Cinq agences fédérales mappent la confiance zéro aux systèmes existants d’OT, aux contraintes de sécurité et à la menace Volt Typhoon.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a demandé aux propriétaires et aux opérateurs de technologies opérationnelles de cesser de supposer que leurs réseaux sont sûrs et a publié des directives communes pour adapter les principes de confiance zéro aux systèmes industriels qui prennent en charge l’électricité, l’eau, les transports, l’automatisation des bâtiments et les infrastructures de soutien aux armes aux États-Unis.
Les propriétaires d’OT devraient concevoir des contrôles en partant du principe que les adversaires sont déjà à l’intérieur du réseau et valider chaque demande d’accès en fonction de l’identité, du contexte et du risque plutôt que de l’emplacement du réseau, ont écrit la CISA et quatre agences partenaires dans un document de 28 pages intitulé Adapting Zero Trust Principes to Operational Technology.
Le guide a été élaboré en collaboration avec le ministère de la Guerre, le ministère de l’Énergie, le FBI et le Département d’État, avec la contribution technique du National Institute of Standards and Technology.
Les agences ont été directes quant à la menace qui motivait la publication.
« La CISA a observé des acteurs malveillants comme Volt Typhoon ciblant les systèmes OT pour compromettre, escalader et maintenir l’accès au sein des environnements opérationnels », a déclaré Chris Butera, directeur exécutif adjoint par intérim de la CISA pour la cybersécurité, dans un communiqué accompagnant le communiqué. « L’architecture Zero Trust est essentielle pour prévenir les cyberincidents qui pourraient faire perdre aux opérateurs la visibilité ou le contrôle des systèmes essentiels. »
La CISA, le FBI et la National Security Agency ont averti pour la première fois en février 2024 que le groupe parrainé par l’État chinois se prépositionnait sur les réseaux informatiques américains pour permettre un mouvement latéral vers les actifs OT en cas de conflit géopolitique. Le groupe a depuis refait surface avec une activité renouvelée de réseaux de zombies exploitant des routeurs en fin de vie et un logiciel Zero Day de Versa Director pour récolter les informations d’identification des FAI américains.
Pete Luban, RSSI de terrain chez la société de cybersécurité AttackIQ, a déclaré que la convergence de l’informatique et de l’OT était la raison structurelle pour laquelle des orientations étaient nécessaires. « Les systèmes autrefois isolés sont désormais de plus en plus connectés aux réseaux d’entreprise et aux services tiers, et les attaquants en profitent pleinement », a déclaré Luban. « Les adversaires ne recherchent pas seulement des données à voler, mais aussi les liens faibles entre les systèmes commerciaux et opérationnels qui peuvent être utilisés pour se déplacer latéralement à travers les réseaux. » En OT, une intrusion réussie peut rapidement passer d’un problème de cybersécurité à un problème opérationnel, de sécurité et de confiance du public, a-t-il ajouté.
Une architecture de référence construite pour l’usine
Ce sont précisément ces points faibles que le nouveau guide tente de combler. Le document est structuré autour des six fonctions du NIST Cybersecurity Framework 2.0 – Gouverner, Identifier, Protéger, Détecter, Répondre et Récupérer – et s’aligne sur les objectifs de performance intersectoriels en matière de cybersécurité 2.0 de la CISA, l’Architecture de référence Zero Trust du DoD v2.0, le NIST SP 800-82r3 et la série internationale ISA/IEC 62443.
Mais les agences ont écrit qu’aucun de ces cadres ne pouvait être appliqué à l’OT sans modification.
« L’application globale des capacités ZT traditionnelles axées sur les technologies de l’information (TI) à l’OT n’est ni raisonnable ni réalisable », indique le document, appelant plutôt à une collaboration continue entre les ingénieurs OT, les architectes informatiques et les professionnels de la cybersécurité.
Les instructions demandent aux opérateurs de segmenter Active Directory utilisé dans OT en « une forêt ou un domaine distinct, d’éviter les relations de confiance directes entre les systèmes d’identité IT et OT et d’appliquer l’authentification multifacteur au niveau de l’hôte de saut » lorsque l’appareil sous-jacent ne peut pas la prendre en charge. Les sessions privilégiées doivent être stockées, enregistrées et limitées dans le temps, avec un accès juste à temps utilisé pour limiter les connexions des fournisseurs distants à des fenêtres de maintenance étroitement définies, conseille le document.
Concernant le cryptage, le document fait la distinction entre confidentialité et intégrité. L’intégrité et l’authentification via la signature numérique sont généralement plus critiques que la confidentialité dans l’OT, ont écrit les agences, car les certificats expirés n’arrêteront pas les opérations si les communications restent en clair. Dans le même temps, le chiffrement peut introduire une latence qui perturbe les systèmes critiques pour la sécurité.
Ce genre de nuance est précisément la raison pour laquelle le modèle ne peut pas être transplanté en gros, a déclaré Nick Tausek, architecte principal de l’automatisation de la sécurité chez Swimlane. « Les équipes OT ne peuvent pas simplement déplacer un modèle de sécurité informatique vers des environnements où les temps d’arrêt, la latence et les risques de sécurité ont des conséquences réelles », a déclaré Tausek. « La confiance zéro doit être mise en œuvre avec précision, conscience opérationnelle et automatisation afin de pouvoir appliquer la politique sans créer davantage de frictions pour les personnes qui assurent le fonctionnement des systèmes critiques. »
Ce que cela signifie pour les équipes de sécurité
La publication comble une lacune reconnue par le Zero Trust Maturity Model 2.0 de CISA, après avoir déclaré qu’il ne répondait pas aux défis spécifiques à la technologie opérationnelle. Cela fait suite aux obstacles à la sécurisation des communications OT de février et aux avertissements antérieurs de la CISA selon lesquels les VPN, les pare-feu et les appareils de périphérie existants restent les points d’entrée dominants pour les attaques sur les infrastructures critiques.
Le document explique aux acheteurs que l’approvisionnement stratégique permet aux opérateurs d’échapper au piège hérité, et les renvoie au guide Secure by Demand pour les critères de passation des marchés et à son outil SIEM open source, Malcolm, pour l’analyse du protocole OT.
Luban a déclaré que le problème le plus difficile est de vérifier que l’un de ces contrôles est maintenu. Les organisations doivent tester les limites par rapport aux tactiques adverses du monde réel, a-t-il déclaré, pour identifier « où la confiance est supposée, où l’accès est trop large et où les attaquants peuvent encore être en mesure de passer des environnements d’entreprise aux systèmes opérationnels avant que ces lacunes ne soient révélées lors d’un incident réel ». L’outillage adopté pour exécuter ces tests comporte son propre risque. Tausek a déclaré que les agents de sécurité basés sur l’IA, désormais installés aux côtés des environnements OT, sont devenus des cibles à part entière de grande valeur. « Si un attaquant parvient à falsifier un agent, à le désactiver ou à l’utiliser comme voie de confiance, l’outil destiné à améliorer la détection peut devenir une partie du problème », a-t-il déclaré.
