme imposé par les menaces actuelles. Alors que les menaces sont toujours plus sophistiquées, le rapport laisse penser que la majorité des entreprises ont encore des zones d’ombre au sein de leur environnement. La part des répondants déclarant que leur entreprise dispose d’une visibilité complète sur la sécurité des systèmes OT de leur entreprise, a diminué de 10 à 5 % depuis l’année passée. 

Malgré tout, la part de ceux qui indiquent disposer d’une visibilité de 75 % progresse, ce qui suggère que les entreprises sont plus réalistes quant à leur posture de sécurité. Cependant, plus de la moitié (56 %, contre 32 % en 2023) du panel a été victime de ransomwares ou d’intrusions par des wipers (logiciels malveillants utilisés comme outils de destruction et de perturbation), ce qui signifie qu’il existe encore des possibilités d’amélioration en matière de visibilité sur le réseau et de détection des menaces.  

OT : les responsabilités s’élèvent hiérarchiquement

Dans certaines entreprises, les responsabilités en matière de cybersécurité de l’OT s’élèvent hiérarchiquement. La part des entreprises qui intègre la sécurité OT dans les responsabilités de leur DSSI/RSSI progresse, de 17 % en 2023 à 27 % cette année. Parallèlement, 60 % des répondants envisagent attribuer la responsabilité de l’OT à des profils de dirigeants (DSI/CIO, CTO et COO) au cours des 12 prochains mois. Cette tendance souligne que les préoccupations en matière de risques et de sécurité OT s’accentueront en 2024 et au-delà. 

On note également une évolution parmi les entreprises qui n’ont pas fait de la cybersécurité OT une des responsabilités de leur DSI. En effet, cette responsabilité, jusqu’à présent du ressort du directeur de l’ingénierie réseau, se voit de plus en plus confiée à un rôle de vice-président en charge des opérations, illustrant ainsi cette élévation hiérarchique des responsabilités. Au-delà du titre de poste de la personne en charge de la sécurité OT, cette tendance suggère que la sécurité OT devient plus stratégique pour les dirigeants d’entreprise.  

De bonnes pratiques pour améliorer sa posture de sécurité dans le domaine de l’OT

Pour améliorer leur posture de sécurité dans le domaine de l’OT, les entreprises peuvent appliquer un certain nombre de bonnes pratiques. En voici quelques-unes suggérées par Fortinet. La première d’entre elles est de segmenter l’environnement. La lutte contre les intrusions exige de renforcer l’environnement OT en appliquant des politiques de réseau robustes à tous les points d’accès. La première étape d’une telle architecture de défense consiste à définir des zones ou segments réseau. Les équipes doivent également évaluer la complexité de la gestion d’une solution de sécurité et envisager les avantages d’une approche intégrée ou de type plateforme qui propose des fonctions de gestion centralisée.

Les RSSI peuvent également déployer une visibilité sur les ressources OT et définir des mécanismes de compensation. Les entreprises doivent en effet pouvoir identifier et comprendre l’ensemble des ressources de leur infrastructure OT. Une fois cette visibilité établie, les entreprises sont en mesure de protéger tous les dispositifs qui leur semblent vulnérables, ce qui implique des mécanismes de compensation (alternative à des mesures de sécurité considérées comme trop difficiles à mettre en œuvre) pour protéger les ressources OT sensibles. Des politiques de réseau définies par protocole, une analyse des interactions entre systèmes et un monitoring des terminaux sont autant de moyens pertinents pour détecter et prévenir la compromission des ressources vulnérables.

Une autre bonne pratique consiste à intégrer l’OT dans les opérations de sécurité et la stratégie de réponse aux incidents. Les entreprises doivent gagner en maturité et évoluer vers le SecOps pour l’IT et l’OT. Pour tenir cet objectif, les équipes sont dans l’obligation d’intégrer spécifiquement l’OT dans leurs stratégies SecOps et de réponse aux incidents. Ceci passe notamment par l’élaboration de playbooks qui prennent en compte l’environnement OT de l’entreprise.

Enfin, les entreprises doivent adopter une veille sur les menaces et des services de sécurité spécifiques à l’OT. La sécurité de l’OT dépend en effet intimement d’une prise de conscience des risques imminents et de leur analyse. Les entreprises doivent s’assurer que leur veille sur les menaces et les sources de renseignements utilisées leur livrent des informations pertinentes et détaillées, spécifiques à l’OT.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.