Impossible d'épeler Zero Trust sans OT

00:02 Carlos Buenano

Ils sont désormais chargés de la sécurité. Jusqu'à présent, ils n'étaient pas tenus d'assurer essentiellement la sécurité. OK. Bien entendu, ils craignent que les opérations ne soient perturbées.

00:14 Raghu Nandakumara

Bienvenue sur The Segment : A Zero Trust Leadership Podcast. Je suis votre hôte, Raghu Nandakumara, responsable des solutions industrielles chez Illumio, la société Zero Trust Segmentation. Aujourd'hui, je suis rejoint par Carlos Buenano, directeur technique de l'OT chez Armis, un leader de la cybersécurité dans le domaine de l'intelligence des actifs. Carlos possède plus de 30 ans d'expérience dans les domaines des systèmes de contrôle et des télécommunications. Il a travaillé pour des organisations du monde entier, occupant des postes allant d'architecte de solutions à ingénieur principal en passant par le consultant en cybersécurité ICS. Au cours des cinq dernières années, il s'est concentré spécifiquement sur l'opérationnalisation de solutions de cybersécurité au sein des réseaux industriels. Dans cet épisode, Carlos se joint à nous pour discuter de la voie vers la sécurité OT, de l'importance du Zero Trust dans les environnements industriels et de la manière de progresser en matière de sécurité sans compromettre la productivité. J'ai donc le grand plaisir d'accueillir dans cet épisode de The Segment Carlos Buenano, directeur technique de l'OT chez Armis, le leader de la sécurité OT. Carlos, bienvenue sur The Segment.

01:24 Carlos Buenano

Merci beaucoup. Merci de m'avoir invitée. C'est un plaisir, un réel plaisir d'être ici.

01:28 Raghu Nandakumara

Oh, je pense que c'est un plaisir pour moi. Parce que nous sommes dans la deuxième saison du podcast et si je me souviens bien. Je pense que c'est le premier épisode où nous avons un expert en sécurité OT, ce qui est une priorité ces derniers temps. Je pense donc que la voie vers la sécurité OT n'est pas naturelle lorsque les gens pensent à des carrières dans le domaine de la sécurité de l'information. Alors, parlez-nous un peu de votre parcours.

01:51 Carlos Buenano

Oui, donc, je suis ingénieur en électronique, je me spécialise dans les systèmes de contrôle. Je me souviens d'être allée à l'université et d'avoir étudié cette seule matière : les systèmes de commande. Et je suis devenu accro. La programmation, mon automate programmable, la configuration de SQL Server, l'extraction d'informations relatives aux capteurs et aux actionneurs et l'automatisation m'ont rendu accro dès le début. Tout au long de ma carrière, j'ai acquis essentiellement les compétences nécessaires pour devenir ingénieur des systèmes de contrôle. Je me souviens de l'époque où la mise en réseau faisait partie de la transition entre les réseaux zéro et les réseaux Ethernet. Et j'étais très curieuse à ce sujet. Et je voulais y participer, mais participer à cette transition, puis à la fusion de l'ensemble des systèmes de réseau et de contrôle en un seul. Ensuite, j'ai commencé à concevoir des réseaux de contrôle, ce qui était en fait très intéressant. Et il y en a beaucoup. En fait, il s'agissait davantage de configurer les automates programmables. Le SCADA a déclaré qu'il s'agissait du DCS ; il s'intéressait à la mise en réseau, à la programmation et à la définition de réseaux de contrôle conformes à la norme IEC 62443 et à la manière dont il définit la segmentation des réseaux du point de vue du sceau vert. Et lentement, lentement, j'ai commencé à m'impliquer dans les systèmes, les annuaires d'accès, les EDR et à intégrer tous ces différents systèmes en joignant tous ces systèmes au domaine. Et en protégeant ces appareils, en les sauvegardant et en veillant à ce que les procédures soient en place. En suivant l'ASC 62443 à l'époque, c'est presque comme si je venais de tomber dedans, et au cours des 10 dernières années, je me suis concentré uniquement sur la cybersécurité pour les environnements OT. Vous savez, ma compréhension de l'environnement, de l'environnement OT en tant que tel, lorsqu'il s'agit de communiquer avec le personnel OT, les équipes d'ingénierie, les directeurs d'usine, et de leur donner les informations dont ils ont besoin, car les conversations peuvent en fait être très, très complexes avec les directeurs d'usine parce qu'ils veulent protéger la production. Ensuite, nous devons commencer à introduire des sujets liés à la sécurité ; c'est en fait l'un de nos plaisirs.

04:18 Raghu Nandakumara

J'adore ça, merci. Merci parce que je trouve fascinant que vous soyez quelqu'un qui possède une expertise dans les systèmes de contrôle, ce qui signifie que lorsque vous avez ces conversations avec des directeurs d'usine, etc. Aujourd'hui, vous pouvez avoir ces conversations avec une perspective très informée.

04:38 Carlos Buenano

J'étais la seule personne responsable de la programmation des ordinateurs portables, des automates programmables et du branchement du câble. Je comprends donc exactement ce que les directeurs d'usine doivent faire pour maintenir la production, pour assurer la sécurité des personnes tout en le faisant.

04:53 Raghu Nandakumara

Donc, je veux juste revenir à l'époque où vous étudiiez l'ingénierie lorsque vous étudiiez les systèmes de contrôle. À ce stade, pensez-vous à la sécurité ?

