La nouvelle initiative CI-Fortify exhorte les opérateurs d’infrastructures critiques à se préparer aux cyberattaques en s’assurant qu’ils peuvent se déconnecter des réseaux tout en continuant à fournir des services essentiels – ce qui, selon les experts, dépendra de l’investissement et de la discipline.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a dévoilé une nouvelle initiative nationale visant à aider les opérateurs d’infrastructures critiques à résister et à se remettre des cyberattaques majeures en se préparant à opérer indépendamment d’Internet et des dépendances de tiers.
Le programme, CI Fortify, est conçu pour garantir que les organisations peuvent continuer à fournir des services essentiels même lorsque leurs réseaux sont dégradés, déconnectés ou soumis à une cyberattaque active. « La résilience et la fiabilité commencent par la planification et l’investissement », a déclaré Nick Andersen, directeur par intérim de la CISA, lors d’un point de presse, soulignant que les opérateurs doivent être prêts à fonctionner même lorsqu’ils sont coupés de la connectivité externe.
« CI Fortify a la bonne doctrine », a déclaré James Winebrenner, PDG du fournisseur de sécurité réseau Elisity. « Ce qui manque, c’est l’investissement du côté de l’opérateur qui permettrait de rendre ces directives exécutables. »
Cette initiative intervient alors que les responsables américains préviennent que les adversaires sont déjà prépositionnés à l’intérieur des réseaux d’infrastructures critiques, susceptibles de perturber l’électricité, l’eau et les communications en cas de conflit géopolitique.
Ce que CISA essaie de résoudre
À la base, CI Fortify concerne la résilience opérationnelle dans les pires conditions. La CISA exhorte les organisations à supposer que la connectivité, en particulier avec les fournisseurs externes, peut ne pas être disponible lors d’un incident majeur et à planifier en conséquence.
Cette résilience signifie développer la capacité de se déconnecter intentionnellement des services tiers, des télécommunications et même de certaines parties de leurs propres environnements informatiques, tout en continuant à exploiter les systèmes critiques. Cela signifie également être capable de restaurer rapidement les systèmes compromis alors qu’ils se trouvent dans cet état d’isolement.
Les responsables de la CISA soulignent qu’il ne s’agit pas d’un espacement d’air traditionnel, mais d’une isolation contrôlée combinée à la capacité d’opérer localement et manuellement en cas de besoin. L’objectif est de couper l’accès des adversaires tout en maintenant la prestation des services essentiels.
« Lorsqu’une cyberattaque se produit, des capacités d’urgence bien planifiées permettent de garantir que l’organisation affectée peut toujours fournir des services critiques », a déclaré Andersen de CISA.
L’agence a déclaré qu’elle soutiendrait cet effort par le biais d’évaluations, de conseils et d’exercices ciblés, avec une phase pilote déjà en cours et du personnel supplémentaire indispensable prévu pour étendre le programme à tous les secteurs.
Concrètement, l’initiative pousse les organisations à répondre à des questions difficiles : combien de temps peuvent-elles fonctionner sans connectivité externe ? Quelles dépendances sont critiques ? Et quel est le niveau de service minimum viable qu’ils doivent maintenir en cas de perturbation ?
Un playbook familier sous un nouveau nom
Bien que le cadre de CI Fortify soit nouveau, les concepts sous-jacents ne le sont pas. Plusieurs experts affirment que l’initiative reconditionne en grande partie des pratiques de longue date en matière de reprise après sinistre, de continuité des activités et de réponse aux incidents – des domaines dans lesquels de nombreuses organisations ont historiquement sous-investi.
« Cela me semble être une planification traditionnelle de la continuité des activités, une reprise après sinistre et une réponse aux incidents », a déclaré Richard Forno, directeur associé de l’UMBC Cybersecurity Institute. « Ce sont des éléments que les organisations devraient avoir intégré depuis longtemps dans leur planification de cybersécurité. »
Cet écart entre la théorie et la pratique est précisément ce que la CISA tente de combler. Le message de l’agence est que la planification seule ne suffit pas : les opérateurs doivent développer et tester des capacités qui fonctionnent dans des conditions de stress réelles.
