L’IT et l’OT face au défi de la sécurité IoT

par | Fév 26, 2019 | Cyber Security, Expérience | 0 commentaires

Plus question de dialogue de sourds entre IT et OT. Pour protéger leurs systèmes IoT, les entreprises doivent les rapprocher, estime Christian Koch, Senior Manager GRC & IoT/OT, NTT Security.

Plus question de dialogue de sourds entre IT et OT. Pour protéger leurs systèmes IoT, les entreprises doivent les rapprocher, estime Christian Koch, Senior Manager GRC & IoT/OT, NTT Security.

Des campagnes de hacking financées par les États aux vulnérabilités des technologies domotiques, le monde de l’IoT est confronté à un nombre croissant d’enjeux de cybersécurité. D’où l’importance de mieux sensibiliser les consommateurs, mais aussi et surtout les entreprises. Environnements IT/OT silotés, chaînes d’approvisionnement peu maîtrisées, prévalence du fonctionnel sur la sécurité : toutes ces carences sont autant de munitions offertes aux cyberattaquants.

Les médias sont friands d’incidents de sécurité liés à l’IoT. Et ils ne se privent pas de s’en faire l’écho. Bien que les attaques sur les systèmes informatiques traditionnels restent plus nombreuses, l’impact potentiel des menaces IoT est tel qu’il suscite la plus vive attention. Il ne s’agit pas ici que d’une simple question de confidentialité et de vol de données, mais de dommages physiques possibles sur des infrastructures critiques et leurs utilisateurs.

D’après un rapport récent, des hackers russes seraient ainsi parvenus à s’infiltrer dans des centaines d’installations électriques aux États-Unis. Outre-Manche, le Centre national de la cybersécurité avait déjà tiré le signal d’alarme au sujet d’attaques similaires dans les secteurs de l’énergie, des médias et des télécoms. Sans oublier les désormais célèbres attaques sur les fournisseurs d’énergie ukrainiens qui avaient privé des centaines de milliers de foyers d’électricité en décembre 2015 et 2016.

Devant l’ampleur de ces incidents, les vulnérabilités des véhicules connectés, des caméras de surveillance intelligentes et des babyphones peuvent sembler insignifiantes, mais elles restent néanmoins une menace réelle et croissante pour chacun d’entre nous.

Dans le domaine des objets IoT, c’est aux fabricants que revient la responsabilité de montrer l’exemple. En effet, diverses études indiquent que les préoccupations de sécurité et de confidentialité freinent les investissements des ménages dans la domotique. Mais si l’on veut y voir le côté positif, il existe une réelle opportunité de se différencier sur le terrain de la sécurité.

IT vs. OT

Les systèmes SCADA, la prolifération des appareils connectés et la multiplication des équipements dans les locaux augmentent sans cesse la surface d’attaque des entreprises. L’IT a-t-il donné son accord pour l’installation d’un mini-réfrigérateur intelligent dans la salle de conférence ? Qu’en est-il de l’ascenseur connecté ? De l’alarme incendie ? Du système de climatisation ? Les équipes de sécurité concentrent encore trop souvent leurs efforts sur les terminaux, serveurs et tout ce qui constitue une infrastructure traditionnelle. Quant aux utilisateurs, ils veulent tous bénéficier des avantages des systèmes connectés, sans toutefois se soumettre aux contraintes de sécurité de l’entreprise.

L’enjeu ici se situe en partie au niveau de la traditionnelle barrière entre les équipes IT (Information Technology) et OT (Operations Technology). Tandis que l’IT se focalise principalement sur l’intégrité et la confidentialité des équipements, l’OT, elle, se soucie essentiellement de leur disponibilité. Bref, entre ces deux équipes, c’est un véritable dialogue de sourds, bien que toutes deux parlent le même langage. Pour protéger leurs systèmes IoT, les entreprises doivent donc faire sortir ces deux départements de leur entre soi. Il leur faut également se pencher sur la question épineuse de la chaîne d’approvisionnement, une imbrication complexe qui représente un risque croissant. Si l’on prend l’exemple des entreprises de maintenance qui interviennent chez les industriels, il est clair qu’elles s’intéressent davantage au fonctionnel qu’à la sécurité. En ce sens, elles sont sur la même longueur d’onde que leurs clients.

Place à la nouveauté

Heureusement, l’espoir nous vient d’une nouvelle génération de professionnels OT, conscients des enjeux du digital et de la cybersécurité. Néanmoins, les difficultés persisteront tant que les entreprises continueront d’exploiter des équipements d’ancienne génération. Prenons le cas des systèmes SCADA monolithiques. En raison des coûts et des dépendances complexes auxquelles ils sont soumis, ils sont rarement actualisés après leur déploiement initial. Par conséquent, les fenêtres de maintenance privilégieront les mises à jour des fonctionnalités plutôt que l’installation de correctifs de sécurité. Mais parce que ces machines sont connectées à d’autres systèmes, elles se retrouvent sans le vouloir exposées au monde extérieur.

C’est pourquoi les entreprises doivent établir une meilleure visibilité sur les systèmes IoT, à l’échelle du réseau comme des applications, pour modéliser les comportements normaux et détecter tout acte suspect. En clair, un changement de perspective s’impose pour qu’enfin, la sécurité prenne le dessus sur le fonctionnel. Le nouveau Kitemark IoT de la BSI constitue en ce sens un indicateur utile pour aider les acheteurs à évaluer la fiabilité et le niveau de sécurité des produits. Mais espérons tout de même que, dans 5 ou 10 ans, les objets IoT sécurisés ne seront plus une exception, mais bien la norme.

Summary
L’IT et l’OT face au défi de la sécurité IoT
Article Name
L’IT et l’OT face au défi de la sécurité IoT
Description
Plus question de dialogue de sourds entre IT et OT. Pour protéger leurs systèmes IoT, les entreprises doivent les rapprocher, estime Christian Koch, Senior Manager GRC & IoT/OT, NTT Security.
Author
Publisher Name
Solutions Magazine
Publisher Logo