05:01 Carlos Buenano

Non, jamais. En fait, je me suis toujours concentré sur l'automatisation. Vous savez, comment automatiser. Et bien sûr, nous avions l'habitude de nous impliquer avec les fournisseurs, Rockwell, Siemens, par exemple, Schneider, et de découvrir leurs outils, la manière la plus efficace d'effectuer l'automatisation. Et en ce qui concerne les systèmes OT, il existe également une hiérarchie interne ; vous avez les ingénieurs de processus qui définissent ce que les clients doivent faire, comment ils doivent se comporter, ce qui est attendu, du point de vue de l'automatisation. Mais ensuite, vous avez les systèmes de contrôle à proximité ; ils doivent être structurés de manière à comprendre tous les récits produits par les ingénieurs des procédés, puis les mettre en place. Ensuite, concevez et mettez en œuvre. Ensuite, vous regardez et vous pensez à d'autres choses. Vous pensez aux normes, vous réfléchissez à des moyens de programmer des modèles pour programmer les systèmes, de sorte que la prochaine personne chargée de la maintenance doive faire ce qu'elle doit faire pour le maintenir, le comprendre, [et le faire] très bien documenté. Vous vous concentrez donc davantage sur la mise en œuvre de ces systèmes de contrôle et vous utilisez ce qui est disponible. Vous utilisez le réseau, vous branchez le réseau, vous recevez une adresse IP. Si vous avez un réseau, ou si vous recevez un numéro d'identification, si vous avez un réseau série, et qu'ils disposent de passerelles et de leur mode de communication, et que vous configurez le serveur SCADA avec différentes balises pour extraire des informations. C'est donc un vaste monde de connaissances que vous devez mettre en œuvre lors de la mise en œuvre de ces systèmes. Donc, il n'y a pas, il n'y a presque pas de place pour penser à la sécurité, vraiment ; il s'agit de la faire fonctionner. Comme pour tout autre projet, vous avez un chef de projet et tout est une question de temps, un atout dédié à la réalisation de ce projet spécifique. Et lorsque vous êtes en activité, il s'agit de répondre aux exigences du point de vue de la production et de vous assurer que l'appareil fonctionne réellement comme il est censé fonctionner, alors que vous ne pensez pas à la communication, car l'une des principales exigences des réseaux OT est de communiquer avec les appareils auxquels il faut communiquer. Vous ne pensez pas à une application lorsque je souhaite ajouter plus d'options lorsqu'il s'agit d'un nouvel outil afin que vous puissiez réellement l'utiliser. Et non, non, non, il s'agit en fait d'un automate programmable, d'une IHM, d'un serveur SCADA, d'un réseau qui en connecte trois, et une fois qu'ils sont connectés, ne le touchez pas. Allons voir. Cela fonctionne. Vous devez réellement suivre une gestion des modifications très stricte, juste pour vous assurer que les modifications apportées, validées, sont réellement approuvées par les directeurs de l'usine, et qu'elles n'auront pas d'incidence négative sur les performances du réseau. Donc, c'est comme si, d'accord, une fois qu'il était conçu, vous aviez une personne qui a conçu ce réseau de contrôle ou qui était cette personne plus tard. Et puis a été conçu pour pouvoir le changer, vous avez une raison très précise de le changer.

08:38 Raghu Nandakumara

Merci pour cette explication très détaillée. Je vais paraphraser. Je m'excuse donc de l'avoir trop banalisé. Mais je pense que pour résumer, c'est comme si la priorité de ces systèmes de contrôle était de maintenir l'usine opérationnelle, de la maintenir efficace et de la sécuriser. Hein ? Mais en quelque sorte, si j'y pense, ce sont les priorités. Donc, si j'enterre cela dans un environnement de développement d'applications, par exemple, c'est comme si l'équipe chargée de l'application se souciait de la disponibilité et de la fiabilité de son application. Et c'est presque si la sécurité est compromise, on se dit : « Eh bien, si l'application ne fonctionne pas, qui se soucie de la sécurité ? » Alors, en quelque sorte, en tenir compte dans votre rôle aujourd'hui ? Comment entretenez-vous cette conversation avec les directeurs d'usine ou toute autre personne avec laquelle vous interagissez dans le cadre de vos engagements pour leur expliquer comment vous pouvez mettre en place la sécurité dont ils ont besoin de la bonne manière, sans compromettre les éléments qui leur tiennent le plus à cœur ?

09:31 Carlos Buenano

Oui, donc, c'est une conversation très difficile. Vous savez, les directeurs d'usine et les équipes d'ingénierie sont très protecteurs des réseaux. Cependant, la question de la validation des performances plutôt que de la conception des réseaux soulève des préoccupations. Les communications auxquelles ces réseaux sont réellement exposés. Donc, il y a essentiellement deux méthodes, je suppose, deux stratégies. La première est qu'est-ce que c'est pour moi ? Qu'est-ce que cela représente pour moi en tant que directeur d'usine ? Comment puis-je réellement ou pourquoi voudrais-je commencer par la visibilité ? J'ai déjà mes inventaires ; je les ai déjà, je comprends ce que l'appareil est censé faire. Et puis vous commencez par ça, vous commencez par dire, d'accord, donc, je fais des inventaires à jour. Comprenez-vous quels appareils fonctionnent en fin de vie et qui peuvent potentiellement affecter votre production ? Êtes-vous vraiment, pouvez-vous vraiment être sûr que ces appareils font réellement ce qu'ils sont censés faire ? Ils ne présentent aucune erreur de configuration. Qui est en train de modifier votre système ou vos automates programmables ? Savez-vous à quel moment ils apportent réellement les modifications ? Donc, l'approche consiste en fait plutôt à : « Voici les avantages que l'introduction d'un système de sécurité va vous apporter et qui vont essentiellement faciliter certains des processus sur lesquels vous devez travailler. Et puis peut-être qu'une feuille de route sera la plus efficace et ils comprendront les points faibles. Et cela vous donne un exemple très, très précis de l'un de nos clients de l'équipe. Ils m'ont demandé : « D'accord, j'ai un problème avec une adresse IP. Vous savez, j'essaie de déployer cet appareil sur le réseau. Et il dit que l'adresse IP va entrer en conflit, mais je ne la trouve pas. » Et puis il s'avère que quelqu'un d'autre est venu me voir et m'a présenté un autre appareil, a utilisé une adresse IP gratuite dans sa feuille de calcul, puis a mis à jour la feuille de calcul. Et puis l'autre personne est arrivée, c'est comme si je voulais m'en servir. Puis ils sont venus et ont utilisé la visibilité, la plateforme de visibilité, puis ont appuyé sur l'adresse IP et ont trouvé deux appareils. Puis le directeur de l'usine demande : « Est-ce que c'est simple ? » Auparavant, il me fallait des semaines pour comprendre comment. Et puis une fois que vous aurez réellement exposé cet avantage. Nous avons dit : « D'accord, dis-m'en plus. Que puis-je faire d'autre ? » C'est pourquoi je ne peux pas vraiment vous donner des réponses claires en termes de recette, mais je peux vous donner des idées. Impliquez-les, aidez-les à comprendre que la plateforme de sécurité que vous utilisez également va apporter certains avantages, puis soulignez les avantages de leur côté. Parce que la partie sécurité doit être respectée, cela ne les intéressera pas, car cela leur apportera des avantages. Cela apportera certains avantages à l'ensemble de l'organisation en tant que telle, mais pas spécifiquement à l'équipe.

