La confiance zéro parfaite ne convient pas aux environnements OT difficiles, utilisez donc un plan d’action pratique pour sécuriser les points d’entrée et satisfaire les régulateurs.
Je travaille en tant que spécialiste principal chez un opérateur de pipeline où la technologie opérationnelle (OT) est l’épine dorsale de l’entreprise. Je ne rends pas compte au conseil d’administration et n’agis pas en tant que RSSI, mais les problèmes qui sont soulevés à ces niveaux affectent mon travail au quotidien.
Depuis l’incident du ransomware Colonial Pipeline en 2021, il est devenu évident que notre industrie a commencé à adopter des tons différents : « Sommes-nous encore zéro confiance ? Je suis fréquemment témoin de son importance intense à travers des demandes d’audit, des directives de sécurité de la TSA et des conversations autour des objectifs de certains projets de contrôle.
Une des expériences que le rôle Zero Trust a changé est qu’il semble souvent mal adapté aux environnements lourds d’OT. Le modèle Zero Trust Architecture (SP 800-207) du NIST fonctionne pour tous, mais il est initialement écrit comme s’il s’agissait d’un réseau informatique, et non de terminaux, de stations de compression et de salles de contrôle où les équipements doivent fonctionner 24 heures sur 24, 7 jours sur 7, peut-être plus vieux que la technologie présente au sein de l’organisation. Les conseils de CISA sur l’adaptation des principes de confiance zéro à la technologie opérationnelle contribuent à combler cet écart, mais les appliquer signifie satisfaire en même temps les équipes OT et la direction de l’entreprise.
La question de la confiance zéro que j’entends en coulisses
Je suis presque sûr que nous savons tous que cela survient comme un choc de réalité après que quelque chose de vraiment majeur s’est produit, plutôt que comme un point sur une présentation de diapositives. Vous avez un pipeline. Toute la distribution s’arrête pendant six jours. À Washington, DC, les audiences du Congrès américain sont en cours et une législation est en préparation. La directive TSA 2021-02C exige que les exploitants de pipelines attestent de plusieurs éléments, comme la segmentation du réseau et les architectures zéro confiance.
NERC CIP-013 existe sur une approche similaire, davantage autour de la sécurité de la chaîne d’approvisionnement. Dans notre cas, la décision sur la manière de sélectionner et de gérer un fournisseur partenaire et de contrôler son accès à distance est déterminée par la conformité réglementaire et les cadres de gouvernance. Donc, vous avez toutes ces choses qui se produisent à l’extérieur et forcent le changement. Ils disent : « Êtes-vous Zero Trust ? Oui ou non ? » Nous obtenons toujours un « oui ». Ils savent que ce n’est pas « oui », et les vendeurs savent que ce n’est pas « oui », et rien n’est fait jusqu’à ce que quelque chose se produise.
Comment je recadre le zéro confiance pour l’OT dans mon travail
Mon influence vient de la façon dont je définis les problèmes et les options dans les conversations auxquelles je suis invité. Le zéro confiance en est un bon exemple.
Le SP 800-207 du NIST décrit le modèle Zero Trust comme un modèle dans lequel les décisions d’accès doivent être basées sur une identité, une politique et un contexte forts plutôt que sur un réseau. Les directives OT de CISA le réduisent, en conseillant les opérateurs sur l’apparence des appareils, la gestion des identités et ce qui chevauche l’informatique au lieu du remplacement global. Pourquoi la confiance zéro s’effondre dans les environnements IoT et OT » souligne que face aux complications des environnements IoT et OT, il faut être proactif.
Au cours de ces conversations, j’essaie de me concentrer sur trois points majeurs lorsque je parle d’IoT.
- Référez-vous au zéro confiance comme principe de fonctionnement. D’après mon expérience, les équipes réagissent mieux lorsque je dis « Chaque utilisateur et système doit prouver qui il est et pourquoi il a besoin d’y accéder » que lorsque je parle d’architectures abstraites. Ce langage correspond à ce que soulignent le NIST et la CISA sans pour autant submerger les gens de jargon.
- Concentrez-vous sur les points de convergence de l’informatique et de l’OT, comme les hôtes de saut, les connexions d’historique, les chemins d’accès à distance et les magasins d’identités partagées qui couvrent les deux mondes. Ce sont les points d’étranglement où les contrôles de type Zero Trust, tels qu’une authentification plus forte, le moindre privilège et la journalisation détaillée, peuvent nous permettre de gagner rapidement sans perturber les opérations qui dépendent d’un comportement prévisible.
- Liez tout ce que nous devons faire aux exigences existantes. La conversation passe de « pourquoi changeons-nous cela ? » à « comment pouvons-nous bien faire cela ? » qui s’aligne sur la directive de sécurité TSA Pipeline‑2021‑02C, une alerte CISA ou une exigence NERC CIP‑013.
Un plan de 90 jours que les dirigeants des OT peuvent exécuter
Même si quelqu’un exploite un gazoduc, il ne peut pas jouer avec une confiance nulle. Des questions telles que : « Que pouvons-nous accomplir avant que la TSA ne vérifie le trimestre prochain ? » Ou « Comment pouvons-nous montrer à l’équipe d’audit interne que nous faisons des progrès ce mois-ci ? » vient souvent. Nous avons établi une liste d’actions que nous prenons en charge sur un plan de quatre-vingt-dix jours, car nous trouvons qu’elle correspond davantage à nos contextes industriels tout en étant également transférable à d’autres contextes OT.
