Comprendre les mandats de conformité de l'UE : technologie opérationnelle et systèmes critiques

Dans mon premier post sur la compréhension des mandats de conformité de l'UE, j'ai discuté du paysage de la conformité dans son ensemble et de la manière dont les différents types d'industries et domaines ont chacun leurs propres mandats ou directives en matière de cybersécurité. Aujourd'hui, je vais me concentrer sur les réglementations et les contrôles de sécurité spécifiques à un secteur vraiment intéressant : les systèmes critiques et les technologies opérationnelles.

Pour plus de clarté, commençons par définir certains acronymes couramment utilisés :

• OT — Technologie opérationnelle (par opposition à l'informatique, aux technologies de l'information)
• IL — Les technologies de l'information, les systèmes informatiques classiques et les réseaux que nous connaissons tous
• ICS — Systèmes de contrôle industriels
• SCADA — Contrôle de supervision et acquisition de données

Il est important de comprendre les différences fondamentales entre la sécurité OT et la sécurité informatique avant de nous pencher sur la conformité qui existe dans le secteur, car les exigences fondamentales sont très différentes. Pour ceux qui travaillent sur le terrain ou qui ont de l'expérience dans ce domaine, nous avons probablement tous constaté des variations sur le schéma ci-dessous :

Dans un environnement OT, la défaillance d'un système ou l'incohérence des données peuvent avoir un impact physique réel sur le monde. Par exemple, la panne d'un système de sécurité ou l'arrêt d'une chaîne de production peuvent avoir des conséquences physiques plus dommageables que des défaillances informatiques similaires. Cela signifie bien entendu que les systèmes eux-mêmes (y compris les logiciels) sont conçus dans un souci de résilience et de redondance, et que mandats de conformité en tenir compte.

Cela dit, examinons certains des types de conformité qui peuvent s'appliquer, puis voyons comment microsegmentation et contrôlez le jeu avec eux.

Les principaux mandats que nous voyons dans l'UE sont les suivants :

• La directive sur la sécurité des réseaux et de l'information, ou NIS-D. Il s'agit d'un ensemble de cybercontrôles à l'échelle de l'UE, créé de manière centralisée avec la contribution de tous les États, mais avec des conseils et une supervision fournis au niveau local, pays par pays.
• L/MIN. Similaire, mais plus local, le LPM est un mandat français spécifique à l'OT ou « loi sur la protection des infrastructures d'information critiques ». Cela a servi en partie à la base du NIS-D et contient des concepts similaires d'opérateur de services essentiels. La différence avec le LPM est qu'il s'agit d'un mandat et que, par conséquent, les systèmes considérés comme « concernés » par le mandat doivent respecter les directives de sécurité du LPM. En France, cette loi est régie par l'ANSSI (Agence nationale de la sécurité des systèmes d'information), qui supervise également le NIS-D dans la région.

Comment la microsegmentation s'applique à la conformité des systèmes OT

Le NIS-D et le LPM mentionnent explicitement certains domaines clés.

Pour le LPM, les 20 catégories sont les suivantes :

• Politiques de garantie de l'information
• Homologation de sécurité
• Cartographie du réseau
• Maintenance de la sécurité
• Journalisation
• Corrélation et analyse des journaux
• Détection
• Gestion des incidents de sécurité
• Gestion des alertes de sécurité
• Gestion de crise
• Identification
• Authentification
• Contrôle d'accès et gestion des privilèges
• Contrôle d'accès à l'administration
• Systèmes d'administration
• Ségrégation dans les systèmes et les réseaux
• Surveillance et filtrage du trafic
• Accès à distance
• Configuration des systèmes
• Indicateurs

Pour le NIS-D, les États membres locaux publient des directives spécifiques. Au Royaume-Uni, par exemple, cela est géré par NCSC (Centre national de cybersécurité) — avec leur Cadre d'évaluation cybernétique (VOITURE). Pour plus d'informations à ce sujet, consultez ce webinaire, et lisez ce papier.

