Dans cet article, nous explorons les avancées que le secteur industriel adopte pour mettre en œuvre le principe de défense en profondeur dans ses réseaux.
Ce principe fait référence aux avantages de la protection des équipements critiques en les positionnant derrière plusieurs couches de défense, offrant plusieurs possibilités de détecter ou d'arrêter une attaque avant qu'elle n'impacte les éléments critiques du système.
L'outil principal pour cela est la segmentation du réseau ou, dans les cas plus avancés, la microsegmentation. La segmentation implique l'ensemble des techniques et équipements utilisés pour diviser un réseau en plusieurs segments (zones) qui communiquent uniquement via des canaux identifiés et protégés (conduits).
La segmentation permet de réduire le périmètre attaquable de chaque zone, car les communications entrantes et sortantes sont limitées aux points du périmètre défendu. Un meilleur contrôle du trafic réseau permet de créer des architectures plus complexes grâce à :
- Segmentation verticale: Séparation des zones avec différents niveaux de privilèges. Généralement, une zone supérieure est créée avec un accès plus général pour les utilisateurs ou les connexions externes, et une zone inférieure avec un accès plus restreint.
- Segmentation horizontale: Séparation des zones avec le même niveau de privilège mais des niveaux d'accès différents, séparant généralement les zones par fonctionnalité.
Ces éléments de base créent les architectures de réseaux industriels sécurisés qui sont devenues populaires et les nouveaux modèles adoptés dans des systèmes plus avancés.
Modèle de segmentation industrielle de base
Actuellement, les réseaux industriels varient considérablement selon la taille, le secteur et le pays. Cependant, lorsque la cybersécurité a été prise en compte dès leur conception, que ce soit initialement ou rétroactivement, on observe une tendance vers un modèle homogène, avec les adaptations nécessaires pour répondre aux besoins spécifiques.
Ce modèle général de sécurité en couches peut être résumé comme une série de mesures illustrant le principe de défense en profondeur :
1. Le réseau industriel est séparé du réseau d'entreprise afin de réduire le trafic et les accès inutiles. Le degré de séparation varie selon chaque réseau et la maturité des mesures de sécurité.
2. Le réseau industriel est situé sous le réseau d'entreprise. Il est ainsi protégé par une couche antérieure, qu'un attaquant externe doit franchir pour atteindre.
3. Un réseau intermédiaire, communément appelé zone démilitarisée (DMZ), est déployé entre les deux réseaux. La DMZ sert de frontière de sécurité entre les réseaux, offrant un emplacement sûr aux systèmes auxiliaires et gérant le trafic entre les deux environnements.
Ce modèle largement utilisé sert de point de départ à la segmentation industrielle. Simple et adaptable à divers systèmes, il offre un niveau de sécurité acceptable.
Cependant, deux facteurs principaux favorisent l’adoption de modèles plus sophistiqués dans les réseaux avancés ou critiques :
- L'intégration d'équipements IIoT, de technologies informatiques ou de technologies d'IA : ces outils peuvent améliorer considérablement la productivité ou l'efficacité, mais peuvent entrer en conflit avec les modèles traditionnels, car beaucoup nécessitent des connexions constantes avec des réseaux externes, des réseaux sans fil ou un accès depuis le réseau de l'entreprise.
- Augmentation du volume et de la complexité des menaces : à mesure que les attaquants acquièrent de l'expérience dans les environnements industriels, les attaques deviennent plus fréquentes et plus dommageables. Bien qu'adaptable, le modèle général peut rapidement devenir inefficace et coûteux lorsqu'il faut ajouter des mesures de sécurité complémentaires par rapport à une modification de l'architecture de base.
Les nouveaux modèles visent à répondre à ces problèmes.
Comment mettre en œuvre la microsegmentation
La microsegmentation, reconnue dans des réglementations comme la norme IEC 62443, consiste à utiliser des méthodes de segmentation connues (segmentation horizontale et verticale) pour créer des zones indépendantes au sein d'un réseau industriel classique.
Pour une microsegmentation efficace, il est essentiel de commencer par identifier les zones potentielles au sein d'un réseau industriel. Il est conseillé de commencer ce processus par une évaluation des risques réseau : quels équipements sont essentiels à la production ? Quels équipements présentent un niveau de risque plus élevé ? Quels équipements ont des besoins opérationnels spécifiques ? Répondre à ces questions permet d'identifier de manière organique les groupes d'équipements présentant des caractéristiques similaires.
Voici quelques exemples de zones communes dans les réseaux microsegmentés :
Zones de contrôle: Contenir les équipements essentiels au contrôle du processus de production, avec un niveau de sécurité maximal et un accès restreint. Il est conseillé de définir plusieurs zones de contrôle indépendantes lorsque cela est possible. Par exemple, la séparation des systèmes de contrôle des lignes de production indépendantes d'une usine peut empêcher qu'un incident ne perturbe la production totale ou partielle.
Zones de surveillanceÉquipements domestiques collectant des données de processus industriels sans capacités de contrôle. Leur criticité dépend des données traitées et des destinataires. Une attention particulière est requise pour les équipements transmettant des données de processus industriels hors réseau, car ils présentent intrinsèquement des risques de confidentialité et des vecteurs d'intrusion potentiels.
