Cybersécurité et accès local aux dispositifs des systèmes de contrôle industriel

Optimisation
Typographie
  • Smaller Small Medium Big Bigger
  • Default Helvetica Segoe Georgia Times

Les préoccupations et les risques liés à la cybersécurité des activités industrielles et des infrastructures essentielles sont connus. Pourtant, depuis quelques années, on observe une forte augmentation des cyberattaques et des violations de sécurité.

Plusieurs facteurs complexes expliquent cette augmentation, notamment l’Internet des objets, l’ère de l’industrie 4.0, les dispositifs désuets, les outils de piratage au code source libre et un manque général de maturité en matière de cybersécurité dans les environnements ayant des systèmes de contrôle industriel (SCI).

Ce billet de blogue décrit quelques options à envisager afin d’assurer la cybersécurité du processus de gestion des accès local aux dispositifs des SCI – relais de protection, terminaux, automates programmables, interfaces personne-machine. Différents facteurs en compliquent la gestion, comme le nombre de dispositifs en cause, le temps de déplacement vers les sites éloignés, la gestion des sous-traitants et du personnel d’entretien externe, et le manque de ressources responsables de la bonne gestion des accès aux usagers.

Malgré l’ampleur de ces défis, l’absence de mesures pour atténuer les risques pourrait avoir des répercussions sur la production, la sécurité, la réputation de l’entreprise ou l’environnement. En mettant en œuvre des mesures de contrôle, aussi simples soient-elles, les entreprises industrielles peuvent grandement améliorer l’état général de leur cybersécurité.

Options pour la gestion des accès

Lorsqu’ils sont déployés correctement, les outils de cybersécurité multifonctionnels centralisés, procurent divers avantages. Toutefois, ils pourraient ne pas convenir aux petites entreprises et installations dont les budgets sont plus limités et à celles qui n’ont pas une grande maturité en matière de cybersécurité.

Le tableau ci-dessous présente quelques options à envisager. Il est cependant important de se rappeler que leur efficacité sera limitée à la capacité technologique offerte par les dispositifs des SCI. En règle générale, il est avantageux d’avoir plus d’une méthode dans son coffre à outils. Il convient également de noter que pour la plupart des options présentées, il existe des outils au programme-source libre, qui n’offrent toutefois pas certaines fonctions ou ont une interface utilisateur moins conviviale.

Enfin, il est important de souligner que les options de gestion d’accès décrites concernent l’accès électronique local et qu’une solution dédiée d’accès à distance doit être envisagée si nécessaire. Dans ce cas, il faut respecter les meilleures pratiques et mettre en place d’un point de raccordement intermédiaire (p. ex., une zone démilitarisée ou DMZ) pour les utilisateurs à distance et un processus d’authentification multifactorielle. Pour en savoir plus sur l’accès à distance, consultez ce billet de blogue.

Options pour la gestion des accèsAvantagesCoût et autres considérations[1]Outils à programme- source libre
  • Intégration des dispositifs avec Active Directory, RADIUS ou des services similaires
  • Utilise le contrôleur de domaine ou les serveurs existants.
  • Utilise les groupes d’autorisation existants.
  • Fait appel aux administrateurs existants pour la maintenance des systèmes.
  • Utilise les outils existants de surveillance de la sécurité.
  • Coût faible, selon le nombre de systèmes existants qui peuvent être utilisés.
  • Ampleur des mesures à prendre limitée à modérée, selon la complexité de l’infrastructure du réseau et la structure des groupes d’utilisateurs.
  • Oui, pour certains types de services.
  • Voûte pour les mots de passe
  • Enregistre et gère les noms d’utilisateur et les mots de passe des dispositifs des SCI en toute sécurité.
  • Dans certains cas, peut être associée à d’autres applications ou d’autres outils.
  • Coût faible, selon l’outil choisi.
  • Ampleur des mesures à prendre limitée, selon le nombre de fonctions à mettre en œuvre.
  • Oui. Certains outils à code source libre ont des fonctions plus évoluées que les options payantes. Certaines options commerciales pourraient offrir des versions gratuites pour les petites installations.
  • Poste de travail d’ingénierie centralisé
  • Dans certains cas, peut tirer parti de l’infrastructure virtualisée existante.
  • Restreint ou limite les autres méthodes d’accès aux dispositifs.
  • Contrôle les versions logicielles des fournisseurs.
  • Conserve les fichiers de configurations des dispositifs dans un dépôt centralisé.
  • Coût faible à modéré, selon le nombre de systèmes existants qui peuvent être utilisés.
  • Ampleur des mesures à prendre limitée à modérée, selon la complexité de l’infrastructure du réseau.
  • Oui, selon le système d’exploitation requis et les licences logicielles de chaque fournisseur.
  • Logiciel de gestion des accès privilégiés
  • Aucun besoin pour les utilisateurs de connaître les noms d’utilisateur et les mots de passe des dispositifs.
  • Rupture de protocole pour améliorer la sécurité.
  • Limite l’accès de certaines versions de logiciels de fournisseurs à des dispositifs spécifiques (lorsque plusieurs versions existent).
  • Coût faible à élevé, selon l’outil choisi.
  • Ampleur des mesures à prendre limitée à grande, selon les fonctions à mettre en œuvre et la complexité de l’infrastructure du réseau.
  • Oui, avec des limitations fonctionnelles. Certains fournisseurs proposent des démonstrations ou des essais gratuits.
  • Passerelle de sécurité
  • Gestion des accès local (p. ex., un seul poste ou une seule zone de traitement).
  • Intégration (dans certains cas) au contrôleur de domaine existant pour une authentification de première ligne.
  • Voûte pour les mots de passe.
  • Capacités des garde-barrières (dans la plupart des cas).
  • Interface IP sécurisée pour les dispositifs en série avec cartographie des protocoles (dans la plupart des cas).
  • Coût modéré à élevé, selon l’outil choisi.
  • Ampleur des mesures à prendre modérée à grande, selon les fonctions à mettre en œuvre et la complexité de l’infrastructure du réseau.
  • Non

[1] Le nombre de dispositifs de SCI et les types d’actifs électroniques sont des facteurs importants qui auront des répercussions sur le coût et l’ampleur des mesures à prendre.

Pour conclure

La gestion des accès locaux aux dispositifs des SCI présente des défis importants, mais il existe des solutions relativement simples et économiques. La mise en œuvre d’outils de gestion de ces accès permet aux installations d’exploitation et aux entreprises d’améliorer l’état de leur cybersécurité. Bien que ce billet de blogue se concentre sur les outils de gestion des accès locaux, une approche similaire peut être adoptée pour d’autres types d’outils de cybersécurité (gestion de la configuration, surveillance des menaces, gestion des correctifs de sécurité, etc.).

Afin de réduire les risques et les délais qui sont associés à la mise en œuvre des solutions de cybersécurité, il est recommandé d’organiser et d’exécuter des tests de validation, des démonstrations de faisabilité ou d’autres essais d’intégration dans un laboratoire de cybersécurité industrielle bien outillé.

Le laboratoire de BBA a démontré sa valeur ajoutée dans le cadre de nombreux projets. Un environnement de laboratoire peut grandement contribuer à la réussite de votre projet pour le déploiement à grande échelle d’outils ou de solutions de cybersécurité dans l’environnement d’exploitation de vos SCI.


Shayne Casavant, ing. est spécialiste en cybersécurité des systèmes de contrôle industriels chez BBA.


Source : BBA