Au port d’Anvers-Bruges, la sécurité de l’OT est majeure.  Un exemple de résilience

Le rapprochement entre l’IT et l’OT est désormais bien compris. Pourtant, seule une minorité d’entreprises atteint aujourd’hui un niveau acceptable en matière de sécurité OT. Trois experts unissent leur vision : Alisa Isachenkova (Port of Antwerp-Bruges), Peter Witsenburg (membre du Board of Advisors de Cybersec Europe) et Nick Peeters (Soterics).

Quiconque mise sur la cyberrésilience ne peut ignorer l’importance de la sécurité OT. Dans un monde de plus en plus connecté, la technologie opérationnelle, sur laquelle reposent les infrastructures généralement critiques des organisations, attire elle aussi l’attention des cybercriminels. Le rapprochement entre l’IT et l’OT est désormais bien compris. Pourtant, seule une minorité d’entreprises atteint aujourd’hui un niveau acceptable en matière de sécurité OT.

L’OT joue un rôle essentiel au port d’Anvers-Bruges (Port of Antwerp-Bruges), deuxième port d’Europe. Les systèmes permettant d’ouvrir les ponts et les écluses fonctionnent exclusivement grâce à l’OT. En cas d’incident informatique, les navires ne pourraient donc plus entrer ni sortir. Dès lors, l’impact ne se limite pas à l’organisation portuaire, mais affecte également toutes les entreprises qui en dépendent. Le trafic maritime dans son ensemble pourrait même être perturbé par un problème lié à l’OT.

Une priorité au port d’Anvers-Bruges

Les ponts et les écluses constituent dès lors des infrastructures critiques, au même titre que l’eau et l’énergie. Alors que les frontières entre l’IT et l’OT s’estompent, ces infrastructures sont elles aussi de plus en plus exposées aux cyberattaques. C’est pourquoi, depuis 2020, la sécurité OT est une priorité au port d’Anvers-Bruges. Des équipes dédiées s’attellent à la suppression des vulnérabilités. Une attention particulière est donc portée aux infrastructures les plus critiques, mais dans près de neuf entreprises sur dix, l’environnement OT est encore loin d’être sécurisé.

Le temps presse, car les cybercriminels ont bien conscience de cette vulnérabilité. Si, autrefois, la perturbation de ces systèmes était plutôt un effet collatéral d’une attaque IT réussie, ils deviennent aujourd’hui une cible directe. Certains groupes se sont même spécialisés dans les attaques visant l’OT. D’une part, parce que la probabilité de paiement d’une rançon est plus élevée lorsque l’attaque vise des systèmes qui ont un impact majeur sur les organisations et la société. D’autre part, parce que l’OT gagne également en importance chez des acteurs géopolitiques qui cherchent à atteindre leurs adversaires via des installations industrielles importantes.

Deux mondes à part

La sécurité OT est un travail de longue haleine. Historiquement, l’IT et l’OT sont deux mondes à part, avec leurs propres équipes, systèmes et objectifs. Là où l’IT accorde de l’importance à la confidentialité des données, par exemple, l’OT privilégie davantage la sécurité et la productivité. Comparativement à un environnement IT, l’OT est également beaucoup plus dispersée. Une entreprise compte parfois des dizaines de sites de production, avec des unités opérationnelles et responsables distincts. Qui assume dès lors la responsabilité finale ?

Dans de nombreuses organisations, cette charge incombe au CISO. Et étant donné l’ampleur de la tâche, celui-ci implique souvent aussi le CIO. Leur mission est loin d’être simple : rassembler toutes les voix dans l’entreprise et défendre le projet auprès du conseil d’administration afin d’obtenir les budgets nécessaires. En effet, le coût élevé de la sécurité OT forme un frein, tout comme le manque de communication et de documentation adéquates. Les équipes opérationnelles ne parlent pas le même langage que les spécialistes IT. Et étant donné que, comparativement à l’IT, de nombreux systèmes OT datent de la « préhistoire », ils sont rarement documentés. Pendant des années, ces connaissances reposaient sur un expert local, une base par trop fragile.

Le manque de connaissances et de vue d’ensemble ne facilite pas l’identification des actifs présents ni de leurs interconnexions. Or, il est impossible de sécuriser ce que l’on ne voit pas. Par ailleurs, une vulnérabilité OT ne se corrige pas avec un patch IT. La compatibilité avec SCADA – la plateforme de visualisation d’un environnement OT – fait généralement défaut. Par nature, les systèmes legacy ne sont pas conçus selon des protocoles de sécurité robustes. Dans de nombreux cas, la solution la plus simple consisterait en réalité à remplacer l’ensemble des systèmes OT, mais elle est écartée en raison de sa complexité et de son prix.

Fixez vos priorités et n’attendez plus !

Dans le contexte géopolitique actuel, l’inaction n’est pas une option. Mais comment les organisations peuvent-elles initier concrètement la sécurisation de leurs environnements OT ? Il faut d’abord comprendre qu’il n’existe pas de solution miracle, fonctionnant du jour au lendemain. La sécurité OT prend généralement cinq à sept ans. Commencez par collecter des informations et communiquer l’importance de ce projet au C-level. Définissez ensuite les bonnes priorités pour les budgets et pour la mise en œuvre. Ne vous focalisez pas d’emblée sur les plus petites pièces du puzzle, mais élaborez un plan stratégique qui aborde la sécurité OT de manière globale. Ne partez donc pas de la technologie, mais procédez par étapes.

C’est à un tel plan pluriannuel que le port d’Anvers-Bruges doit son niveau de sécurité OT relativement élevé. L’organisation a déterminé les priorités par lots et segments. La collaboration et la communication sont également essentielles. Par exemple, si une écluse doit être mise hors service pendant un week-end en raison d’interventions de sécurité, cela doit être planifié plusieurs mois à l’avance afin de minimiser l’impact opérationnel.

L’union fait la force

Sous l’impulsion de la directive NIS2, la plupart des organisations sont conscientes des défis à relever. La sécurité OT s’est ainsi imposée au conseil d’administration. Les choses bougent, mais trop lentement. D’autant plus que les cybercriminels, eux, ne traînent pas. Les entreprises, les fournisseurs et les pouvoirs publics doivent donc agir rapidement en vue de combler ces lacunes au cours des deux prochaines années.

La législation peut constituer un levier important. La directive NIS2 offre d’ailleurs une bonne base, mais ce cadre reste encore insuffisamment adapté à l’OT. De nombreuses mesures sont difficiles à appliquer et à mettre en œuvre en raison de la complexité de ces environnements. Les organisations ne peuvent donc pas se permettre d’attendre l’impulsion des législateurs.

L’exemple du port d’Anvers-Bruges doit devenir une source d’inspiration. Les entreprises de la zone portuaire ont compris que la sécurité IT/OT ne peut être le fait d’efforts individuels. Elles partagent leurs expériences et leurs idées, et collaborent activement avec les fournisseurs de solutions de sécurité. Et c’est précisément ces efforts conjoints qui leur valent leurs beaux progrès. L’union fait la force !

Stronger together est d’ailleurs le thème de Cybersec Europe, le plus grand événement consacré à la cybersécurité dans le Benelux.Les 20 et 21 mai, les professionnels du secteur se réuniront à Brussels Expo.Vous pourrez notamment y découvrir l’expérience du Port d’Anvers-Bruges.