● Journal du Net 📅 28/04/2026 à 10:31

Géopolitique 👤 Nicolas Arpagian

🏷️ Tags : chine vulnérabilités cert réseau rte

La numérisation et l'interconnexion croissante des environnements industriels (OT) oblige à une remise à plat de la supervision des équipements connectés et des réseaux de communication. La convergence IT – OT a conduit l’utilisation de technologies puissantes et modernes dans les systèmes industriels. Elle a également amené une culture de la protection cyber, dont une des composantes est la gestion des vulnérabilités. Ainsi, il est aujourd’hui accepté, voire imposé par les normes, de devoir connaître son parc d’équipements OT en détails, avec les versions des firmwares, de les mettre en relation avec les vulnérabilités connues via une interrogation semi-permanente avec les bases des CERTs, et d’organiser en conséquence les campagnes de mises à jour ou de déploiement des correctifs de sécurité. Cette approche présente de nombreux inconvénients. Les embûches de la sécurité des environnements OT Le premier inconvénient, bien identifié, est qu’à l’inverse d’un parc IT administré en permanence, le système OT ne peut faire l’objet d’évolutions qu’à certains moments, sous risque d’impact d’indisponibilité, de perte de production ; et que ces systèmes ayant été testés dans des conditions et configurations très précises, le risque d’une régression fonctionnelle demande à ce que les correctifs soient testés préalablement sur une plateforme tierce, représentative. Le deuxième inconvénient est aussi connu : les équipements obsolètes ne peuvent pas être corrigés. Il faut les isoler dans une zone protégée, et répondre aux vulnérabilités persistantes (quelques centaines pour Windows XP) par du zonage et de la protection périmétrique. C’est aussi la réponse pour une autre configuration assez fréquente : celle des machines qui viennent avec leur SI propre, opaque, peu – ou pas – gérés d’un point de vue cyber. La gestion des droits est par exemple propre à la machine et ne peut être déléguée à un AD du SI OT. Seul le fabricant de la machine peut intervenir sur le logiciel, faute de quoi les conditions contractuelles de maintenance ne s’appliquent plus. Les RSSI OT n’ont d’autre choix que de segmenter les ateliers concernés, et de faire pression sur les fabricants ; pression toujours plus faible que les impératifs de fonctionnement et de production. Le troisième inconvénient est que ce processus, à supposer qu’une entité industrielle accepte de le mettre en place avec les ressources adéquates, est trop lent. Il l’était déjà avant l’ère de l’IA : on considérait que deux campagnes de mise à jour par an étaient suffisantes, ce qui veut dire que l’on acceptait de vivre avec ses vulnérabilités. Or le délai entre la publication d’une vulnérabilité et son exploit est maintenant en jours, voire en heures : ce qui menace les infrastructures IT, mais renforce pour l’OT que la posture n’est pas de patcher à tout va, mais de vivre avec ses vulnérabilités. Des spécificités bien réelles D’abord, il faut admettre que la précision des inventaires, qui est une demande uniquement cyber, n’est peut-être pas si cruciale. Oui, il y a du shadow OT, oui, il peut être utilisé pour attaquer le système. Mais pas forcément moins qu’un autre équipement. Quand le pare-feu d’entrée fait l’objet de 5 à 10 vulnérabilités sévères par mois, il n’est pas dit qu’il soit un vecteur d’attaque moins à risque qu’un serveur XP oublié qui gère la machine à café. Le mantra « on ne protège bien que ce qu’on connaît » perd de sa pertinence si la protection est essentiellement liée à l’architecture, comme présenté ci-dessus pour les équipements obsolètes et les machines. Après tout, les fortifications de Vauban ne dépendent pas des constructions à l’intérieur des zones protégées. Ensuite, il faut vivre avec trois types de vulnérabilités : celles qui sont connues et anciennes, celles qui sont nouvelles, et celles qu’on ne connaît pas encore. La gestion des vulnérabilités ne concerne que les deux premières. Le critère d’urgence cyber se heurte à la nécessité fonctionnelle ; d’autre part, à supposer qu’on gère très bien les vulnérabilités anciennes et nouvelles, tout est remis en cause avec celles qui arriveront demain. Enfin, puisqu’il faut vivre avec ses vulnérabilités, est-ce que leur connaissance est nécessaire ? Oui, mais…. Ce qu’un industriel regarde, ce ne sont pas des risques théoriques, tels que les indiquent les scénarios de type EBIOS : ce sont des risques réels. Passer des vulnérabilités publiées aux risques réels, outre qu’ils ne concernent pas les vulnérabilités futures, dont les 0-day, demande à pondérer le score avec l’exposition, la configuration du service vulnérable (par exemple un service web sur un automate non déployé), l’impact métier. C’est un travail considérable, sauf à avoir préalablement intégré la cyber dans une analyse de risque métier, … et non cyber. Qu'en est-il des solutions à envisager ? Comme pour la protection physique des sites, c’est dans la réaction en deux temps : l’automatisation d’une mise en sécurité initiale sur détection d’attaque, puis une action réfléchie et humaine de levée de doute et d’action sur attaque avérée. Il existe maintenant des produits permettant de détecter une intrusion, un comportement suspect. Il ne faut pas demander à ces alertes d’être exactes, mais vraisemblables. C’est bien ce que font les systèmes de protection périmétriques des sites. La détection est une suspicion qui doit enclencher une action de mise en sécurité, d’amélioration donc de la posture, typiquement en supprimant ou reconfigurant des voies d’accès au système industriel. Tous les systèmes industriels ont une survivabilité fonctionnelle lorsqu’ils sont autonomes, ce que ne sont pas en général des infrastructures IT. C’est d’ailleurs pour cela que les industriels veulent des systèmes on-premise plutôt que cloud. Voir et savoir ce qui se passe Les systèmes industriels sont vulnérables, le resteront, et aucun produit ne saurait présenter un tableau exhaustif dans le temps. La minimisation de la surface d’attaque est évidemment nécessaire, mais elle concerne par définition ce qui est exposé, et les communications entrantes et sortantes. La sécurité vient d’une vraie plateforme d’observabilité, capable de détecter et de qualifier les suspicions d’attaque, par comportement, par pattern, en lien avec les analyses de Threat intelligence, qui eux font du temps réel sur les menaces ; et que cette plateforme, par elle-même ou couplée d’autres systèmes, fasse la mise en sécurité, automatique, immédiate ; puis effectue la remontée d’alerte avec suffisamment d’indicateurs pour permettre une analyse précise, une levée de doute, et les actions idoines. La réflexion n’est plus un réflexe, puisque ce dernier est activé avec la plateforme d’observabilité qui est sur site. La survie fonctionnelle du système industriel permet de prendre le temps de l’analyse. Même avec ce nouveau type de produits, il est utile de connaître son parc, et d’en connaître les vulnérabilités. L’architecture même du système OT, la défense en profondeur, les points de capture de la plateforme d’observabilité prennent en compte ces données. Mais, à l’exception de certaines campagnes ciblant des équipements exposés, il n’est pas nécessaire de voir ses vulnérabilités comme l’axe principal pour organiser la défense. Une zero-day ne se dévoile que lors de son exploit, et seule une excellente plateforme d’observabilité pourra permettre une défense efficace.

🔗 Lire l'article original 👁️ 0 lecture