La protection de la technologie industrielle ne consiste pas seulement à améliorer les outils ; il s’agit pour les dirigeants de décider à l’avance qui prendra les commandes lorsqu’une crise frappe l’usine.
La première fois que j’ai abordé un environnement OT, j’ai supposé que les stratégies efficaces en matière de cybersécurité informatique seraient également applicables. J’ai eu tort. L’expérience a révélé une différence fondamentale, soulignant la nécessité d’une approche distincte de la gestion des cyber-risques OT.
L’erreur n’était pas technique. C’était conceptuel. Je considérais l’OT comme un autre domaine de sécurité nécessitant des contrôles plus stricts, de meilleurs outils et une plus grande discipline. Mais OT vit dans des conditions différentes. Les systèmes restent en service pendant des années, parfois des décennies. Les correctifs sont limités. Les fenêtres de changement sont négociées. Les dépendances avec les fournisseurs font partie des opérations quotidiennes. La visibilité des actifs est souvent incomplète et les environnements hautement distribués dépendent fortement de l’accès de tiers.
En résumé, le cyber-risque OT constitue fondamentalement un défi de leadership et de gouvernance. La principale préoccupation à grande échelle ne concerne pas les contrôles techniques isolés sur des sites individuels, mais plutôt la capacité de l’entreprise à garantir une prise de décision cohérente sur tous les sites grâce à des rôles clairement définis et une responsabilité partagée.
L’OT change la nature du cyber-risque
Les conseils d’administration ont amélioré leur cybersurveillance de l’informatique, mais l’OT nécessite une perspective différente. Ici, le cyber-risque va au-delà des données et de la conformité et concerne les processus opérationnels, les actifs industriels et les services critiques.
L’architecture OT commence dans le monde physique, passe par les systèmes de contrôle et les réseaux d’exploitation, et se connecte de plus en plus aux systèmes d’entreprise et aux services cloud. Cela crée un profil de conséquences distinct de l’informatique, dans lequel le cyber-risque affecte directement les opérations physiques.
Les contraintes opérationnelles de l’OT incluent de longs cycles de vie des actifs, une visibilité incomplète des actifs, un accès tiers intégré, une propriété fragmentée entre l’ingénierie, les opérations, la direction du site, les fournisseurs et la sécurité. Les hypothèses cyber-informatiques échouent souvent dans l’OT parce que les structures de risque et de responsabilité divergent fondamentalement.
La base de gouvernance pour l’OT reste mince, comme le reflète une récente recherche du Forum économique mondial qui met en évidence des questions plus larges de leadership et de surveillance. Seules 16 % des organisations disposant d’environnements industriels signalent les problèmes de sécurité OT à leurs conseils d’administration et seulement 20 % d’entre elles disposent d’équipes de sécurité OT dédiées. De plus, dans seulement 36 % des cas, le RSSI est directement responsable de la sécurité des OT. Ces faibles niveaux de reporting et de responsabilité indiquent non seulement un écart de maturité dans les processus organisationnels mais, plus important encore, un écart important en matière de responsabilité qui renforce directement la thèse : la gestion des cyber-risques OT à grande échelle est fondamentalement un défi de leadership et de gouvernance, plutôt qu’une simple préoccupation technique.
À grande échelle, une faiblesse locale devient un problème de coordination d’entreprise. Les différences de maturité, de propriété, de dépendances envers les fournisseurs et de priorités commerciales créent une exposition inégale. La question du conseil d’administration n’est pas de savoir si des contrôles OT existent, mais si l’entreprise peut prendre des décisions cohérentes et défendables concernant les cyber-risques OT avant et pendant la perturbation.
À grande échelle, les résultats des incidents deviennent des résultats en termes de leadership
La surveillance efficace des OT passe des discussions contrôle par contrôle à l’analyse des scénarios et des conséquences.
Les voies d’exposition courantes en matière d’OT incluent les abus d’accès à distance, les comptes partagés, une segmentation faible, les supports de maintenance infectés, les postes de travail compromis et la connectivité des fournisseurs mal gouvernée. En OT, ces expositions ont des conséquences opérationnelles directes. Une compromission SCADA peut réduire la visibilité sur les opérations électriques. Une mauvaise gouvernance de l’accès à distance peut dégrader les opérations ferroviaires. Les milieux infectés peuvent déclencher un arrêt de l’usine. Des modifications de paramètres non autorisées peuvent forcer des arrêts d’urgence et une validation manuelle de sécurité.
L’appétit pour le risque des OT ne peut être réduit à l’entreprise elle-même. L’impact des OT peut s’étendre à l’économie, à l’environnement, aux services critiques et, parfois, à la sécurité humaine. À mesure que les conséquences s’élargissent, les normes de surveillance doivent être renforcées. Une lacune en matière de contrôle technique constitue un risque. Une structure de gouvernance qui ne peut pas prendre en charge des décisions sûres et cohérentes sous pression représente un autre ordre de grandeur en termes d’exposition.
En OT, les résultats des incidents sont déterminés par les choix de direction effectués avant le début de la perturbation.
- L’organisation doit-elle s’isoler rapidement pour arrêter la propagation, ou continuer à fonctionner de manière contrainte pour protéger les résultats essentiels ?
- L’autorité devrait-elle être centralisée pour améliorer la cohérence, ou fédérée pour améliorer la rapidité et le jugement local ?
- L’organisation doit-elle restaurer rapidement ou vérifier d’abord l’intégrité des processus et accepter un chemin de récupération plus long ?
- Le support fournisseur et à distance doit-il rester largement activé pour des raisons de commodité opérationnelle, ou être réduit parce qu’il fait désormais partie du périmètre réel ?