Jours 1 à 30 : Cartographier les actifs et les identités à la frontière IT/OT
Les 30 premiers jours sont destinés à une visibilité accrue. Je me concentre sur une question relativement simple : « Qui et quoi peut actuellement atteindre OT, intentionnellement ou accidentellement ? »
Les orientations de la CISA sur la confiance zéro pour l’OT, ainsi que d’autres avertissements, préconisent l’identification et la gestion des actifs et des communications là où existent des interfaces informatiques et OT, en plus des routes d’accès à distance informelles. En outre, la TSA exige que les opérateurs de pipelines mettent régulièrement à jour et gèrent des plans détaillant les réseaux, systèmes et points d’accès qu’ils évalueront conformément à leurs exigences établies en matière d’informatique et d’OT.
Dans ma position, cela se résume à trois actions. Tout d’abord, je travaille avec les ingénieurs OT, le personnel réseau et les systèmes d’inventaire des actifs pour déterminer quels actifs OT menacent les opérations, la sécurité ou la conformité s’ils sont compromis, plutôt que d’inventorier chaque appareil. Deuxièmement, je cartographie les utilisateurs et les liens qui accèdent à l’OT, tels que le personnel interne bénéficiant de privilèges avancés, l’assistance des fournisseurs à distance, les VPN et les plates-formes cloud qui interagissent avec les données de production. Troisièmement, je catégorise ces identités et connexions en fonction du risque, de l’impact et de l’exposition, et non en fonction de leurs rôles.
À la fin des 30 premiers jours, l’intention est de présenter aux dirigeants un aperçu facilement compréhensible : décrivant les actifs OT critiques, délimitant les points d’entrée à partir des systèmes informatiques internes et des sources externes et identifiant les identités associées. L’établissement de cette compréhension commune rend les discussions ultérieures sur la confiance zéro moins vagues.
Jours 31 à 60 : Contenir l’accès à distance des fournisseurs et générer des gains précoces
Recherchez des gains rapides au cours du mois prochain, dans un domaine à fort impact mais non perturbateur. L’accès à distance par des fournisseurs ou des tiers remplit souvent ces conditions, et la CISA en a mis en garde et continue de le faire.
Leurs conseils mettent l’accent sur les meilleures pratiques, notamment l’utilisation de la MFA, les privilèges utilisateur segmentés et la surveillance indépendante des activités des tiers. Le NERC CIP-013 exige que les services publics prennent en compte les menaces de cybersécurité et la gestion des risques qui protègent leurs chaînes d’approvisionnement et leurs fournisseurs qui se connectent aux systèmes critiques. Les directives de la TSA sur les pipelines prévoient une surveillance et des contrôles étroits de l’accès à distance. Dans mon cas, les premières victoires reviennent à dire à un fournisseur : OK, au lieu d’une méthode d’accès à distance non sécurisée, utilisez une solution d’accès à distance négociée et auditée. MFA pour toutes les sessions OT à distance. Fermez les anciennes connexions RDP des fournisseurs qui ne sont pas en service. Vous dites simplement que les temps changent et que depuis que ces méthodes ont été mises en place il y a quelques années, elles ont évolué ; il est raisonnable que vous évoluiez.
Jours 61 à 90 : Créez un tableau de bord et un récit de maturité simples
Le troisième mois est consacré à la visibilité et aux progrès reproductibles. Nous aurons désormais plus de clarté sur les actifs et les identités traversant la frontière IT/OT et avons bloqué les chemins d’accès à distance les plus dangereux. Nous allons maintenant prendre le temps de suivre où nous en sommes au fil du temps.
Je consulterai les dirigeants des équipes de sécurité et d’OT pour identifier l’ensemble de mesures adapté au contexte spécifique de l’organisation. Bien que la terminologie spécifique puisse varier, beaucoup s’aligneront sur le langage commun trouvé dans la TSA, la NERC, la CISA et d’autres documents de l’industrie. Considérez les grands thèmes « gouverner, protéger, détecter et réagir ».
Nous pouvons alors identifier de solides capacités « maintenant » et « meilleures au prochain trimestre » au sein de chacun de ces thèmes. « Gouverner » pourrait intégrer des politiques OT spécifiques sur la gestion des identités et des accès qui intègrent des directives de confiance zéro aux côtés des cadres faisant autorité existants. « Protect » peut suivre la fraction de vos actifs OT à fort impact qui a été consacrée à de meilleures pratiques de segmentation, ainsi que le pourcentage de vos voies d’accès à distance à l’OT identifiées comme à haut risque et disposant à la fois d’une MFA et d’une connexion négociée. « Détecter et répondre » pourrait voir des playbooks testés en place en supposant une compromission de connexion à distance qui injecte directement des logiciels malveillants dans un système OT, ce qui correspond à la façon dont les incidents récents se sont déroulés dans les services publics nord-américains.
Le résultat n’est pas une carte de pointage à faire circuler mais sera une conversation significative et honnête pour nos dirigeants. Vous saurez comment définir avec précision la manière dont votre organisation applique la confiance zéro dans le monde de l’OT aujourd’hui, montrer ce que vous avez accompli au cours des trois derniers mois et décrire honnêtement les domaines où il reste encore du travail à faire.
Je ne suis pas le seul à essayer d’adapter réellement les idées Zero Trust à l’OT, et je prête attention aux RSSI qui expriment les mêmes frustrations à l’égard des environnements IoT et OT. Nous résolvons le même problème depuis des sièges différents. Ce que j’ai découvert, c’est qu’un plan réalisable sur 90 jours, mis à jour mensuellement, surpasse tout engagement « Atteignons ensemble la confiance zéro ».
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
