La recherche de vulnérabilités, ainsi que l’évaluation et la gestion des risques, sont plus complexes que jamais, ce qui constitue une raison supplémentaire d’encourager davantage de chercheurs à partager leur expertise et leurs connaissances.
Les communautés de recherche sur la sécurité informatique existent depuis des décennies. Elles partagent leurs conclusions avec les membres de la communauté et les fournisseurs du produit concerné, dans le but d’accélérer la mise en place d’un certain type de mesures correctives pour protéger les utilisateurs.
La valeur de ce service étant de plus en plus appréciée, les fournisseurs ont commencé à proposer des programmes de primes aux bogues, afin de motiver financièrement les chercheurs à les aider à identifier les vulnérabilités. Aujourd’hui, les programmes de primes aux bogues sont nombreux, et les chercheurs sont bien rémunérés.
Mais qu’en est-il des communautés de recherche qui se concentrent sur la vulnérabilité des infrastructures critiques ?
Au lendemain d’une période historique pour les organisations d’infrastructures critiques, notamment avec l’accélération de la transformation numérique, les attaques ciblées par ransomware et les attaques habiles de la chaîne d’approvisionnement, il est urgent de mettre en place des communautés de recherche axées sur la technologie opérationnelle (OT) et les systèmes de contrôle industriel (ICS). Si ces communautés émergent et ont un impact positif, elles n’en sont néanmoins qu’à leurs débuts. Que faudra-t-il pour qu’elles prolifèrent et se développent ?
Examinons les défis uniques auxquels sont confrontés les chercheurs qui analysent ces ressources, l’état actuel de ces communautés et quatre manières d’accélérer leur croissance à l’avenir.
Défis
Historiquement, l’OT a toujours été un environnement fermé. Les réseaux fonctionnent grâce à des protocoles propriétaires, les équipements anciens sont omniprésents et les équipements ICS sont propres à une fonction donnée. Un domaine propriétaire, où l’équipement est difficile d’accès, ne favorise pas l’examen par les pairs. Par conséquent, les chercheurs se motivent en grande partie seuls, que ce soit par plaisir de traquer les cybercriminels ou par volonté d’enrichir leur compréhension du mode opératoire des cybercriminels afin d’améliorer les niveaux de sécurité.
Aujourd’hui, du fait que les systèmes cyberphysiques (CPS) hautement connectés deviennent la norme, l’environnement OT évolue rapidement et est davantage exposé aux attaques. De plus en plus d’entreprises commerciales et d’outils Open Source sont entrés dans l’écosystème OT avec l’accélération de l’IoT étendu (XIoT), qui comprend l’OT/l’IoT industriel (IIoT), l’Internet des objets médicaux (IoMT) et l’IoT d’entreprise.
La recherche de vulnérabilités, ainsi que l’évaluation et la gestion des risques, sont plus complexes que jamais, ce qui constitue une raison supplémentaire d’encourager davantage de chercheurs à partager leur expertise et leurs connaissances.
Situation actuelle
Alors que plus de 60 % des organisations industrielles centralisent la gouvernance OT et IT sous l’autorité du RSSI, ce qui est une pratique recommandée, les entreprises commencent à procéder à des évaluations de sécurité et davantage de tests de pénétration de leurs environnements OT.
Les propriétaires et les exploitants de ressources effectuent un traitement de sécurité sur les équipements commerciaux afin d’acquérir une compréhension technique de la manière dont les logiciels et les systèmes deviennent vulnérables. Dans leur quête de connaissances, le cadre MITRE/ICS est rapidement devenu une ressource incontournable.
Il est désormais largement admis que la connaissance apporte le pouvoir. De ce fait, des programmes limités de primes aux bogues apparaissent.
Le programme Zero Day Initiative (ZDI), le plus grand programme de primes aux bogues indépendant des fournisseurs au monde, s’est étendu à l’OT et l’intérêt pour ce programme ne cesse de croître. La deuxième édition du concours Pwn2Own sur le thème des ICS est prévue pour 2022. Elle se divise en quatre catégories, dont le serveur de contrôle et l’interface homme-machine (IHM).
Une grande partie de la recherche sur la sécurité OT reste un territoire inexploré, mais nous gagnons du terrain. De plus en plus de grands fournisseurs d’équipements OT mettent en place des programmes internes sophistiqués pour rechercher de manière proactive les vulnérabilités. Au second semestre 2021, nous avons constaté une augmentation de 35 % des fournisseurs effectuant des recherches internes et une augmentation de 76 % du nombre de vulnérabilités découvertes par le biais de leurs programmes.
Avenir
Nous faisons des progrès, mais nous pouvons faire beaucoup plus pour aider les communautés de recherche à se multiplier et à tirer une valeur supplémentaire de leurs connaissances. Voici quatre suggestions :
1 > Rehausser le profil des ingénieurs en OT. Les équipements OT étaient autrefois perçus comme du matériel statique, mais l’OT se compose désormais de systèmes critiques, pilotés par des logiciels, qui doivent évoluer avec le XIoT. Avec cette évolution conceptuelle, les ingénieurs OT sont de plus en plus reconnus comme des technophiles et leur compréhension des vulnérabilités est essentielle pour renforcer la sécurité à l’ère de la transformation numérique. Nous devons continuer à encourager les ingénieurs à s’intéresser au DevSecOps sur le plan de l’OT, afin d’optimiser la sécurisation de l’économie industrielle.
2 > Combler le fossé des primes aux bogues entre IT et OT. Les fournisseurs devraient lancer des programmes supplémentaires de récompenses financières et de reconnaissance afin d’encourager la recherche en OT. Dans la mesure où les attaques contre les infrastructures critiques ont un impact sur les moyens de subsistance et les conditions de vie, plus il y a de chercheurs qui travaillent avec vous pour lutter contre les cybercriminels qui vous attaquent, mieux c’est. Tirez parti des talents des chercheurs et encouragez-les à apporter leur contribution.
3 > Établir des partenariats pour éliminer les obstacles à l’accès. Pour permettre la recherche, les fournisseurs doivent mettre en place des initiatives visant à rendre leurs équipements plus accessibles aux chercheurs. L’idée n’est peut-être pas conventionnelle, mais les fournisseurs qui sécurisent les ressources et les environnements OT/ICS devraient signer des partenariats pour partager l’accès aux équipements entre eux. Il est temps de multiplier les forces, compte tenu de l’ampleur des vulnérabilités et du risque inhérent au XIoT. Le partage de l’accès aux équipements est une tendance croissante qui profite à tous.
4. Donner des conseils pratiques. Les fournisseurs ne doivent pas partir du principe que la découverte d’une vulnérabilité entraîne l’application d’un correctif. Compte tenu des cycles d’application des correctifs, de la priorité accordée à la disponibilité et de la prévalence des systèmes existants, l’application de correctifs peut ne pas être viable. Il est nécessaire d’envisager les risques sous un autre angle et de les réduire grâce à des contrôles compensatoires, notamment une meilleure segmentation, un accès à distance sécurisé et des outils de détection. Après tout, le résultat final d’une vulnérabilité signalée devrait être de rendre l’environnement OT plus sûr aussi rapidement que possible.
À mesure que les infrastructures critiques migrent vers le cloud et que l’univers XIoT continue de s’étendre, nous sommes également de plus en plus exposés aux risques. Les systèmes et dispositifs OT ne peuvent plus être traités comme des boîtes noires. Les cybercriminels ne les considèrent pas comme tels, et les acteurs de la sécurité doivent également changer leur vision. Nous devons encourager la croissance des communautés de recherche pour aider à renforcer la cybersécurité industrielle, et ce rapidement.
