De nombreux responsables sécurité sont encore convaincus qu'ils n'ont pas à évaluer les risques liés aux technologies opérationnelles (OT), parce qu'ils n'en ont pas la charge. Une attitude dépassée qui conduit souvent à des angles morts. Les équipements opérationnels représentent toute une gamme de matériel et de logiciels, au sein des systèmes de gestion des bâtiments, des ascenseurs, du chauffage, de la ventilation, de la climatisation ou des dispositifs de contrôle d'accès.
Compte tenu du rapprochement de plus en plus courant entre l'IT et l'OT (operational technology) et de l'importance croissante du nombre de bâtiments intelligents, le risque cyber dans ces domaines est plus important que jamais. D'autant que l'OT, qui restait plutôt protégée, est aujourd'hui de plus en plus vulnérable à cause des capteurs intelligents ou des accès à distance à des fins d'analyse prédictive. En voici quelques exemples concrets.
La vulnérabilité d'un thermomètre ou de la climatisation
En 2018, des pirates ont réussi à compromettre un thermomètre intelligent dans l'aquarium d'un casino américain et à accéder au réseau et à la base de données de ce dernier. Avant cela, en 2013, deux chercheurs en sécurité ont démontré de manière spectaculaire que les systèmes de chauffage, de ventilation et de climatisation (CVC) peuvent être attaqués avec des outils tels que HVACKer. Ils ont tout simplement réussi à détourner le CVC de Google Australie et à le pirater. En 2022, ce sont les onduleurs électriques d'un fabricant d'équipements industriels renommé qui ont été affectés par des vulnérabilités critiques. Ces dernières ont permis de pirater et d'endommager les systèmes à distance.
Des situations qui soulèvent plusieurs questions pour les RSSI dans la mesure où la protection OT n'est pas leur coeur de métier. Souvent, les entreprises n'attachent pas une grande importance à la sécurisation des ascenseurs ou des systèmes de climatisation. La probabilité plus faible d'attaque doit-elle se traduire par une moindre allocation de ressources à leur protection ? Comment trouver un bon équilibre entre « ne pas s'enliser dans les détails » et « gérer le risque de manière appropriée » pour les RSSI ?
Modéliser les menaces et évaluer les risques
Pour se préparer, les entreprises doivent d'abord disposer d'une modélisation adéquate des menaces et évaluer les risques associés. L'attention portée à l'OT en matière de risque cyber ne devrait en effet pas être moins importante que celle portée à la supply chain digitale, par exemple, aux environnements de test et développement ou encore au Shadow IT. On atteint l'équilibre lorsque des processus de gouvernance des risques sont en place et que ceux-ci peuvent être gérés de manière optimale. Pour ce faire, il faut d'abord identifier toutes les ressources OT et IoT industriel périphériques. Ensuite, il faut catégoriser l'impact sur l'entreprise, c'est-à-dire analyser en profondeur les vecteurs de menace ainsi que les conséquences potentielles d'une attaque sur les processus, la sécurité, la réputation, les finances et la conformité.
L'OT, une menace à ne pas négliger pour les RSSI
Ascenseurs, onduleurs, bâtiments sont tous désormais équipés en capteurs et logiciels. Regroupés sous le terme operational technology (OT), ils sont de plus en plus vulnérables aux cybermenaces et deviennent ainsi l'affaire des RSSI.