Dans cet épisode technique du podcast, les participants explorent les défis complexes de l’implémentation des technologies de télémétrie de sécurité dans les environnements de technologie opérationnelle (OT). Ils abordent particulièrement la transposition des concepts familiers du monde IT, comme les EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) et NDR (Network Detection and Response), vers l’univers industriel.

Les technologies de détection et de réponse reposent sur deux piliers principaux : la détection (génération de télémétrie intelligente) et la réponse (capacité d’intervention automatisée). Du côté IT, ces systèmes permettent d’intervenir sur les terminaux en les isolant ou en bloquant certaines actions, tandis qu’au niveau réseau, ils peuvent bloquer le trafic identifié comme malveillant. Cette approche, bien maîtrisée en IT, pose des défis considérables lorsqu’elle est transposée dans les environnements OT.

L’installation d’un EDR sur un automate industriel s’avère impossible, contrairement à un poste Windows traditionnel. Les équipements industriels génèrent une télémétrie primaire et limitée, rendant difficile l’extraction de signaux de sécurité pertinents. Les experts recommandent de se concentrer sur les actifs plus évolués fonctionnant sous Windows ou Linux, car la majorité des attaquants privilégient ces plateformes familières plutôt que les systèmes industriels propriétaires.

Cette approche s’appuie sur la “théorie du 99%”, qui stipule que les actifs IT ont une capacité de défense autonome contrairement aux actifs OT. Les attaques sophistiquées ciblant directement les systèmes industriels, comme Stuxnet ou Triton, demeurent exceptionnelles avec seulement quatre cas documentés en vingt ans. La plupart des incidents se limitent au niveau 3 du modèle de référence industriel, où se trouvent les serveurs et stations de travail Windows.

L’environnement OT présente une caractéristique unique : la longévité exceptionnelle des équipements. Contrairement au monde IT où les systèmes sont régulièrement renouvelés, les installations industrielles peuvent fonctionner pendant 40 ans. Cette durée de vie étendue s’explique par les coûts élevés des équipements (plusieurs millions par pièce) et leur cycle de vie utile prolongé, particulièrement dans des secteurs comme la santé.

Cette situation crée des défis de sécurité considérables, certaines installations fonctionnant encore sur des systèmes obsolètes comme Windows 3.11 ou NT4. Les organisations développent parfois des solutions de contournement, comme l’isolement par air gap et la réinstallation périodique des stations de travail pour gérer les infections persistantes.

L’implémentation d’EDR dans l’environnement OT nécessite une analyse de risque approfondie. Le confinement automatique, fonction standard des EDR, peut s’avérer catastrophique dans un contexte industriel. Les experts rapportent des incidents où un fichier de programmation d’automate (ladder logic) a été incorrectement identifié comme malveillant, provoquant le confinement automatique d’un serveur critique.

La configuration des EDR en OT exige une adaptation minutieuse, notamment la désactivation des fonctions de réponse automatique. De plus, ces systèmes demandent des ressources significatives et ne peuvent pas être déployés sur des serveurs déjà saturés ou ayant des capacités limitées, situation fréquente dans l’industrie.

Contrairement aux systèmes IT où les événements sont standardisés, les automatismes industriels génèrent une télémétrie sur mesure. Il existe peu d’experts capables d’interpréter les signaux industriels pour détecter des anomalies sécuritaires. Cette analyse nécessite généralement l’expertise d’ingénieurs de procédé familiers avec les systèmes spécifiques.

Les solutions de surveillance passive existent mais requièrent un investissement considérable en configuration et en compréhension de l’environnement. L’établissement d’une baseline de trafic normal peut prendre près d’un an de travail pour atteindre un niveau de visibilité comparable à celui obtenu en IT.

Le transfert des signaux OT vers les consoles IT pose des défis architecturaux majeurs. Les environnements industriels sont généralement cloisonnés, nécessitant la création de pipelines d’ingestion de données complexes. Ces systèmes de relais permettent de traverser les barrières réseau tout en maintenant la sécurité, mais rendent les projets de visibilité particulièrement laborieux.

La remontée des signaux vers une console de sécurité unifiée nécessite souvent une infrastructure dédiée côté OT, créant un “réseau dans le réseau” pour observer les systèmes cloisonnés depuis l’extérieur.

Les fournisseurs d’équipements industriels imposent souvent des restrictions strictes sur les solutions de sécurité autorisées. Dans les installations récentes sous garantie, seules certaines solutions approuvées peuvent être déployées. Le non-respect de ces contraintes peut entraîner l’annulation de garanties couvrant parfois 10 à 15 ans d’exploitation.

Cette situation oblige les organisations à valider toute solution de sécurité en laboratoire avant le déploiement, avec une représentation miniature de l’environnement de production. Certains éditeurs d’EDR montrent peu d’affinité avec les environnements cloisonnés, privilégiant des approches IT traditionnelles.

L’industrie OT évolue progressivement vers des solutions cloud, même pour les scanners passifs traditionnellement conçus pour des environnements isolés. Cette transition soulève des questions sur l’ouverture contrôlée d’accès Internet dans les couches basses du modèle de Purdue, remettant en question l’isolement total historiquement privilégié.

Les solutions modernes nécessitent un flux continu de renseignements sur les menaces pour détecter efficacement les menaces émergentes. Le transport traditionnel de signatures s’avère trop lent face à l’évolution rapide des cybermenaces.

Les experts recommandent de se concentrer sur la consolidation des journaux Windows et des événements SNMP comme point de départ pour améliorer la visibilité. Cette approche pragmatique permet d’obtenir rapidement des gains significatifs dans des environnements actuellement dépourvus de toute visibilité sécuritaire.

L’implémentation réussie de ces technologies requiert une collaboration étroite entre les équipes IT et OT, traditionnellement en tension. La cybersécurité en OT doit être perçue comme un mode de défaillance supplémentaire à surveiller, au même titre que les paramètres opérationnels traditionnels.

L’adaptation des technologies xDR aux environnements OT représente un défi multifacette nécessitant une approche sur mesure. Bien que les concepts IT puissent servir de base, leur transposition directe s’avère inadéquate. Le succès dépend d’une compréhension fine des contraintes industrielles, d’une analyse de risque rigoureuse et d’une architecture respectant les impératifs de sécurité et de continuité opérationnelle. L’évolution vers une visibilité sécuritaire complète en OT demeure un processus long et complexe, mais nécessaire face à l’évolution des menaces cybernétiques.