Les administrateurs des réseaux OT doivent relever plusieurs défis de taille : offrir une connectivité en ligne aux utilisateurs, qui accédaient jusqu’à maintenant physiquement aux systèmes de contrôle industriels, tout en s’assurant que la sécurité n’est pas compromise.
Pour beaucoup, le télétravail et l’accès à distance font penser avant tout aux employés de bureau qui exécutent leurs tâches quotidiennes chez eux depuis leur PC.
L’accès aux systèmes distants revêt toutefois une importance considérable dans d’autres domaines et secteurs – une tendance à la hausse dans le contexte actuel. Il n’est pas seulement question de sécuriser l’accès aux réseaux IT, mais également aux réseaux industriels appelés « réseaux OT ».
Et ils sont bien plus répandus qu’on ne pourrait le croire : ils sont d’ailleurs des composantes essentielles et stratégiques des entreprises de production, des fournisseurs d’énergie, des sociétés pharmaceutiques ou encore des restaurants et commerces alimentaires. Ils sont également utilisés et indispensables dans toutes les autres (grandes) entreprises dans le cadre de l’automatisation des bâtiments (éclairage, surveillance, climatisation ou ascenseurs).
Les administrateurs des réseaux OT doivent donc relever plusieurs défis de taille : Ils doivent offrir une connectivité en ligne aux utilisateurs, qui accédaient jusqu’à maintenant physiquement aux systèmes de contrôle industriels, tout en s’assurant que la sécurité n’est pas compromise.
Afin de déterminer quels utilisateurs ont absolument besoin d’un accès distant aux environnements OT et pourquoi, il est possible de les classer en trois catégories :
- Fabricants de matériel : dans la plupart des cas, les systèmes de contrôle industriels qui composent ces réseaux incluent un contrat de maintenance à distance par le fabricant. Les administrateurs réseaux ont l’habitude d’accompagner les utilisateurs lors de la maintenance des machines existantes, notamment pour le déploiement de mises à jour et de correctifs et la mesure des performances, donc cet aspect n’ajoute aucune exigence supplémentaire.
- Collaborateurs en télétravail : le défi prend toute sa mesure lorsque l’on s’intéresse à ce groupe d’utilisateurs. Dans le contexte actuel, tous les collaborateurs présents auparavant sur site, mais qui travaillent désormais à l’extérieur de l’entreprise ou des sites de production, devraient en principe disposer d’un accès en ligne pour continuer à accomplir leurs tâches et effectuer des modifications sur les chaînes de production et processus de fabrication.
- Prestataires : enfin, de nombreuses entreprises externalisent une partie de leurs services à des prestataires qui se sont spécialisés dans certains domaines définis tels que l’optimisation de la production. Ces prestataires, qui effectuaient jusqu’ici le travail en présentiel, ont désormais besoin d’un accès à distance aux installations concernées, afin de remplir leur contrat et de maintenir le bon fonctionnement des chaînes de production. Pendant les périodes difficiles, ce type de prestation peut s’avérer encore plus important selon le secteur d’activité, les produits fabriqués et les services proposés.
L’intégration de différents types d’utilisateurs, de systèmes, de niveaux d’accès et de fonctions est un défi complexe pour la connectivité. Les chemins d’accès standard mis à disposition par le département IT ne répondent souvent pas aux cas d’utilisation spécifiques rencontrés dans les environnements OT. Il est nécessaire de développer des solutions spécifiques conçues pour les infrastructures OT.
Quelle que soit la situation actuelle, à savoir si les systèmes sont déjà configurés pour un accès distant sécurisé aux réseaux OT, s’ils sont en cours de (ré)évaluation, ou si une nouvelle acquisition est à l’ordre du jour, les entreprises devraient se poser les trois questions suivantes lors de la phase d’analyse :
1- Avons-nous à disposition un contrôle des accès granulaire et à privilèges ?
L’agent de maintenance d’un fabricant de systèmes de commande doit par exemple avoir accès à une commande spécifique destinée à une tâche spécifique pendant une période limitée. Afin de réduire les risques, les responsables de la sécurité doivent être en mesure d’accorder l’accès de ces utilisateurs spécifiques à des installations précises et pendant un laps de temps défini via quelques clics seulement.
2-Sommes-nous en mesure de surveiller activement l’accès, de le bloquer et de l’auditer ?
Les entreprises ont besoin de transparence et de contrôle sur l’accès des tiers et des collaborateurs, et ce avant, pendant et après l’exécution d’une session à distance. Cela implique la possibilité d’observer les activités en temps réel et de terminer la session en cas de besoin, ou de l’enregistrer à des fins d’audit ou d’enquête a posteriori.
3 - Nos procédures et méthodes opérationnelles sont-elles sécurisées ?
Au lieu de compter sur les tiers pour gérer les mots de passe, qui sont souvent utilisés par plusieurs personnes, il faudrait centraliser la gestion des informations de connexion à l’aide d’un coffre-fort numérique, et valider chaque utilisateur via une authentification multifacteur.
La nature des processus implique souvent l’installation de nouveaux fichiers. Afin de garantir l’intégrité de ces fichiers, il est essentiel de sécuriser dans le même temps leur transfert.
L’accès à distance augmente le risque et peut mettre en danger la maintenance et la production. Il est néanmoins possible de réduire durablement ce risque en adoptant un contrôle d’accès granulaire, la vérification des accès ainsi que des niveaux de sécurité supplémentaires comme les coffres-forts numériques et le transfert sécurisé des fichiers.
Une solution de sécurité adaptée permet aux administrateurs de réseaux OT de répondre au flux de demandes de connexions à ces environnements critiques en toute confiance, sans compromettre la sécurité des systèmes.