12h50 Raghu Nandakumara

C'est fantastique. Le suivi des adresses IP via une feuille de calcul est amusant car cela me ramène à mes journées passées du côté client. Et ces feuilles de calcul ou la personne qui détient les clés de la feuille de calcul est roi ou reine. J'adore la façon dont vous décrivez que c'est vraiment enrichissant ; il ne s'agit pas de leur imposer un programme en disant « oh, tu dois faire preuve de sécurité », mais de leur montrer des choses pour bébés qu'ils savent, qu'ils ne voient pas ou qu'ils ne savent pas. Hein ? Et ces moments, comme tu l'as dit, comme « Oh mon dieu, c'est aussi simple que ça ? » Et ça fait des lustres que je suis aux prises avec ça. Mais je ne peux, comme je le pense, que l'une des choses que vous avez abordées très légèrement concernait la quantité d'infrastructure existante dans les environnements OT. Et nous entendons beaucoup parler de la quantité de très anciennes versions de Windows qui continuent de fonctionner, parce qu'elles sont tellement critiques. Par exemple, pour revenir à ce que nous disions tout à l'heure à propos de l'importance qu'ils revêtent pour fonctionner en toute sécurité. Comment résoudre ce problème ?

13h45 Carlos Buenano

Ouais. Alors, racontons d'abord l'histoire. Alors, pourquoi avons-nous autant de systèmes existants dans les environnements OT ? C'est vrai. Ainsi, lorsque vous êtes réellement impliqué dans un projet et que vous vous mettez d'accord sur le projet, la première exigence est que la durée de vie de celui-ci, peu importe ce que nous construisons, cette usine, cette ligne de production ou quoi que ce soit d'autre, est de 30 ans. C'est la première exigence. Comme il s'agit d'un investissement de plusieurs milliards de dollars, ils doivent s'assurer de poursuivre leur expansion le plus longtemps possible. OK. Ainsi, lorsque nous sommes entrés dans un environnement, nous pouvons constater qu'il existe de nombreux systèmes existants. C'est donc le premier défi. Donc, nous avons des appareils qui exécutent Windows 10, Windows NT. Certains systèmes utilisent en fait des interfaces série. Certains appareils, en fin de vie, ne durent en fait pas des années, car ils sont exposés à des risques. Cela m'est arrivé, alors que je faisais partie de l'équipe d'ingénierie et qu'une ligne de production est tombée en panne. Nous sommes allés essayer de résoudre le problème et nous avons découvert que la carte avait échoué, c'était sa fin de vie. Et cela fait dix ans que c'est la fin de vie. Parce qu'ils sont conçus pour être si robustes, ils peuvent durer des années et des années jusqu'à ce qu'ils tombent en panne. Le problème, c'est que nous sommes allés dans les magasins et que nous n'avons pas pu trouver de pièces de rechange car les dernières étaient utilisées. Et puis, bien sûr, nous sommes allés voir le vendeur : « Hé, nous avons besoin d'une livraison d'urgence de cette carte en particulier », et devinez quoi ? « Nous ne l'avons pas ; nous avons arrêté de le produire il y a longtemps. » Alors, que faites-vous ? Hein ? Parce que pour remplacer l'équipement lui-même, il faut un projet coordonné, d'accord, parce que vous devez comprendre ce dont vous avez besoin pour le changer et ainsi de suite. Nous avons fini par livrer toutes les cartes sur eBay, trouver la carte et l'acheter, mais cela a déclenché un projet visant à remplacer l'équipement, car c'est un système qui coûte 100 000 dollars de l'heure, s'il ne fonctionne pas réellement. Il y a donc les défis liés aux systèmes existants. Il est très, très courant de voir que c'est l'environnement. Et l'autre point, c'est qu'ils sont conçus pour fonctionner en permanence. Et pour pouvoir corriger, exécuter et apporter des modifications, il ne suffit pas de se dire « OK, ça y est, nous allons simplement le remplacer et le remplacer par le suivant ». Non, non, vous devez créer un projet spécifique ; dans certains cas, il s'agit d'un Windows, ou nous appelons une fenêtre d'arrêt, où vous disposez d'un temps très limité pour effectuer ces modifications. D'accord, parce que c'est comme ça qu'ils sont conçus pour fonctionner pendant 30 ans, puis vous pouvez apporter des modifications. Il doit s'agir de petits changements qui peuvent s'intégrer dans cette fenêtre, qui interrompent réellement le processus. En fait, c'est aussi motivé par un projet. Vous avez donc une tâche spécifique, puis elles seront contrôlées en disant : « Hé, je dois installer une nouvelle version du firmware pour cette carte spécifique ou remplacer cette carte ». Mais alors, si le processus, l'actif qu'ils doivent modifier, fait partie du test de certaines des autres tâches de l'élément avec l'auteur du processus d'arrêt, il vous dira : « Malheureusement, vous devez attendre encore un an pour que la prochaine fenêtre d'arrêt soit remplacée. Parce que nous ne pouvons pas nous permettre de prendre le risque de tester ce changement que nous apportons, qui est plus bénéfique pour l'entreprise ou qui vise à protéger les personnes, car il renforce en fait la sécurité. » Vous pouvez donc imaginer que toute la conception, la conception de la longévité, présentent tous ces différents défis lorsqu'il s'agit de modifier et de mettre à jour les systèmes. Il continue de glisser, de faire glisser, de faire glisser, et c'est pourquoi nous voyons maintenant, So, de nombreux systèmes existants.

