April 16, 2025

Teknik - Identité dans l'univers des TO - Parce que... c'est l'épisode 0x577!

42 minutes

Parce que… c’est l’épisode 0x577!

Préambule

Nous avons rencontré quelques problèmes de stabilité avec l’enregistrement de Camille.

Shameless plug

10 au 18 mai 2025 - NorthSec

03 au 05 juin 2025 - Infosecurity Europe

27 et 29 juin 2025 - LeHACK

12 au 17 octobre 2025 - Objective by the sea v8

10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec

17 au 20 novembre 2025 - European Cyber Week

25 et 26 février 2026 - SéQCure 2026

Description

Ce podcast, animé par Nicolas-Loïc avec les invités Camille Felx-Leduc et Steve Bélanger, aborde la gestion de l’identité dans les environnements OT (technologies opérationnelles) par rapport aux environnements IT (technologies de l’information).

Les défis de l’Active Directory (AD) en environnement OT

Les intervenants soulignent que l’Active Directory, conçu pour les environnements bureautiques, a été transposé dans les environnements industriels, créant plusieurs problèmes :

L’AD est intrinsèquement complexe et difficile à sécuriser correctement

Sa configuration requiert une expertise spécifique souvent absente des équipes OT

La rétrocompatibilité excessive de l’AD permet l’utilisation de protocoles obsolètes (NTLM v1, SMB v1)

La synchronisation temporelle est critique - un décalage de plus de 5 minutes entre systèmes peut corrompre l’AD

L’organisation par défaut des AD n’est pas optimale pour la sécurité (objets placés dans “Computers” plutôt que dans des unités organisationnelles)

Les tensions entre sécurité et opérations

Le podcast met en lumière les contradictions entre les exigences de sécurité IT et les réalités opérationnelles :

Les politiques de changement fréquent de mots de passe deviennent problématiques pour les opérateurs en usine portant des équipements de protection

Les verrouillages automatiques de session après 15 minutes sont inadaptés aux environnements industriels où les opérateurs peuvent travailler plusieurs heures sur un même poste

Les contrôles d’accès physiques déjà en place dans les installations industrielles sont souvent ignorés dans la conception des politiques de sécurité

La conception centrée sur l’humain

Les participants soulignent l’importance d’adapter les solutions de sécurité au contexte d’utilisation :

Les solutions doivent être conçues en observant les opérateurs dans leur environnement réel de travail

Les badges d’accès pourraient servir de jetons d’authentification dans certains contextes industriels

La sécurité doit tenir compte des contraintes physiques (gants, masques, environnements extrêmes)

Le principe du “capitaine à bord” dans certains environnements OT (un opérateur responsable pendant son quart) offre une couche de contrôle humain qui peut compenser certaines limites techniques

Les vulnérabilités spécifiques aux environnements OT

Le podcast identifie plusieurs pratiques problématiques :

La réutilisation des mêmes identifiants entre environnements IT et OT

L’utilisation excessive des comptes administrateurs par défaut (“admin/admin”)

La gestion déficiente des comptes de service

Les architectures qui permettent d’accéder directement aux données des systèmes OT depuis l’IT

L’absence de documentation des identités utilisées

Les bonnes pratiques recommandées

Les intervenants proposent plusieurs solutions :

Séparer les AD des environnements IT et OT

Privilégier une architecture où les données sont “poussées” de l’OT vers l’IT plutôt que “tirées”

Implémenter des DMZ et respecter le modèle Purdue pour la segmentation réseau

Adapter les politiques de sécurité aux réalités opérationnelles

Faire des tests de pénétration adaptés aux environnements OT

Terminer automatiquement les sessions inactives après une période raisonnable

Conclusion

La discussion souligne l’importance d’une meilleure collaboration entre les équipes IT et OT. Les intervenants notent que les environnements industriels, souvent situés dans des zones éloignées, peuvent avoir des difficultés à attirer des talents en cybersécurité. Ils mentionnent l’émergence de services gérés pour les environnements OT, similaires aux MSP (Managed Service Providers) en IT, comme une solution potentielle à ce défi.

Collaborateurs

Nicolas-Loïc Fortin

Steve Bélanger

Camille Felx Leduc

Crédits

Montage par Intrasecure inc

Locaux virtuels par Riverside.fm

...more

View all episodes

By Nicolas-Loïc Fortin et le Polysecure crew