Bill Moore, PDG de Xona Systems, un fournisseur d’accès à distance sécurisé, a formulé le problème en termes architecturaux, affirmant que la résilience dépend de la façon dont les systèmes sont conçus pour fonctionner en cas de perturbation.
« La résilience ne s’obtient pas uniquement par des politiques, une visibilité ou des plans de réponse aux incidents », a déclaré Moore. « Les opérateurs d’infrastructures critiques ont besoin d’architectures qui permettent de maintenir le travail essentiel lorsque les réseaux sont segmentés, dégradés, isolés ou soumis à une cyber-tension active. »
Le problème de la visibilité
L’un des plus grands défis auxquels est confronté CI Fortify est que de nombreuses organisations ne comprennent pas clairement leurs propres dépendances, en particulier dans les environnements technologiques opérationnels.
Les infrastructures critiques modernes sont profondément interconnectées et reposent sur plusieurs niveaux de fournisseurs, de fournisseurs de services gérés, d’intégrateurs et de systèmes de licences. Cette complexité rend difficile la détermination de ce qui doit être déconnecté et de ce qui doit rester opérationnel pendant une crise.
« Vous ne pouvez pas planifier de fonctionner sans contact avec des tiers pendant des semaines, voire des mois, jusqu’à ce que vous puissiez réellement répertorier ces tiers », a déclaré Winebrenner d’Elisity. « La plupart des opérateurs ne le peuvent pas. »
Ce manque de visibilité a été mis en évidence lors d’incidents récents, notamment un incident impliquant le fournisseur de technologie de services publics Itron et un autre impliquant des acteurs iraniens de la menace compromettant les contrôleurs logiques programmables des installations d’infrastructures critiques, où les attaquants ont exploité des connexions mal comprises dans des environnements OT. Sans un inventaire complet des dépendances, la planification de l’isolement peut devenir largement théorique.
L’accent mis par la CISA sur les évaluations et la cartographie des dépendances reconnaît ce défi, mais combler l’écart nécessitera des efforts soutenus – et probablement de nouveaux outils – de la part des propriétaires d’actifs.
Coût, incitations et réalité
Même lorsque les organisations comprennent ce qui doit être fait, les aspects économiques de la résilience restent un obstacle majeur.
Construire des systèmes capables de fonctionner sans dépendances externes nécessite souvent une infrastructure redondante, des systèmes de sauvegarde et des canaux de communication alternatifs, ce qui a un coût.
« Pour faire ce qu’ils proposent, il faut disposer d’une tonne de ressources en attente, ce qui coûte de l’argent », a déclaré Forno de l’UMBC. « Dans de nombreux cas, les entreprises ne dépenseront pas d’argent pour pouvoir se débrancher et effectuer une transition en douceur. »
Cette tension entre sécurité et coût est susceptible de façonner la manière dont CI Fortify sera adopté. La résistance de l’industrie aux efforts réglementaires antérieurs suggère que les directives volontaires à elles seules ne peuvent pas entraîner un changement généralisé.
L’accès à distance comme point de contrôle
Un autre thème clé est le rôle de l’accès à distance en tant que nécessité et risque.
En cas de perturbation, les opérateurs, les ingénieurs et les fournisseurs doivent toujours accéder aux systèmes critiques. Mais les approches traditionnelles, telles que les VPN et l’accès étendu au niveau du réseau, peuvent nuire aux efforts d’isolation en élargissant la surface d’attaque.
Moore, de Xona Systems, soutient que l’accès à distance doit être repensé comme une fonction étroitement contrôlée et auditable, conçue pour les situations de crise.
« La résilience des infrastructures critiques nécessite un accès à distance conçu pour les conditions de crise : pas d’exposition étendue du réseau, pas d’hypothèse de confiance entre le point final et l’OT, un contrôle précis des sessions et des preuves claires de qui a accédé à quoi, quand et pourquoi », a-t-il déclaré.
Ce que la CISA demande effectivement aux opérateurs de faire maintenant, c’est de s’attaquer à ces questions cruciales de résilience avant qu’une crise ne force le problème. La réussite de l’initiative dépendra moins de la clarté des orientations du gouvernement que de la capacité des opérateurs à cartographier leurs dépendances, à justifier le coût de la résilience et à réorganiser l’accès sans perturber les systèmes qu’ils tentent de protéger.