18:17 Raghu Nandakumara

J'adore cette histoire. Je veux dire, j'étais frustrée quand je pensais que j'avais de longues périodes de change dans le domaine de la finance, mais ce n'est même pas comparable à ce dont vous parlez. Alors, j'ai juste une question avant de passer à la partie suivante. J'ai une question à ce sujet. Donc, comme vous avez donné un exemple, ces plans sont conçus pour une très longue durée de vie, que vous avez mentionnée comme étant de 30 ans, n'est-ce pas ? Donc, je vois les deux. Il y a deux défis à relever : sécuriser l'environnement existant qui fonctionne depuis 30 ans. Mais aussi, lorsque vous sécurisez la nouvelle usine que vous construisez, vous devez presque regarder 30 ans à l'avance et planifier cela du point de vue de la sécurité. Si j'ai bien compris,

18:57 Carlos Buenano

Oui, non, c'est à peu près tout. Et certains des systèmes que vous trouverez pour y parvenir sont en retard en ce qui concerne la mise en œuvre de la norme pour Ethernet, par exemple. Je peux donc vous dire que lorsque j'ai mis en œuvre la segmentation du réseau ISO, 62443, je créais les zones et le conduit juste pour m'assurer qu'il y avait une politique de liste blanche dans les communications entre les appareils. Et cela vous donne simplement un exemple de l'importance ou de la difficulté de mettre en œuvre la sécurité dans un système existant. Il s'agit donc d'un contrôleur de vibrations spécifique, l'un des éléments les plus importants de l'entreprise, car il mesure la durée des opérations et, en cas de problème, il déclenche le système parce que vous voulez protéger les personnes. Ils n'ont donc pas implémenté de passerelles. Donc, vous avez une adresse IP et un masque, vous n'aviez pas de passerelle. Donc, vous ne pouvez pas, vous ne pourriez même pas diriger le trafic vers le pare-feu, et encore moins comment le bloquer ? Comment mettre en œuvre la politique si vous ne pouvez pas la laisser communiquer via la passerelle ? Alors tu peux imaginer, d'accord, que faisons-nous ? Je veux dire, c'est que nous allons devoir évaluer les risques. Vous créez l'évaluation des risques et vous essayez de comprendre ce que vous devez faire. Et puis vous avez une très bonne politique de liste blanche, chaque segment étant segmenté, et ce méchant qui passe. Pouvez-vous imaginer la complexité qui survient lorsqu'il essaie de le mettre en œuvre ? Et revenez à votre question. Vous essayez donc de concevoir en fonction du filet de sécurité nécessaire à long terme. Mais vous devez créer des évaluations des risques qui vous permettent essentiellement d'interagir avec ce que vous avez, de travailler avec ce que vous avez, de créer et de minimiser les risques et de mettre en œuvre la solution en fonction de ce que vous avez. Donc, parfois, tu n'as pas le choix. Ensuite, vous devez vous isoler d'une certaine manière, mais la communication doit être fluide selon les besoins du processus.

21:23 Raghu Nandakumara

Oui, s'il y a quelque chose sur le réseau et que vous ne pouvez pas définir la passerelle, il se peut qu'il ne soit pas sur le réseau, non ? Je ne peux parler à rien.

21:29 Carlos Buenano

Mais tu en as besoin parce que tu viens juste de t'occuper de ça. Oui, tout ce dont ils ont besoin dans l'IHM pour récupérer des informations, parfois les informations réelles, la logique et la stratégie qui entourent le système de sécurité doivent communiquer. Dans une situation normale, il est difficile de comprendre pourquoi ils communiquent, comment, pourquoi, quand et votre sécurité. Lorsqu'il s'agit de connaître l'état, il doit se trouver sur le réseau. Le système SCADA ou DCS doit donc extraire des informations pour comprendre de quoi il s'agit. Et vous savez, c'est une exigence ; vous devez l'avoir quand même.

22:07 Raghu Nandakumara

Ouaip Donc, avant de parler de Zero Trust, je voulais revenir sur ce que vous avez dit sur le fait que, encore une fois, le directeur d'usine tient à ce qui lui tient à cœur, mais quand je lis, comme les actualités sur la sécurité, nous voyons beaucoup parler d'attaques contre des usines de fabrication, des entreprises du secteur de l'énergie et des services publics, et ce genre de crainte réelle que les attaquants ciblent désormais une sorte d'infrastructure nationale critique. Hein ? Et pas nécessairement le site de données destiné à voler des données, mais plutôt à perturber les services ou à perturber la production. Cela ne convient-il pas à ce type de directeurs d'usine, et est-ce que cela ne les préoccupe pas ?

22:48 Carlos Buenano

C'est certainement une préoccupation, mais ce n'est pas leur problème, car ce ne sont pas des agents de sécurité, ils ne sont pas chargés de la sécurité. Jusqu'à présent, ils n'étaient pas tenus d'assurer essentiellement la sécurité. Bien entendu, ils craignent que les opérations ne soient perturbées. Mais ils s'appuient sur la conception du réseau. Et le fournisseur qui affirme que cela a en fait été conçu dans un souci de sécurité. Mais la réalité est qu'ils ne sont pas vraiment concernés parce que ce n'est pas leur domaine de compétence. De nos jours, avec l'industrie 4.0, par exemple, cela est en train de changer car les RSSI deviennent responsables. De ce fait, ils deviennent de plus en plus parties prenantes du point de vue du nord-est. Ensuite, les directeurs de l'usine et l'équipe d'ingénierie se disent : « Eh bien, ce n'est plus une option ». Tu dois m'aider à t'aider d'une certaine manière. Et ce concept commence à résonner de plus en plus. Je veux dire, parce que nous le pouvons, nous pouvons constater les effets que les RISO font en sorte que cette communication soit transmise à l'équipe, et ils commencent à contribuer à la sécurité et aux processus à suivre. Il y a encore des processus différents, je peux toujours écouter, oui, je comprends. Mais la sécurité et la production passent d'abord, puis je passe à la sécurité plus tard.

24:19 Raghu Nandakumara

Ouaip Ouaip. Non, je comprends parfaitement et cela résonne. Ainsi, avec ce type de transition vers l'industrie 4.0, pour une meilleure intégration entre les aspects informatiques et opérationnels des organisations, nous assistons à une adoption réelle des stratégies Zero Trust dans tous les secteurs verticaux du monde entier. Tout d'abord, que signifie Zero Trust pour vous en tant que praticien ? Ensuite, qu'est-ce que cela signifie dans l'espace dans lequel vous opérez ?

