La CISA et les leaders mondiaux de la cybersécurité ont introduit un cadre proactif pour l’approvisionnement en OT, mettant l’accent sur la sécurité dès la conception pour contrer l’évolution des menaces.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), ainsi que ses alliés internationaux en matière de cybersécurité, ont dévoilé les lignes directrices « Secure by Demand » pour protéger les environnements de technologie opérationnelle (OT). Le cadre fournit un modèle permettant aux propriétaires et opérateurs d’OT de donner la priorité à la cybersécurité lors de l’achat de produits numériques.
Cette initiative répond aux préoccupations croissantes concernant les vulnérabilités des infrastructures critiques, notamment les réseaux énergétiques, les réseaux de transport et les installations de fabrication, qui sont de plus en plus devenues la cible de cyberattaques sophistiquées.
Historiquement, une authentification faible, des protocoles obsolètes et des configurations non sécurisées ont rendu les systèmes OT particulièrement vulnérables, soulignant la nécessité d’une approche proactive en matière d’approvisionnement, comme l’indiquent les lignes directrices Secure by Demand dans le document.
« Stimuler la demande est essentiel, mais pour parvenir à un changement durable, il faut favoriser la responsabilité et l’adoption des principes SbD à l’échelle de l’industrie, du bureau du PDG au bureau du développeur », a écrit la directrice de la CISA, Jen Easterly, dans un blog correspondant à l’annonce des lignes directrices.
Des mesures réactives à la résilience proactive
Les lignes directrices préconisent d’intégrer les principes de sécurité lors de l’approvisionnement plutôt que de moderniser les solutions après le déploiement. Les aspects clés incluent l’obligation d’un historique détaillé des correctifs de vulnérabilité, de paramètres par défaut sécurisés, d’une authentification forte et de capacités de chiffrement modernes de la part des fournisseurs.
L’accent est mis sur la sélection de technologies sécurisées et sur la garantie d’un partenariat transparent avec des fournisseurs qui adhèrent aux normes de sécurité tout au long du cycle de vie des produits.
« Les technologies opérationnelles sous-tendent les infrastructures critiques, et lorsque les fournisseurs proposent des produits présentant des failles de sécurité, cela compromet l’ensemble de l’écosystème », indique le document. Les recommandations mettent l’accent sur la résilience dès la conception, permettant aux organisations de contrecarrer les attaques potentielles et de maintenir l’intégrité de leurs systèmes sans retards causés par les efforts de récupération après une faille.
Défis et implications pour les fournisseurs et les opérateurs
L’adoption des principes « Secure by Demand » peut nécessiter des ajustements opérationnels importants, en particulier pour les fournisseurs et les organisations qui ne connaissent pas de directives aussi strictes. Les fournisseurs doivent assurer la transparence concernant les certifications de sécurité, les calendriers de mise à jour des correctifs et les mécanismes permettant de remédier aux futures vulnérabilités. Pour les opérateurs OT, cela implique une refonte des protocoles d’approvisionnement pour les aligner sur les priorités de cybersécurité, ce qui pourrait retarder l’adoption mais, en fin de compte, renforcer les défenses.
Même si les directives mettent l’accent sur les mesures préventives, les experts reconnaissent les défis auxquels sont confrontés les petits fournisseurs qui peuvent avoir des difficultés à se conformer en raison de contraintes de ressources. De même, la transition des systèmes OT existants pour les aligner sur les principes de sécurité dès la conception pourrait mettre à rude épreuve les budgets et les délais.
« La nature héritée des systèmes OT, avec des cycles de vie beaucoup plus longs que ceux des services informatiques, se traduit souvent par une infrastructure obsolète, difficile à corriger ou à mettre à jour sans interruption opérationnelle », a déclaré Shivraj Borade, analyste senior chez Everest Group. « Les dépendances vis-à-vis des fournisseurs pour les mises à jour et les complexités d’intégration aggravent encore ces défis. »
Borade a souligné les vulnérabilités accrues des systèmes OT : « Largement utilisés dans les infrastructures critiques, ces produits sont des cibles privilégiées pour les acteurs malveillants. Construire des produits OT sécurisés est désormais devenu une priorité urgente.
Il a suggéré que les nouvelles directives de la CISA pourraient remodeler les stratégies d’achat des entreprises pour les produits OT. « Ces directives sont sur le point d’accroître la collaboration entre les sociétés de produits OT et les fournisseurs de logiciels indépendants (ISV) de sécurité OT, ouvrant ainsi des opportunités significatives sur le marché de la sécurité OT », a-t-il ajouté.
Une feuille de route pour la résilience en OT
Les directives « Secure by Demand » représentent une avancée significative vers un paysage opérationnel plus sécurisé et plus résilient. En plaçant la cybersécurité au premier plan des achats, le cadre de la CISA encourage les industries à donner la priorité à la sécurité à long terme plutôt qu’à la commodité à court terme.
La mise en œuvre réussie de ces recommandations pourrait positionner le cadre comme une norme mondiale, ouvrant la voie à une réduction des risques et à une coopération internationale plus forte dans la défense contre les cybermenaces. Pour les parties prenantes de l’OT, la ligne directrice sert à la fois d’avertissement et d’opportunité : adapter, innover et protéger leurs systèmes critiques pour un monde numérique en évolution rapide.
