Comment être mieux armé contre les cyberattaques ?

Les PME ne peuvent consacrer qu’un nombre limité de ressources à la lutte contre les cyberattaques. Souvent, le budget nécessaire à l’embauche de personnel et l’achat d’outils supplémentaires pour mettre en place une politique de cybersécurité adéquate a déjà été consacré à des questions plus « urgentes ». Mais si l’on calcule ce que peut coûter une seule cyberattaque, on ne peut s’empêcher de penser que la cybersécurité doit devenir une priorité absolue, surtout dans un monde numérisé. Même pour les plus petites PME. Car les pirates informatiques s’attaquent de plus en plus à l’industrie manufacturière. Avec quelques conseils concrets, cet article vous met sur la voie d’une meilleure défense contre les cyberattaques.

Si vous ne devez retenir qu’un seul mot de cet article, que ce soit la segmentation. La segmentation de la sécurité protège vos actifs en les regroupant en fonction de leurs exigences en matière de communication et de sécurité. Il va sans dire que les actifs impliqués dans des opérations critiques, la manipulation de matières dangereuses ou le traitement de données sensibles pourraient bénéficier d’une couche de protection supplémentaire, tandis que les systèmes de soutien tels que le serveur de messagerie pourraient se contenter d’un peu moins de sécurité. Mais par où commencer ? On peut distinguer trois piliers. Il s’agit des éléments fondamentaux permettant de mettre en place une architecture de sécurité zonée, normalisée et évolutive :

– Zones de sécurité : regroupements d’actifs dont la fonctionnalité opérationnelle et la criticité sont similaires et qui ont un dénominateur commun d’exigences en matière de cybersécurité ;

– Communication de confiance : principe selon lequel les actifs d’une zone de sécurité peuvent se faire confiance mutuellement, mais pas nécessairement la communication provenant d’une autre zone de sécurité ;

– Contrôles de sécurité : procédures de cybersécurité qui servent à préserver la disponibilité, la confidentialité et l’intégrité des informations et des systèmes au sein d’une organisation.

La division de la sécurité en différents segments permet de créer des réseaux clairement définis. Ceux-ci constituent les points de passage pour améliorer la cybersécurité globale au sein d’une entreprise. Cela comprend notamment la gestion efficace des actifs, la communication entre les actifs, le contrôle des accès privilégiés et la possibilité de se connecter à distance.

La segmentation facilite également la création d’une plus grande visibilité dans un réseau et permet éventuellement d’identifier l’actif qui doit être isolé. Surtout, elle offre la possibilité de mettre en place une architecture de sécurité évolutive et cohérente. Cela permet aux entreprises d’adapter facilement la configuration aux exigences changeantes de la production tout en garantissant des niveaux de service acceptables.

Le Centre d’excellence national de cybersécurité des États-Unis a défini une approche en six étapes. Une approche destinée aux petites entreprises de production.  

1. Identifier vos actifs

Tout commence par un inventaire du matériel, des logiciels et des données ou informations sensibles dans vos processus. Cela permet non seulement de déterminer les risques, mais aussi de déceler certaines inefficacités et de savoir quels actifs doivent être mis à jour ou mis à niveau. Si une organisation dispose d’une liste détaillée de ses actifs, la cybersécurité peut être plus précise et donc plus rentable.

2. Évaluer les risques et créer des zones de sécurité

La deuxième étape consiste à évaluer les risques liés à vos actifs matériels. Classez-les en zones de sécurité en fonction des risques et des similitudes opérationnelles. Le nombre exact de zones nécessaires varie d’une entreprise à l’autre. Plus ce nombre est élevé, plus le risque est faible, mais plus ce nombre est limité, plus la mise en œuvre et la gestion sont faciles. La plupart des entreprises disposent déjà d’un grand nombre d’informations sur la criticité et les risques associés aux actifs en ce qui concerne la continuité ou les plans de reprise.

3. Déterminer le niveau de risque pour chaque zone de sécurité

Une étape essentielle suivante consiste à définir le niveau de risque dans les zones de sécurité en fonction de leurs propres catégories d’activités. Plus un actif est critique, plus le risque potentiel associé à sa perte est élevé, et plus la sécurité devra être renforcée. Il existe des questionnaires et des listes de contrôle pour faciliter cette évaluation.

4. Cartographier les communications entre les zones de sécurité

Il est important de faire la distinction entre les actifs qui communiquent à l’intérieur d’une même zone de sécurité et entre différentes zones de sécurité. La validation de ce trafic aide à détecter les cyberattaques. Ces informations peuvent également être utilisées pour configurer les pare-feu et interdire le trafic entre les zones, à moins qu’il ne soit nécessaire à la production.

5. Définir des contrôles de sécurité pour les zones de sécurité

Les responsables IT et OT d’une entreprise doivent travailler en étroite collaboration pour déterminer les contrôles de cybersécurité nécessaires. Cela se fait en fonction des objectifs de production prédéterminés et de l’évaluation de l’impact d’un cyberincident. L’objectif est de réduire les risques autant que possible grâce à des procédures de sécurité appropriées.

6. Créer un diagramme de l’architecture de sécurité logique

Lorsque vous appliquez les éléments constitutifs de la segmentation à un environnement, vous obtenez une architecture de sécurité logique. Cette architecture constitue le schéma directeur permettant d’améliorer sans cesse la cybersécurité dans l’environnement de production.  

La mise en œuvre de la segmentation de la sécurité dans un environnement de production n’est pas un processus étape par étape. Mais l’exécution de cet exercice dans son intégralité pour parvenir à une architecture zonée fournira une méthode normalisée pour mettre en place une architecture de sécurité évolutive et cohérente. Chaque étape de ce processus de segmentation rapproche une entreprise manufacturière de la cybersécurité et réduit sa vulnérabilité aux cyberattaques. ■