24:47 Carlos Buenano

Écoutez, c'est très important et pertinent, et je pense que c'est l'un des facteurs de motivation du point de vue de l'OT, en particulier lorsqu'il s'agit de l'équipe d'ingénierie et des directeurs d'usine. Zero Trust présente un avantage bien connu : disposer d'une plateforme qui vous permet de fournir des politiques qui vous permettent ensuite de valider les communications qui vous permettent de gérer en toute sécurité les appareils avec l'OT, cela fonctionne très bien. En fait, j'ai moi-même déployé plusieurs stratégies Zero Trust dans des environnements. Et l'avantage, c'est que les directeurs d'usine veulent tout d'abord permettre aux systèmes gérés par les fournisseurs d'entrer en service et d'assurer ensuite la maintenance, les diagnostics et les étalonnages de leurs systèmes. Ils veulent le faire en toute sécurité, ils veulent comprendre quand cela se produit, qui le fait, combien de temps cela se passe, donc c'est vraiment très attrayant pour eux ? Parce que tout d'abord, ils reçoivent une notification, quelqu'un veut se connecter, il décide de la durée pendant laquelle il souhaite se connecter, à cet appareil spécifique, probablement un ingénieur, une station, un tirage au sort, ou tout autre élément du réseau OT nécessitant une maintenance. Cela permet donc à des fournisseurs tiers d'accéder en toute sécurité au réseau OT, puis d'être surveillés, enregistrés et validés. Cela résonne donc très bien, car tout cela fait partie du processus de gestion du changement et fait partie intégrante de ce processus. Et ils peuvent en fait être très bien suivis.

26:41 Raghu Nandakumara

Et comment envisagez-vous l'adoption ? Parce que je pense que c'est un excellent exemple de cas d'utilisation parfait pour Zero Trust. Que voyez-vous dans l'espace OT ? Quel est selon vous le taux d'adoption de Zero Trust pour les cas d'utilisation ? S'agit-il d'une véritable organisation qui possède en quelque sorte de vrais programmes ? Ou est-ce encore assez immature par rapport à d'autres secteurs verticaux ?

27:07 Carlos Buenano

En fait, j'ai été surpris que cela dépende de l'industrie. Quand vous parlez de pétrole et de gaz, par exemple, c'est incontournable, d'accord, cela ne fait aucun doute. Le taux d'adoption est donc très, très élevé. Le secteur minier suit le secteur des transports et l'énergie essaie toujours de mûrir. Le secteur manufacturier essaie également de mûrir dans ce domaine. Mais vous pouvez le constater, c'est un coup de pouce et c'est une très bonne adoption de la méthodologie Zero Trust pour protéger les réseaux. OK.

27:39 Raghu Nandakumara

Et ce sont des secteurs verticaux où, par exemple, vous avez mentionné l'énergie, les services publics et les mines ; qu'est-ce qui motive l'adoption accélérée dans ce secteur ? Est-ce que c'est comme les exigences réglementaires ? Ou est-ce simplement parce qu'ils sont préoccupés par les menaces ?

27:55 Carlos Buenano

C'est un peu des deux. Donc, c'est un peu des deux. C'est aussi, j'ajouterai également les avantages opérationnels. Nous avons donc des menaces, et ils veulent s'assurer que, en interne, tous les systèmes qu'ils gèrent disposent de politiques de sécurité, et que ce sont eux seuls qui accèdent à tous les appareils du réseau OT. Et puis ce nom, bien sûr, protège contre le fait qu'un tiers ait un appareil, un actif ou un ordinateur portable inconnu connecté au réseau, alors que ce n'est pas ça. Donc, cela supprime cette préoccupation, alors vous avez également la conformité. Donc, juste pour s'assurer qu'ils sont conformes. Je veux dire, cela dépend du pays dans lequel tu te trouves. Donc, vous avez le NIS2 en Europe, et puis vous en avez d'autres ici aux États-Unis. Mais cela est également devenu plus important parce que la réglementation entre en sixième position et qu'ils doivent ensuite mettre en place ces processus. Mais ensuite, comme je l'ai déjà mentionné, les opérations, parce que, encore une fois, la convergence entre l'informatique et l'OT se situe entre nous, et c'est important parce qu'ils utilisent le problème en ce moment, vous savez que l'informatique et l'OT doivent comparer les produits, car de nombreux systèmes du réseau informatique sont aujourd'hui utilisés pour fournir des rapports ou des planifications, surveiller la production et toutes ces choses dont ils ont besoin, essentiellement pour se connecter à l'environnement afin d'extraire ces informations. Cela devient donc inévitable. Ensuite, lorsque cette fusion des deux réseaux devient plus évidente, et qu'il s'agit de systèmes existants, la surface d'attaque augmente trop. Ensuite, le fait de disposer de la plateforme ou du framework Zero Trust minimisera les risques dans tous les scénarios imaginables. Vous savez, comme vous le disiez, le vol de données, les rançongiciels, vous savez, tout autre vecteur d'attaque qui peut être exploité.

30:06 Raghu Nandakumara

Avant de parler des défis liés à l'application de l'approche zéro à l'infrastructure existante, nous allons simplement, parce que vous avez évoqué la nécessité d'une convergence croissante entre l'informatique et l'OT, quels sont les défis en matière de cybersécurité, les menaces et les risques, quelle que soit la façon dont vous voulez le formuler, qui préoccupent les entreprises à mesure que cette intégration s'accélère ?

30:23 Carlos Buenano

Eh bien, tout d'abord, c'est le savoir-faire. Ainsi, lorsqu'il s'agit de réseaux IT/OT, très différenciés auparavant, les réseaux OT n'exécutent que cette tâche spécifique. C'est tout le contraire. L'informatique fournira en fait des outils, des systèmes et des processus conçus pour accroître l'efficacité des personnes, d'accord, en tant que tels, et puis, fondamentalement, la philosophie des deux réseaux est complètement opposée. Donc, la plus grande préoccupation est que, vous savez, cette philosophie entre en conflit dès que nous commençons à ouvrir les réseaux OT aux réseaux informatiques, et c'est un défi de taille. Aider le personnel informatique à comprendre les exigences de l'OT, car encore une fois, ils ne le connaissent pas, et comprendre la dynamique des appareils au sein de notre réseau OT et la manière dont ils doivent se comporter lorsque les systèmes doivent communiquer entre eux. Comment pouvons-nous réaliser cette segmentation ? Et la mise en œuvre de ces informations ou de ces mécanismes dans l'environnement OT représente une période d'apprentissage très difficile et très ardue. Et bien sûr, obtenir l'adhésion de ce point de vue, du point de vue de la fabrication, du point de vue des processus OT pour mettre en œuvre ces processus, n'est-ce pas ? C'est pourquoi les défis sont si nombreux en raison de la nature des réseaux.

