Les environnements de technologie opérationnelle subissent une pression croissante pour se connecter. Les besoins métiers en matière d’accès à distance, de données en temps réel, d’analytique et d’intégration avec les systèmes d’entreprise continuent d’augmenter. Parallèlement, la pression réglementaire et l’activité des menaces visant les systèmes industriels se sont intensifiées. Les organisations doivent donc activer la connectivité sans compromettre la sécurité, la fiabilité ou la résilience opérationnelle.
Face à ces enjeux, les principales agences mondiales de cybersécurité ont récemment publié des lignes directrices conjointes sur la conception d’une connectivité sécurisée dans les environnements OT. Menées par le National Cyber Security Centre (NCSC) du Royaume-Uni et élaborées en partenariat avec des agences telles que la CISA, le FBI, le BSI et des homologues internationaux, les Secure Connectivity Principles for Operational Technology proposent un cadre orienté objectifs pour aider les organisations à connecter l’OT en toute sécurité.
Pour les opérateurs de services essentiels, ces lignes directrices revêtent une importance particulière. Une connectivité OT non sécurisée ou mal gouvernée peut entraîner des perturbations opérationnelles, des incidents de sécurité et, dans les cas les plus extrêmes, des conséquences pour la sécurité nationale. Les principes ne sont pas présentés comme une liste de contrôle ni comme un seuil minimal de conformité. Ils visent plutôt à aider les organisations à prendre des décisions éclairées et fondées sur le risque lors de la conception, de la mise en œuvre et de la gestion de la connectivité OT.
Les nouvelles lignes directrices reflètent une réalité largement répandue dans le secteur. Les environnements OT ne sont plus isolés. Les frontières entre IT et OT se sont estompées et la connectivité est souvent introduite de manière progressive pour répondre à des besoins opérationnels urgents, plutôt que via une conception structurée.
Les études montrent que la majorité des incidents cyber industriels trouvent désormais leur origine dans les environnements IT avant de se déplacer latéralement vers l’OT. Dans le même temps, de nombreuses organisations ne disposent pas d’inventaires précis des actifs OT, exploitent des systèmes hérités difficiles à corriger et s’appuient sur des mécanismes d’accès à distance non sécurisés. Les modèles de connectivité deviennent souvent plus complexes au fil du temps, impliquant des systèmes métiers, des plateformes de facturation, des services cloud, des intégrateurs et de multiples tiers. Chaque nouvelle connexion augmente la surface d’attaque.
Les lignes directrices menées par le NCSC répondent directement à ces défis en mettant l’accent sur une connectivité contrôlée, une réduction de l’exposition et une résilience intégrée dès la conception.
Les lignes directrices s’ouvrent sur un message clair. La connectivité peut créer de la valeur opérationnelle, mais uniquement lorsque les risques sont explicitement compris et maîtrisés. La connectivité OT ne doit jamais compromettre la sécurité, la fiabilité ou la disponibilité.
Cette approche est étroitement alignée avec la méthodologie d’analyse des risques OT d’Integrity360. En s’appuyant sur des cadres reconnus tels que l’ISO 27005 et EBIOS, nous aidons les organisations à comprendre comment les décisions de connectivité influencent les risques cyber, physiques et de sûreté. La connectivité n’est pas considérée comme une décision purement technique, mais évaluée au regard de l’impact métier, de la probabilité des menaces et de la résilience opérationnelle.
En intégrant la gestion des risques dans la prise de décision OT, les organisations peuvent s’assurer que la connectivité reste conforme à leur appétence au risque définie, plutôt que d’évoluer de manière opportuniste.
Un thème central des lignes directrices est la limitation de l’exposition. Les chemins d’accès inutiles doivent être éliminés et les communications strictement contrôlées. La connectivité IT/OT doit suivre des parcours standardisés et gouvernés afin de garantir la cohérence du monitoring, de la journalisation, de la visibilité et de la gouvernance.
Dans la pratique, de nombreux environnements OT souffrent de modèles d’accès fragmentés. Des connexions sur mesure sont créées pour des fournisseurs ou des projets spécifiques, souvent avec des contrôles incohérents et une visibilité limitée. Avec le temps, cela engendre une complexité difficile à sécuriser ou à surveiller.
Integrity360 répond à cette problématique par des revues d’architecture de sécurité OT, la conception de DMZ IT/OT et des audits ciblés permettant d’identifier les connexions non gérées, les chemins d’accès non sécurisés et les erreurs de configuration. En consolidant les accès et en gérant la connectivité via des passerelles définies et des modèles standard, les organisations gagnent en contrôle, en cohérence d’application et réduisent le risque de dérive des configurations.