Aucune option n’est toujours correcte. La clé est de savoir si les dirigeants comprennent les compromis avant qu’une action ne soit nécessaire. Les décisions exécutives telles que isoler ou opérer, centraliser ou fédérer et restaurer ou vérifier les résultats du changement. Ce sont des choix de gouvernance, pas des défauts techniques.
J’ai vu les deux côtés de la situation dans la pratique. Dans un environnement, la centralisation a accéléré le renforcement des capacités. Cela a amélioré la cohérence, mais cela a également introduit le risque de décisions plus lentes en cas de crise, car l’autorité était trop éloignée du bord opérationnel. Dans un autre cas, la responsabilité a été répartie entre les unités commerciales, ce qui a amélioré l’appropriation locale mais a accru le risque de coordination en cas de tension. La leçon n’a jamais été idéologique. C’était opérationnel. Le modèle opérationnel devait correspondre à la réalité des risques.
C’est également la raison pour laquelle les discussions les plus intenses au niveau du conseil d’administration en matière d’OT portent rarement d’abord sur les outils. Ils concernent les droits de décision, la logique d’escalade, les seuils de crise et l’assurance. Le NIST Cybersecurity Framework 2.0 est utile ici non pas parce qu’il fournit un script aux conseils d’administration, mais parce qu’il encadre explicitement la cybersécurité dans le cadre de la manière dont les organisations comprennent et gèrent les cyber-risques.
Ce que les conseils d’administration devraient demander maintenant
Les conseils d’administration n’ont pas besoin de devenir des experts techniques en OT. Ils doivent exiger une surveillance de niveau décisionnel.
D’abordclarifier le modèle opérationnel. À qui appartient le cyber-risque OT dans l’entreprise ? Où se situe la responsabilité des unités commerciales ? Quelles décisions sont centralisées et lesquelles sont déléguées ? Qui a l’autorité en cas de crise lorsque continuité et confinement sont en tension ? Si ces réponses ne sont pas claires, le risque résiduel est probablement sous-estimé.
Pour aider à concrétiser cela, considérons deux modèles opérationnels courants. Dans un modèle centralisé, la gouvernance des cyber-risques OT, les décisions en matière d’outillage et l’autorité de réponse aux incidents résident principalement au niveau de l’entreprise ou du groupe, généralement sous la direction d’une fonction centrale de sécurité ou de gestion des risques. Les sites locaux mettent en œuvre la direction de l’entreprise mais disposent d’une autonomie limitée pour définir des contrôles ou des actions de crise. En revanche, un modèle fédéré accorde davantage de droits de décision aux unités commerciales ou aux sites d’exploitation individuels. Ici, les dirigeants locaux sont souvent responsables des cybercontrôles OT, du tri des incidents et de la gestion des fournisseurs, tandis que l’organisation centrale coordonne les normes et fournit des conseils. Chaque modèle apporte des compromis différents en termes de cohérence, de rapidité et d’adaptation locale. Les administrateurs devraient demander à la direction de clarifier quelle approche est en place aujourd’hui et pourquoi elle correspond au profil de risque de l’organisation.
Deuxièmeidentifiez les deux ou trois scénarios cyber OT qui auraient le plus d’impact sur la continuité, les opérations clés et la défense externe. Les scénarios doivent être suffisamment concrets pour guider les priorités, le budget et la préparation à la crise. Les déclarations génériques sur la protection des infrastructures critiques ne suffisent pas.
Troisièmenécessitent une assurance. Les conseils d’administration devraient se demander s’il existe une base de référence et si son efficacité a été testée de manière indépendante. La gouvernance et l’assurance doivent se situer au-dessus de la base technique et du modèle opérationnel. En OT, les évaluations de sites, les simulations contradictoires, les exercices sur table et la validation des contrôles d’accès à distance fournissent plus d’informations que la notation de maturité.
Quatrièmeaborder l’innovation. L’IA et le cloud modifient les environnements opérationnels, même lorsque leur adoption commence au niveau physique. L’agenda des dirigeants s’oriente vers la gouvernance, la résilience et le contrôle de dépendances numériques de plus en plus complexes. Pour l’OT, les conseils d’administration devraient traiter ces changements comme des questions de modèle opérationnel et d’assurance, et non comme de simples questions technologiques.
C’est là que l’ordre du jour du conseil devient pratique. Les administrateurs doivent demander à la direction de clarifier les droits de décision, de définir les principaux scénarios de cyber-OT, d’établir une base de référence minimale pour l’entreprise pour les environnements prioritaires et d’effectuer une assurance indépendante sur les sites ou les opérations les plus importants. Il ne s’agit pas de tâches techniques d’entretien ménager. Ce sont les fondements d’une surveillance défendable.
Cet article s’appuie sur une récente session du RSAC sur la gestion des risques liés aux OT à grande échelle, mais la leçon est plus large. Le cyber-risque OT à grande échelle n’est pas simplement un problème de contrôle. Il s’agit d’un problème de leadership, car les résultats réels dépendent de la gouvernance, de la responsabilité et de compromis convenus à l’avance. Les organisations qui parviennent à mieux gérer les perturbations liées à l’OT ne sont généralement pas celles qui proposent les présentations les plus ambitieuses. Ce sont eux qui ont décidé à l’avance de la manière dont ils allaient gouverner, intensifier, vérifier et redresser la situation.
C’est sur cela que les conseils d’équipe devraient insister. En OT, la résilience se construit par des décisions prises avant que l’alarme d’incident ne retentisse.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