Zones de sécurité: Équipements de protection des hôtes et de prévention des incidents. Ces systèmes fonctionnent généralement isolément des réseaux externes, mais leur disponibilité est essentielle. Les intégrer à un réseau industriel général les expose à des risques inutiles sans offrir d'avantages opérationnels.
Zones de conformité: Dépendent du secteur, de la taille et de la culture de l'entreprise, et surveillent souvent des données telles que les émissions, les indicateurs clés de performance de production, les stocks, l'état des machines et la consommation d'énergie. Ces systèmes nécessitent généralement une haute disponibilité et des communications avec les réseaux d'entreprise et externes.
Zones supplémentaires:
- Zones d'hébergement de données : serveurs, unités de stockage et bases de données, allant des données de production constamment consultées au stockage à froid pour les sauvegardes.
- Zones de service auxiliaires : généralement des serveurs centraux pour les services interzones, tels que la messagerie électronique, l'antivirus, la découverte d'actifs et la gestion des autorisations.
- Zones de test : environnements sécurisés pour valider les modifications avant de les appliquer aux environnements en direct.
- Zones de redondance : pour les équipements qui ne participent normalement pas à la production mais qui offrent des opérations alternatives si les systèmes principaux sont désactivés.
Les combinaisons de ces zones sont quasi infinies et s'adaptent à chaque environnement industriel. Une zone peut être aussi petite qu'un seul appareil isolé ou aussi grande que nécessaire, ce qui permet des combinaisons, comme le déploiement d'une zone de surveillance spécifique au sein d'une zone de contrôle pour créer un canal de données sans accéder directement à la zone de contrôle.
Cependant, déployer de telles architectures à l'aide de technologies traditionnelles devient rapidement irréaliste. Multiplier le nombre de zones augmente le nombre de périphériques réseau et de limites à acquérir, déployer et maintenir. Il est donc essentiel de comprendre les technologies qui prennent en charge cette segmentation avancée.
Technologies de microsegmentation
Plusieurs familles de technologies de réseau ont évolué pour prendre en charge la microsegmentation, avec des exemples clés :
- Pare-feu OTGénéralement montés en rack pour de nombreuses connexions, les modèles récents de pare-feu sont miniaturisés pour une installation dans des armoires électriques, des espaces restreints ou des conditions difficiles. Ces dispositifs permettent généralement une gestion centralisée depuis une console principale pour contrôler plusieurs points de frontière avec des règles granulaires pour chaque cas.
- Switchs managés:Bien que des commutateurs gérés capables de créer des réseaux segmentés et de contrôler le trafic soient disponibles, la microsegmentation a conduit au développement de modèles plus flexibles en termes de taille, de capacités et de fonctionnalités de sécurité.
- EDR (détection et réponse des points de terminaison)Similaires aux pare-feu OT, mais avec des fonctions de sécurité supplémentaires, les EDR peuvent inclure un antivirus, une liste blanche, une protection DoS et des fonctionnalités IDS/HIDS, offrant ainsi des solutions tout-en-un pour les environnements où les mesures de sécurité traditionnelles sont peu pratiques.
- Passerelles IdOSimilaires aux passerelles traditionnelles, ces dispositifs centralisent et distribuent le trafic du protocole IIoT, simplifiant ainsi sa gestion et sa segmentation. Les modèles conçus par l'industrie intègrent souvent des fonctionnalités de sécurité telles que le chiffrement, le contrôle d'accès, l'équilibrage de charge et le déploiement pour les conditions difficiles.
Comme on le voit, la plupart des nouvelles technologies de microsegmentation sont des versions mises à jour des dispositifs actuellement utilisés pour la segmentation traditionnelle, conçues pour simplifier la gestion du réseau tout en s'adaptant aux besoins uniques des réseaux industriels.
Conclusions
La microsegmentation devient de plus en plus un outil essentiel pour la protection des systèmes de contrôle industriels en raison de divers facteurs :
- Les nouvelles technologies facilitent la mise en œuvre.
- La gestion du réseau est plus facile lorsqu’elle est conçue avec des principes de défense en profondeur dès le départ.
- La variété croissante des équipements et des technologies au sein des réseaux industriels introduit de multiples besoins de connectivité.
- Une plus grande interconnectivité entre les systèmes industriels augmente le trafic et le nombre d’utilisateurs à gérer.
Ces facteurs rendent la microsegmentation de plus en plus recommandée pour tous les types de réseaux industriels. Cependant, même les réseaux de petite taille ou moins avancés peuvent bénéficier de ses avantages en matière de cybersécurité, notamment :
- Contrôle du trafic provenant d'équipements vulnérables ou spécifiques derrière des pare-feu indépendants.
- Séparer les équipements accessibles par les fournisseurs et les entités externes du reste du réseau avec deux réseaux de contrôle indépendants.
- Isolation des équipements de sécurité par des lames d'air.
Il est donc conseillé d’envisager la mise en œuvre de pratiques de microsegmentation lors de la conception de nouveaux réseaux industriels ou lors de modifications ou d’introduction de nouveaux équipements dans les réseaux existants.
Source: INCIBE (Institut national de cybersécurité d'Espagne)
Articles de blog associés