Le renforcement du périmètre OT constitue un autre principe clé. Les systèmes ne doivent exposer que ce qui est strictement nécessaire d’un point de vue opérationnel, avec des contrôles d’accès robustes appliqués à toutes les formes de connectivité.
Cela est particulièrement crucial lorsque l’accès à distance est requis. L’accès externe aux environnements OT doit être protégé par une authentification multifacteur résistante au phishing, des contrôles d’accès basés sur l’identité et une application stricte du principe du moindre privilège. Les identifiants par défaut ne doivent jamais être présents sur les systèmes en production, en particulier ceux accessibles depuis des réseaux externes.
Les services d’ingénierie de sécurité OT d’Integrity360 accompagnent les organisations dans la mise en place de contrôles de périmètre renforcés, de solutions d’accès à distance sécurisé et de bastions d’administration conçus spécifiquement pour les environnements industriels. Ces mesures permettent de prévenir les accès non autorisés tout en maintenant la continuité opérationnelle.
Les lignes directrices sont explicites. Il faut partir du principe qu’une compromission peut se produire. Lorsqu’elle survient, son impact doit être limité. La segmentation et le contrôle des flux sont essentiels pour empêcher les déplacements latéraux entre les systèmes.
Les équipements hérités et obsolètes représentent un défi particulier. Ils sont souvent inadaptés à une connectivité externe directe et ne prennent pas en charge les contrôles de sécurité modernes. Les lignes directrices recommandent un accès indirect soutenu par de solides mesures compensatoires, notamment la segmentation, des composants de frontière de confiance et une journalisation complète.
Integrity360 accompagne régulièrement les organisations dans la conception de stratégies de segmentation alignées sur l’IEC 62443, l’isolement des actifs à haut risque et la mise en œuvre de contrôles compensatoires pour les systèmes hérités. Cela réduit l’ampleur d’un incident et protège les opérations critiques contre les effets en cascade.
Le document aborde également les protocoles industriels et recommande la migration vers des variantes sécurisées prenant en charge des protections cryptographiques pour l’authenticité et l’intégrité. Lorsque des protocoles non sécurisés restent utilisés, leur présence doit être explicitement justifiée et soutenue par une feuille de route de remplacement.
Les échanges de données entre IT et OT doivent être réalisés via une DMZ en utilisant des protocoles sécurisés et standardisés. Les données opérationnelles peuvent être partagées en toute sécurité en répliquant les historiens OT vers une instance située dans la DMZ à l’aide de mécanismes de transfert unidirectionnels, garantissant l’absence de connectivité entrante de l’IT vers l’OT.
Integrity360 soutient ces exigences grâce à ses services d’ingénierie de sécurité OT, à des évaluations de protocoles et à l’intégration sécurisée de sondes réseau, de pare-feu et de solutions de surveillance adaptées aux contraintes industrielles.
La connectivité doit être visible. La journalisation et la surveillance continue sont essentielles pour détecter les comportements anormaux, valider les politiques de segmentation et soutenir la réponse aux incidents.
Une surveillance efficace commence par la compréhension des modes opératoires des attaquants et par la conception d’une télémétrie capable de détecter ces comportements, et non par la simple collecte de journaux à des fins de conformité. Les services d’investigation OT et de réponse aux incidents d’Integrity360 se concentrent sur la mise en place de capacités de détection pertinentes permettant un confinement et une reprise rapides.
Enfin, les lignes directrices soulignent l’importance de la planification de l’isolement. Les systèmes OT supportant des fonctions critiques doivent, lorsque cela est possible, être conçus pour fonctionner de manière indépendante en situation de repli. Les plans d’isolement doivent être testés et intégrés aux processus plus larges de continuité d’activité.
Les principes menés par le NCSC fournissent un cadre clair et pragmatique, mais les lignes directrices à elles seules ne réduisent pas le risque. Pour la plupart des organisations, le véritable défi consiste à traduire ces principes en architectures concrètes, en modèles de gouvernance et en contrôles opérationnels efficaces.
Integrity360 aide précisément les organisations dans cette démarche. Grâce à ses services de conseil OT, d’audit, d’ingénierie, de formation et de réponse aux incidents, nous couvrons l’ensemble du cycle de vie de la connectivité OT sécurisée. De l’évaluation de l’exposition actuelle à la conception d’architectures résilientes et à la gestion des incidents, notre approche reflète le même objectif que celui des lignes directrices. Activer la connectivité là où elle crée de la valeur, sans jamais compromettre la sécurité, la fiabilité ou l’intégrité.
Si vous souhaitez en savoir plus sur la manière dont Integrity360 peut vous accompagner dans vos besoins OT et cybersécurité, contactez nos experts.