32:03 Raghu Nandakumara

Et le simple fait de se renseigner sur ce défi, c'est un peu plus loin. De toute évidence, dans d'autres secteurs verticaux, l'ensemble de la transformation du cloud, la transformation numérique, est un moteur important, n'est-ce pas ? Et de vives inquiétudes quant à la manière dont nous sécurisons les charges de travail des applications lors de leur migration vers le cloud ? Est-ce également une véritable préoccupation dans le secteur de l'OT ? Ou est-ce que l'accent est davantage mis sur cette convergence OT/IT à ce stade ?

32:27 Carlos Buenano

Écoutez, pour être honnête ; nous sommes motivés lorsqu'il s'agit de nouvelles technologies et d'intégration de technologies dans les environnements IoT ; nous sommes motivés par ce stylo que les fournisseurs. Et si les fournisseurs ne le prennent pas en charge, nous n'irons tout simplement pas. Nous emprunterons cette voie en matière de transformation numérique, selon le secteur d'activité, selon le fabricant. En développant ces systèmes, vous pourriez avoir la possibilité ou non d'installer un serveur SCADA dans un hyperviseur, ou de l'héberger dans le cloud, parce que la technologie n'existe pas encore ou que le fournisseur ne la propose pas. Donc, à cause de ça, je ne pense pas que ce soit un conducteur. Le conducteur est vraiment financier, il réduira son empreinte. Ils utilisent les coûts de gestion, les coûts de production, mais pas tellement pour ce qui est de la sécurité.

33:28 Raghu Nandakumara

Compris. Revenons à Zero Trust. Quels sont les défis liés à l'adoption d'une stratégie Zero Trust lorsque vous disposez d'une infrastructure existante si importante ?

33:39 Carlos Buenano

Donc, le défi est essentiellement de savoir comment vous les avez mises en œuvre, comment êtes-vous capable de mettre en place ces politiques alors que vous devez apporter tant de changements. Comme je l'ai déjà mentionné, certains systèmes existants ne répondent pas aux exigences ou à la technologie nécessaires à la mise en œuvre de Zero Trust. C'en est une. Deuxièmement, les systèmes existants ne sont peut-être pas aussi performants ; ils n'ont certainement pas la capacité d'authentifier ou de valider les politiques mises en place. Et bien sûr, comment nous avons le temps de le mettre en œuvre. Donc, en trouvant cette fenêtre, pour apporter les modifications nécessaires pour restructurer ou redéfinir une refonte, puis réseau. Ainsi, nous pouvons implémenter les modifications de réseau nécessaires pour que Zero Trust fonctionne. Voilà donc essentiellement les défis auxquels nous sommes confrontés.

34:42 Raghu Nandakumara

Ainsi, lorsque des organisations vous demandent des conseils et vous disent : « D'accord, je souhaite adopter une stratégie Zero Trust pour sécuriser mon environnement IT/OT », comment les indiquez-vous par où commencer et comment commencer ?

34:53 Carlos Buenano

Donc, évidemment, cette communication, vous savez, vous devez être très honnête. Mais il y a toujours une limite. Vous commencez par une limite, et ils commencent à s'enfoncer plus profondément dans les systèmes. Donc, en gros, vous pouvez créer une nouvelle zone démilitarisée, par exemple, sans avoir à apporter trop de modifications à votre réseau OT. Ensuite, à partir de là, essayez de trouver le chemin vers les différents systèmes pour commencer à appliquer cette méthode Zero Trust. Donc, sécurisation du réseau. Il faut être très créatif ; il faut en quelque sorte comprendre le réseau, gagner en visibilité, comprendre comment ils peuvent communiquer entre eux, puis commencer à prendre des décisions. Vous savez, les évaluations des risques. Encore une fois, la communication est toujours importante. Exprimez les avantages du point de vue des opérations, comme je l'ai déjà mentionné. Et essayez d'obtenir l'adhésion du point de vue des opérations, car ils connaissent les processus et les capacités nécessaires pour commencer à mettre en œuvre ces systèmes. Ce n'est pas une tâche facile. Il suffit de le décomposer pour ne pas vous en soucier. Créons d'abord la visibilité. Ils comprennent quels appareils nous devons protéger, ils comprennent les appareils critiques pour l'entreprise, puis isolent ces appareils critiques, puis mettent en œuvre Zero Trust, puis commencent à s'étendre en tant que processus programmatique, jusqu'à ce que vous arriviez au bout. Ce ne sera pas un très petit voyage ou un voyage court ; ce sera un long voyage. Mais si nous le faisons, nous pourrons au moins atteindre le premier objectif, qui est de sécuriser le réseau. Ensuite, continuez jusqu'à ce que nous ayons fini de protéger notre réseau.

36:58 Raghu Nandakumara

J'adore la façon dont tu l'exprimes. Et la façon dont vous le résumez, parce que je pense que c'est la véritable voie à suivre pour constater des améliorations mesurables en matière de sécurité, n'est-ce pas ? Et comme vous l'avez dit, malgré tous les défis qui existent dans ces environnements, il est pratiquement impossible d'essayer de faire quoi que ce soit à grande échelle.

37:16 Carlos Buenano

À moins d'avoir de nouveaux projets ou des projets de friches industrielles, c'est impossible.

37:20 Raghu Nandakumara

Ouais. Parce que cela se fait en quelque sorte au fur et à mesure que vous partez d'une véritable vue macroéconomique. Hein ? Et vous continuez en quelque sorte à affiner, affiner, affiner. Voyez-vous une opportunité de tirer parti, par exemple, d'appliquer les principes de sécurité Zero Trust à des éléments tels que les messages de contrôle, lorsqu'un attaquant ne pouvait pas, par exemple, pirater un contrôleur et y insérer une sorte de message illégal ? Et toutes mes excuses, je n'ai pas compris les termes.

37:52 Carlos Buenano

C'est bon C'est bon Mais je vois que la réponse est oui. OK. La réponse est définitivement oui. Je pense qu'au fur et à mesure que les fournisseurs prennent conscience de la réalité de la cybersécurité et des exigences que nous n'avions jamais vues auparavant, les fournisseurs commencent à concevoir en fonction de la sécurité. Ils commencent donc à chercher des moyens d'authentifier les modifications, à modifier les contrôleurs pour s'assurer qu'ils ne peuvent pas les détecter, d'accord, ils commencent à envisager de chiffrer les protocoles chargés d'effectuer ces modifications. Mais à l'heure actuelle, certains systèmes deviennent disponibles et peuvent être mis en ligne, où vous avez l'appareil que vous mettez en ligne, puis cet appareil se connecte au réseau PLC. Ensuite, toute configuration devant être effectuée via le réseau par un ingénieur ayant une session avec les automates programmables, cette communication doit être authentifiée. Et ils utilisent Zero Trust pour s'authentifier, pour contrôler l'accès, pour comprendre, réfléchir et connaître les politiques relatives aux personnes habilitées à apporter les modifications, aux modifications que cette personne peut apporter, etc., ce qui peut s'avérer très, très utile en termes d'accès pour continuer à utiliser les systèmes.

