Pas de conformité NIS2 sans sécurité OT

Le système OT : le maillon faible de votre entreprise ?

Imaginez ce scénario : votre laiterie a été victime d’une cyberattaque. Les hackers ont réussi à accéder au système de contrôle industriel sans que personne ne s’en rende compte. En l’absence d’un système de détection des menaces actif, l’attaque est longtemps restée inaperçue. Les intrus ont utilisé un malware Pipedream spécifiquement conçu pour saboter les technologies opérationnelles.

La cible ? Les PLC qui régulent la température de pasteurisation du lait. Le malware a manipulé les sondes de température de telle sorte que la pasteurisation semblait correcte mais que, en réalité, elle restait sous la température exigée. De ce fait, de dangereuses bactéries telles que Listeria et Salmonella ont survécu au processus.

Le problème n’a été découvert que lorsque plusieurs consommateurs sont tombés malades après avoir bu du lait contaminé. Un rappel de produits s’en est suivi, avec des tonnes de lait à détruire, des dépenses astronomiques et de lourdes répercussions sur la réputation de votre entreprise. Pour couronner le tout, l’AFSCA a imposé un audit à votre entreprise, lequel a révélé de graves manquements en termes de sécurité OT.

L’impact de la loi NIS2 sur la sécurité des aliments

Les entreprises alimentaires peuvent être très vulnérables sans une solide stratégie de sécurité OT. La loi NIS2 impose dès lors des prescriptions minimales de cyberhygiène dans les secteurs critiques, dont l’industrie alimentaire fait partie. Les entreprises qui ne les remplissent pas risquent non seulement des pertes financières et une atteinte à leur image de marque, mais aussi des sanctions.

Le CCB a lancé le Cyberfundamentals Framework (CyFun) en soutien aux entreprises. Ce cadre offre aux entreprises alimentaires un fil conducteur clair pour leurs mesures de sécurisation et couvre les principes de sécurité OT tels qu’ils sont décrits dans la norme ISA/IEC 62443. Ces principes jouent également un rôle crucial dans les contrôles techniques. Pour les entreprises alimentaires, il est donc impossible de se conformer à la législation NIS2 sans appliquer les principes de sécurité OT.

Bon nombre d’entreprises de production n’ont pas de vue d’ensemble formelle des actifs qui se trouvent sur leur réseau. La première étape pour une grande partie des entreprises est donc l’asset discovery, qui consiste à dresser l’inventaire de tous les appareils et systèmes concernés par les mesures de sécurisation. Pour renforcer efficacement votre sécurité OT, vous devez en effet d’abord savoir ce que vous devez protéger.

Segmenter les réseaux

La segmentation de réseau est l’un des fondamentaux de CyFun, les entreprises étant invitées à diviser leur réseau en plusieurs VLANS.

Dans un environnement OT, des systèmes tels que PLC (Programmable Logic Controllers) et SCADA (Supervisory Control and Data Acquisition) collaborent étroitement avec des processus physiques. Si ces systèmes sont directement reliés au réseau IT, cette interconnexion augmente le risque que, par exemple, un malware se répande rapidement vers l’environnement le plus critique : la production.

Il faut toutefois être prudent avant de diviser vos lignes de communication potentielles afin d’éviter de perturber les opérations. Pour une segmentation pratique et efficace de réseau, il est crucial de commencer par cartographier soigneusement, dans les règles de l’art, les connexions entre IT et OT.

Veiller à la gestion des accès et à l’authentification

Il arrive souvent que diverses personnes collaborent dans les systèmes OT, y compris des techniciens d’autres entreprises. Sans une solide gestion des accès, ces techniciens peuvent accéder à tous les systèmes internes. Cette faille peut entraîner de nombreuses erreurs humaines, ainsi que des accès non autorisés, qu’ils soient ou non dans le chef de hackers.

La cybersécurité du fournisseur a donc aussi une grande influence sur votre propre sécurité. C’est pourquoi il est important, dans un environnement OT, de toujours donner une autorisation avant d’octroyer l’accès à quelqu’un. Ce faisant, vous contribuez à éviter les perturbations dans les opérations. Les principes de l’OT Secure Remote Access sont ici d’application.

Organisez une radioscopie de vos systèmes OT avec Soteria Cybersecurity

Testez vos environnements IT et OT au travers d’un audit de cybersécurité mené par des experts indépendants

Bénéficiez en outre de l’aide de ces experts via :

• L’élaboration d’un plan par étapes sur mesure pour votre entreprise
• La mise en œuvre du plan par étapes (complète ou en soutien pour certaines tâches de complexité technique spécifique)
• L’organisation d’un trajet de sensibilisation pour les collaborateurs
• Ces audits sont subventionnés par l’agence flamande VLAIO. Les PME ont droit à 50 % de subventions ; les non-PME soumises à la loi NIS2, à 35 %.

Plus d’infos sur l’audit de cybersécurité (NL).