Le NIS-D comporte un nombre similaire de domaines spécifiques relatifs à la microsegmentation et à la visibilité des flux réseau :

• Processus de gestion des risques : Votre processus organisationnel garantit que les risques de sécurité pour les réseaux et les systèmes d'information relatifs aux services essentiels sont identifiés, analysés, hiérarchisés et gérés.
• Sécurité des données : Vous maintenez un courant compréhension des liaisons de données utilisées pour transmettre des données qui est important pour votre service essentiel
• Données en transit : Vous avez identifié et protégé de manière appropriée toutes les liaisons de données qui contiennent des données importantes pour la fourniture du service essentiel.
• Sécurisé dès sa conception : Vos réseaux et systèmes d'information sont séparés dans des zones de sécurité appropriées, par exemple, les systèmes opérationnels pour le service essentiel sont séparés dans une zone hautement fiable et plus sécurisée.
• Conception axée sur la résilience : Les systèmes opérationnels de votre service essentiel sont séparé des autres systèmes commerciaux et externes par des moyens techniques et physiques appropriés, par exemple une infrastructure réseau et système séparée avec une administration indépendante des utilisateurs. Les services Internet ne sont pas accessibles depuis les systèmes d'exploitation.
• Gestion des vulnérabilités: Vous maintenez un compréhension actuelle de l'exposition de votre service essentiel aux vulnérabilités connues du public.
• Surveillance de la sécurité : Outre les limites de votre réseau, votre couverture de surveillance comprend interne et une surveillance basée sur l'hôte.

Nous pouvons constater qu'Illumio peut vous aider à la fois pour le LPM et le NIS-D.

Comment atteindre la conformité réglementaire grâce à la microsegmentation

Après avoir compris les mandats, comment pouvez-vous utiliser la microsegmentation sur le terrain pour répondre à ces contrôles (et à d'autres) ? Voici quelques exemples :

1. Cartographie des dépendances des applications des environnements OT et IT, en intégrant de manière critique la frontière IT/OT. Cela peut être réalisé par la collecte de données au niveau de la charge de travail ou, plus probablement, par la collecte de flux depuis l'infrastructure réseau du côté OT afin de fournir une carte riche et haute fidélité.
2. Segmentation environnementale des environnements OT et IT, tout en maintenant les canaux critiques de surveillance, de journalisation et de contrôle. Le concept Zero Trust en tant que concept de sécurité réseau n'a jamais été aussi applicable que dans ce scénario.
3. Alerte en cas de nouveaux flux/connexions dans l'environnement OT depuis le service informatique ou depuis l'environnement OT lui-même. Il est important de surveiller l'établissement de nouvelles connexions pour deux raisons : tout d'abord, l'environnement OT a tendance à être plus statique que l'environnement informatique plus bavard et plus dynamique. Deuxièmement, qu'il soit délibéré (activité malveillante ciblée visant à accéder aux systèmes ICS/SCADA) ou accidentel (un certain nombre de compromissions OT très médiatisées se sont en fait apparentées à des dommages collatéraux causés par des malwares classiques qui parviennent à accéder au côté critique du système), l'accès non autorisé et réussi à la partie critique du réseau est fondamentalement ce que les solutions de microsegmentation empêchent.
4. Évaluation de la vulnérabilité de l'infrastructure OT. Comme le montre le NIS-D, la gestion des vulnérabilités est essentielle. Bien qu'Illumio, par exemple, ne recherche pas les vulnérabilités, il les associe aux flux de regroupement et d'applications observés, indiquant les voies critiques et aidant à hiérarchiser les politiques de microsegmentation et les correctifs.

Un paysage en constante évolution

À mesure que l'agilité et la surveillance des systèmes critiques évoluent, ceux-ci sont de plus en plus connectés à des réseaux et à des applications moins critiques, et parfois même à Internet. Une recherche rapide sur le protocole OT sur shodan.io peut être révélatrice ! Dans le même temps, la surveillance de la connectivité et de la sécurité de ces systèmes augmente, comme il se doit. Cette juxtaposition signifie que la visibilité devient extrêmement importante, avant même de définir clairement et de maintenir des politiques de microsegmentation.

Mentionnés dans mon premier billet, les différents mandats fournissent un éventail de mesures d'application, allant de lois strictes et obligatoires (dans le cas de la LPM) à une position directrice plus actuelle, dans le cas du NIS-D. Une partie de la différence tient à la maturité et à la durée d'existence.

C'est dans les cas plus généraux et moins bien définis que l'interprétation des directives devient importante, et tout comme le RGPD, le NIS-D prend en compte l'intention ainsi que la mise en œuvre technique et la configuration spécifique.

Dans les deux cas, je pense qu'il est clair que la visibilité et la segmentation de ces systèmes critiques de plus en plus connectés constituent le contrôle fondamental qui nous permet de les sécuriser.

Restez à l'affût de mon prochain billet, où j'explorerai les mandats du secteur financier dans l'UE.

Et pour en savoir plus sur Illumio ASP, consultez notre page sur l'architecture de la solution.