39:16 Raghu Nandakumara

Donc, presque comme un WAF ?

39:18 Carlos Buenano

C'est vrai, c'est vrai.

39:20 Raghu Nandakumara

Au fur et à mesure que nous avançons, nous avons parlé un peu de l'adoption de stratégies Zero Trust dans un certain nombre de secteurs. Et nous voyons en quelque sorte que les différentes approches par lesquelles, dans les différentes régions, cette étape en avant est réalisée, vous avez évidemment la direction à suivre, dans le cas des États-Unis, vous avez cette direction pour adopter une stratégie Zero Trust. Alors que, disons, l'UE adopte une approche beaucoup plus axée sur la conformité. Que pensez-vous des avantages et des inconvénients de ces approches et de ce dont nous avons besoin pour les accélérer ?

39:52 Carlos Buenano

Oui, donc, tout dépend essentiellement des gouvernements et des pays et des réglementations avec lesquelles ils se sentent à l'aise. D'accord, donc, vous pouvez constater que dans certains pays, comme vous l'avez dit, nous avons de meilleures ressources pour comprendre les exigences. Et nous constatons, par exemple, que les États-Unis ont adopté Zero Trust, comme vous l'avez dit, puis que l'Europe s'est un peu plus conformée. Mais la réalité est que plus nous pouvons en faire pour sécuriser les systèmes, mieux c'est. Conformité À mon avis, le cadre de conformité est un excellent point de départ pour ces domaines, car lorsque vous examinez les cadres, certains cadres sont conçus pour vous aider à commencer à mettre en place des processus pour commencer à sécuriser vos systèmes. OK. Donc, et c'est très bien, c'est un bon début. Mais vous devez en fait être un peu plus minutieux lorsqu'il s'agit de contrôler. Et je dirais que nous pouvons vraiment nous séparer les uns des autres, d'accord, parce que certains de ces frameworks exigent une authentification, mais zéro trans va au-delà de cela. Il y a donc bien plus que l'authentification. Authentification et validation, mais Zero Trust va au-delà de la simple question de savoir qui accède réellement, non seulement du point de vue de l'utilisateur mais aussi du point de vue de l'appareil. Et c'est essentiellement un pas en avant. Et cela demande plus de maturité. Mais à mon avis, ils doivent tous deux avoir de meilleures chances d'être protégés. Mais d'un point de vue opérationnel, pour être honnête, j'apprécie le fait que vous puissiez avoir une gestion des processus de modification qui peut être liée à Zero Trust pour simplement surveiller et valider les modifications apportées sur le réseau, les appareils ou le processus, afin d'avoir plus de contrôle et d'être plus approfondi. Et en matière de productivité, de processus et d'intégrité.

41:55 Raghu Nandakumara

C'est un point de vue vraiment intéressant. Je n'ai jamais entendu personne dire cela à propos de l'application de Zero Trust au processus lui-même et de son utilisation comme moteur pour favoriser de meilleures pratiques. C'est vrai. Donc, c'est presque que vous n'êtes pas nécessairement à l'origine d'une nouvelle technologie, de son adoption, etc. Mais vous dites simplement : « Je ne vais pas laisser les choses s'immiscer dans le processus de changement à ce stade ».

42:17 Carlos Buenano

Correct. Correct. Et c'est le schéma que j'aime le plus.

42:21 Raghu Nandakumara

Alors que nous sommes sur le point de terminer, si vous êtes en mesure de fournir ce point de vue, comment pensez-vous que l'espace d'infrastructure nationale critique d'aujourd'hui est conçu pour survivre à une cyberattaque de grande envergure ? Quelle est votre confiance à cet égard ?

42:38 Carlos Buenano

C'est donc également une question très difficile. Mais écoutez, ils ont les ressources, les cadres, les bonnes idées, d'accord pour protéger les systèmes. Mais en réalité, lorsqu'il s'agit de disposer des ressources humaines nécessaires à la mise en œuvre de ces personnes qui doivent intervenir à la suite d'un incident spécifique, il n'en est qu'à ses débuts pour qu'elles soient en excellente position pour survivre, je suppose, je ne sais pas si c'est un bon mot, mais être en mesure de réagir et de remédier à des incidents à grande échelle. Vous pouvez constater qu'il y a beaucoup de travail en place. Cela représente un grand nombre de procédures réelles, de nombreux mécanismes et cadres. Mais s'il y a une grande échelle, ce sera très, très difficile. Juste pour donner un exemple de Log4j, nous travaillons tous dans ce sens en tant que communauté. Mais nous étions, d'une certaine manière, très isolés les uns des autres. Chacun faisait son propre truc et essayait de survivre de manière indépendante. Et certaines organisations étaient mieux préparées, mais ont encore beaucoup de travail à faire. Et certains d'entre eux essaient toujours de se rétablir. Ce n'est donc qu'un exemple de la question suivante : avons-nous ce dont nous avons besoin ? Oui, mais pouvons-nous réellement mettre en œuvre ce que nous avons dit devoir faire ? Je ne pense pas que nous soyons encore prêts.

44:09 Raghu Nandakumara

J'aime bien la façon dont vous l'avez formulé parce que je pense que vous présentez une image à moitié pleine. Vous êtes optimiste quant au fait que nous avons presque les mêmes outils en place et que nous devons maintenant en quelque sorte favoriser l'adoption, et vous avez parlé de travailler réellement en tant que communauté plutôt que de manière isolée, ce qui est, je pense, important pour une meilleure sécurité. Alors, en regardant vers le futur, Carlos, non ? Si nous ne parlons d'IA dans aucune conversation, alors, par exemple, personne, personne ne fera le référencement, le référencement sera détruit, n'est-ce pas ? Alors, comment voyez-vous la pertinence de l'IA dans l'espace OT, pas seulement du point de vue de la cybersécurité, mais en termes de quels avantages, par exemple, ses avantages pour les opérations, et puis, bien sûr, son utilisation pour sécuriser cela ?

