IT, OT : deux mondes, deux visions
Alors qu’il y a de plus en plus de convergence entre IT et OT, les priorités en termes de sécurité restent différentes. Jusqu’où, interrogera Pierre Noël, CyberSecurity & Privacy Practitioner, Board Member, Innixus, aux Luxembourg Internet Days.
Parle-t-on de la même chose ? A entendre Pierre Noël, CyberSecurity & Privacy Practitioner, Board Member, Innixus, le mot « sécurité » prend une toute autre signification dans un environnement OT. « La ‘sécurité’ dans le contexte de mon expérience de l’IT est en lien avec le cyber ; dans l’univers OT, ‘sécurité’ signifie renvoie aux notions de ‘protection’ et de ‘sécurité physique’. Un même terme, donc, doté de significations très différentes ! »
Ce qui s’explique. Dans l’IT, les données sont reines. Il devient dès lors évident que la crainte la plus importante soit qu’une brèche survienne dans le réseau. Un attaquant qui accède au réseau risque d’endommager l’intégrité des données, de les exfiltrer, voire de les verrouiller, rendant leur accès impossible par l’organisation. Par contraste, les environnements OT sont intrinsèquement plus dangereux d’un point de vue physique. La plus grande crainte serait qu’un accident se produise qui perturbe les opérations critiques et mette potentiellement en danger la sécurité des employés, ou celle de la communauté.
Au cours de sa conférence aux Luxembourg Internet Days, « Protéger mon OT vs protéger mon IT contre les événements de cybersécurité, quels sont mes risques réels ? », Pierre Noël abordera cette question. Et ses conséquences.
IT, OT… des démarches très différentes
Deux mondes, deux visions. Les professionnels de la sécurité IT optent pour un contrôle centralisé, en offrant une infrastructure pouvant à priori être utilisée pour permettre à n’importe quel asset ou individu d’accéder à n’importe quel autre asset, ou donnée, quel que soit leur emplacement sur le réseau.
Inversement, les environnements OT sont conçus avec à l’esprit une plus grande confidentialité, mais un contrôle limité. Ces environnements hautement segmentés ne permettent pas aux personnes et aux assets autorisés d’accéder à d’autres assets situés en dehors de leurs cadres.
Au vu de leurs topologies de réseau disparates et de la différence entre leurs définitions de la notion de sécurité, il n’est pas étonnant que les priorités des groupes de sécurité OT et IT, ainsi que leurs réactions aux attaques, soient diamétralement opposées, même au sein des mêmes organisations. Alors que les professionnels de la sécurité IT donnent, respectivement, plus d’importance à la confidentialité, puis à l’intégrité et, enfin, à la disponibilité, les professionnels de l’OT priorisent la disponibilité, avant l’intégrité et la confidentialité.
Convergence, oui, mais pas sans risques
Entretemps, OT et IT doivent échanger beaucoup plus souvent qu’auparavant des données pour, par exemple, apporter de la souplesse à la production, voire aller jusqu’à la production à la commande. « On assiste actuellement à un mouvement de convergence des réseaux IT et OT vers une infrastructure physique unique basée sur le protocole IP », observe Pierre Noël. Cette tendance a permis aux systèmes de production de collaborer avec d’autres fonctions de l’entreprise -ventes, marketing, achats, etc. A la clé, aussi, une réduction des coûts et des possibilités d’accroître la souplesse de l’entreprise. En revanche, la convergence a exposé les réseaux OT à des cyber-attaques, avec des risques économiques accrus.
Si les motivations du rapprochement sont claires, voire impérieuses, plusieurs freins compliquent cette convergence. Le premier d’entre eux, les différences culturelles entre ces deux mondes. Elles demeurent profondes. « Quand l’OT a l’habitude du temps réel, un impératif pour les équipements pris en charge, l’IT s’accommode sans peine de petites indisponibilités sur le réseau. Quelques secondes supplémentaires pour recevoir un e-mail n’ont pas de conséquences sur les utilisateurs… »
Autour de la table
Autre différence, les projets OT sont souvent prévus pour durer des années quand l’IT parle de mise à jour continues. Les technologies des deux mondes sont également différentes. Côté OT, la règle est l’hétérogénéité en particulier des protocoles, encore souvent propriétaires.
Pour contourner tous ces freins, la première étape est de mettre les équipes de deux mondes autour de la table, « de passer outre le firewall parfois en place entre les équipes… » Une cartographie de l’existant s’impose également. Parce que la sécurité est devenue cruciale et que les attaques peuvent concerner l’IT comme l’OT, une stratégie globale est indispensable, insiste Pierre Noël. Comment ? C’est ce qu’il expliquera au cours des Luxembourg Internet Days.