La directive NIS 2, vise à renforcer la cybersécurité des réseaux OT, avec ou sans WiFi, en Europe. A ce titre elle impose aux entités concernées de mettre en œuvre des mesures de sécurité robustes pour protéger leurs infrastructures et leurs données. Hors le WiFi est une porte ouverte aux cyber-attaques ; la question de la conformité d’un réseau OT qui intègre le WiFi mérite donc d’être posée. Cette question est par exemple crucial pour de nombreuses sociétés de transport qui tombe sous le coup de la directive NIS2.
Quels dangers présentent les réseaux WiFi pour la cybersécurité d’un réseau OT ?
Voici quelques-uns des dangers potentiels du WiFi en regard avec la NIS 2:
1. Attaques par point d’accès (AP) compromis : les pirates peuvent pirater des points d’accès WiFi et les utiliser pour intercepter le trafic, voler des données ou diffuser des logiciels malveillants.
2. Réseaux WiFi publics non sécurisés : ils ne chiffrent pas le trafic. Cela signifie que toute personne sur le réseau peut voir ce que vous faites.
3. Attaques “Man-in-the-Middle” : les hackers peuvent se positionner entre votre appareil et le point d’accès WiFi et intercepter votre trafic. Ils peuvent ensuite voler vos données ou modifier les sites Web que vous visitez.
4. Hameçonnage WiFi : les pirates peuvent créer des réseaux WiFi factices avec des noms trompeurs pour inciter les utilisateurs à s’y connecter. Une fois connectés, les pirates peuvent voler des données ou diffuser des logiciels malveillants.
5. Logiciels malveillants : des logiciels malveillants peuvent être diffusés via des réseaux WiFi. Si vous téléchargez un fichier infecté à partir d’un réseau WiFi, votre appareil peut être infecté.
Quelles mesures de sécurité mettre en place ?
1 . Analyse de risque
La directive NIS 2 exige des entités qu’elles effectuent une analyse des risques de leurs systèmes d’information, y compris leurs réseaux WiFi. Cela implique d’identifier les potentielles menaces et vulnérabilités auxquelles ces réseaux sont exposés.
2. Mise en place de mesures de sécurité
Sur la base de l’analyse des risques, les entités doivent mettre en place des mesures de sécurité adéquates pour protéger leurs réseaux WiFi. Ces mesures peuvent inclure:
- Authentification forte: Exiger une authentification forte pour tous les accès au réseau WiFi, comme l’utilisation de mots de passe complexes ou de clés de sécurité.
- Chiffrement: Chiffrer le trafic sur le réseau WiFi pour protéger les données contre les interceptions.
- Contrôle d’accès: Mettre en place des contrôles d’accès stricts pour limiter l’accès au réseau WiFi aux utilisateurs autorisés.
- Sécurisation des périphériques: Sécuriser les périphériques connectés au réseau WiFi, tels que les routeurs et les points d’accès, en appliquant les derniers correctifs de sécurité et en configurant des mots de passe forts.
- Surveillance et journalisation: Surveiller le trafic sur le réseau WiFi et consigner les événements de sécurité pour détecter et répondre rapidement aux incidents.
3. Plan de gestion des incidents:
La directive NIS 2 exige des entités qu’elles disposent d’un plan de gestion des incidents pour répondre aux cyberattaques. Ce plan doit inclure des procédures pour identifier, contenir et éradiquer les incidents, ainsi que pour en tirer des leçons.
4. Sensibilisation et formation:
Les entités doivent sensibiliser et former leurs employés aux risques de cybersécurité et aux bonnes pratiques de sécurité WiFi. Cela peut aider à réduire le risque d’erreurs humaines qui pourraient être exploitées par les cybercriminels.
Quel client et point d’accès WiFi choisir ?
Que votre réseau OT soit ou non concerné par la directive NIS2 à partir d’octobre 2024 Sphinx recommande les clients et points d’accès WiFi certifiés selon la norme IEC62443-4-2 au niveau SL2 ( ce niveau SL2 couvre les cyberattaques intentionnelles de premier niveau, c’est à dire les plus fréquentes). En effet l’agence Européenne Enisa recommande à minima la conformité à l’IEC62443. Voir pour plus d’informations l’article NIS2 : quelles sont les mesures minimales de cyber-sécurité pour les Entités Essentielles ?
Pour absorber un transfert de données croissant, avec le développement de la vision industrielle et de l’intelligence artificielle, vous pouvez par exemple opter pour la nouvelle gamme de points d’accès et clients WiFi 6 de Moxa.
MOXA AWK-1161C , client WiFi 6 à 1 port “NIS2 ready” (existe aussi en version point d’accès et avec 5 ports Gigabit )
Quelle solution pour superviser un réseau OT intégrant du WiFi ?
Malheureusement la sécurisation d’un réseau OT n’est jamais acquise. Il faut pouvoir à tout moment faire l’inventaire des composants du réseau, identifier les maillons faibles, renforcer les paramètres de sécurité et faire les mises à niveau logicielles.
Vous pouvez utiliser à cet effet un logiciel de gestion comme MXview One avec le module optionnel MXview Wireless.
Moxa MXview One – Visualisation et gestion de la cybersécurité du réseau OT intégrant des points d’accès et clients WiFi