44:56 Carlos Buenano

Alors, écoutez, l'IA est un outil très, très puissant, non ? Donc, et vous savez, tant que vous disposez des données, vous pouvez réellement tirer parti des résultats qui vous ont permis d'automatiser les rapports. L'IA présente donc de nombreux avantages. Nous l'utilisons essentiellement dans notre système de production pour corréler les informations afin de créer des rapports plus efficaces, et pour gérer les données de manière à ce qu'aucun autre résultat ne soit positif. Mais malheureusement, c'est toujours le revers de la médaille, non ? Donc, il doit être réellement utilisé pour une bonne utilisation, nous avons déjà commencé à voir l'IA, dans l'environnement OT, en particulier, utiliser pour tirer parti des vulnérabilités pour en tirer parti. En fait, nous avons déjà assisté à des attaques, à des cyberattaques et à l'utilisation de l'IA, et en exploitant, malheureusement, les vulnérabilités de ces systèmes existants, ils n'ont même pas besoin de se connecter aux machines qu'ils utilisent pour comprendre comment exploiter cette vulnérabilité. Mais en même temps, nous pouvons utiliser certains outils utilisant l'IA pour lutter contre cela. Donc, je suppose que ma position est qu'elle est géniale, donc, tant que nous l'utilisons bien dans le design, comme pour tout, non ? C'est comme si nous pouvions l'utiliser pour améliorer la production. Nous pouvons l'utiliser pour améliorer la sécurité. Mais en même temps, nous devons être très prudents, car s'il n'est pas mis en œuvre correctement et s'il tombe entre de mauvaises mains, cela peut jouer en notre défaveur.

46:56 Raghu Nandakumara

Oui, absolument. C'est vrai. Et je pense que vous en avez parlé dans le fait que l'IA, entre les mains d'un attaquant, lui donne la possibilité d'avoir une visibilité et une analyse beaucoup plus détaillées, ce à quoi il devrait consacrer de nombreux cycles aujourd'hui. Donc, je pense que si j'y pense du point de vue Zero Trust, je me demande comment faire en sorte que leur vision de l'environnement soit aussi limitée que possible afin qu'ils puissent recueillir le moins d'informations possible pour effectuer cette analyse ?

47:25 Carlos Buenano

Nous segmentons essentiellement, en segmentant toutes les possibilités du point de vue de l'authentification, et elles doivent être authentifiées. Les vulnérabilités ne peuvent donc pas être exploitées car vous devez entrer. D'un point de vue critique pour l'entreprise, vous ne pouvez pas vous rendre là où vous devez vous rendre pour réellement affecter la production, car vous disposez de méthodes Zero Trust pour éviter cette propagation. D'accord, alors vous avez ce segment de réseau. Et c'est comme si tu y arrivais. Mais tu peux aller de l'avant. Si tu y arrives. C'est-à-dire, oui,

48:01 Raghu Nandakumara

Absolument Alors, terminons avec quelque chose d'amusant. Carlos, quelle est ton analogie préférée avec Zero Trust ? Donc, si Carlos décrivait Zero Trust à un enfant de cinq ans, comment le décririez-vous ?

48:12 Carlos Buenano

C'est comme la partie sécurité, non ? Donc, vous pouvez concevoir, et je vais juste changer mon analogie pendant une minute. Donc, vous pouvez concevoir une maison. Et c'est en fait ainsi que j'explique la sécurité à mes fils : vous pouvez concevoir une maison, et la maison a des fenêtres et des portes. Êtes-vous en sécurité ? Et ils disent : « Oui », d'accord, et si je casse la fenêtre ? Ah. Et si je déverrouille la serrure ? Alors, que peux-tu faire d'autre ? OK, eh bien, vous pouvez tirer sur les barres et sur les fenêtres. OK, et si je pouvais apporter une meuleuse d'angle, faire le tour de l'appareil et casser la vitre ? Eh bien, vous pouvez installer une porte roulante, c'est comme ça que je vois Zero Trust. Vous savez, il s'agit d'un ensemble complet de méthodologies pour garantir la sécurité de votre maison en segmentant les processus de sécurité, n'est-ce pas ? Vous devez donc définir, et encore une fois, les risques, les évaluer, puis comprendre comment vous sécurisez et mettez en place les contrôles. Et l'une de ces commandes est constituée de caméras vidéo, par exemple pour comprendre qui accède. Ensuite, l'autre contrôle consiste simplement à disposer d'un système d'authentification très sécurisé qui vous permet d'entrer dans la maison, et une fois que vous êtes dans la maison, vous disposez de caméras pour vous voir réellement ce que vous faites. Mais ensuite, vous entrez dans une pièce et vous n'avez accès qu'à cette pièce. C'est votre chambre ; vous vous asseyez, vous vous allongez et vous y dormez. Mais tu essaies d'aller dans la chambre de ton frère, mais tu ne peux pas parce que tu n'y es pas autorisé. Tu sais, c'est vraiment marrant.

49:51 Raghu Nandakumara

Je l'adore. J'ai l'impression que vous avez réellement des conversations Zero Trust avec vos fils, ce que j'aime beaucoup. Alors, Carlos, c'était un plaisir de m'adresser à vous aujourd'hui. Merci pour cet aperçu éclairant de la sécurité dans l'environnement OT, des défis futurs, de la pertinence de Zero Trust. Cela m'a ouvert les yeux, car je n'ai aucune compréhension de cet environnement. Donc, j'apprécie vraiment cela. Et pour les auditeurs, si vous n'en avez pas déjà eu l'occasion, Armis a récemment publié un fantastique rapport de recherche sur l'anatomie de la cybersécurité, une dissection du paysage des attaques. Je vous encourage tous vivement à y aller et à y jeter un œil. Merci beaucoup, Carlos.

50:32 Carlos Buenano

Merci beaucoup de m'avoir invitée. C'était marrant.

50:35 Raghu Nandakumara

Merci d'avoir écouté l'épisode de cette semaine de The Segment. Nous reviendrons avec notre prochain épisode dans deux semaines. En attendant, pour plus de ressources sur Zero Trust, visitez notre site Web, www.illumio.com, et retrouvez-nous sur LinkedIn et X en utilisant les liens figurant dans nos notes d'émission. C'est tout pour aujourd'hui. Je suis votre hôte Raghu Nandakumara, et nous vous recontacterons bientôt.

‍