Search
Close this search box.
webinaire cybersécurité

Webinaire : pourquoi et comment cyber-sécuriser un réseau OT avec Moxa ?

Moxa propose des solutions pour cybersécuriser un réseau OT au niveau 2 du standard IEC62443. Mais pourquoi doit-on cybersécuriser son réseau OT ? Quelles sont les obligations légales ? Que dit l’ANSSI à ce sujet ? Comment procéder ? Et surtout pourquoi choisir les solutions Moxa conseillées par Sphinx, distributeur officiel en France ?

Webinaire-19-avril-2024-Pourquoi-et-Comment-proteger-un-reseau-OT-avec-Moxa

Pourquoi cybersécuriser un réseau OT ?

Février 2024: une brèche de données de la sécurité sociale en 2024 a touché 33 millions de Français, soit presque la moitié de la population. L’attaque a compromis des données sensible d’identification tells que la date de naissance, le numéro de sécurité sociale, le statut marital, mais pas l’historique médical. L’agence de protection des données a ouvert une enquête pour déterminer si les entreprises concernées étaient conformes aux régulations européennes de protection des données.

Décembre 2023: des hackers israéliens ont perturbé environ 70% des stations essences en Iran. Les hackers ont affirmé que cette attaque était en représailles des actions agressives de l’Iran et de ses satellites dans la région. Les pompes ont été remises en service le lendemain mais des problèmes de paiement ont persisté pendant plusieurs jours.

Décembre 2023: Des hackers gouvernementaux ukrainiens ont paralysé la plus grande centrale de traitement d‘eau en encryptant environ 6000 ordinateurs et en effaçant plus de 50 Térabit de données. Les hackers ont affirmé que leur attaque était en représailles de la cyberattaque Russe Kyivstar (l‘étoile de Kiev).

Novembre 2023: Le Danemark a essuyé la plus grande cyber-attaque de son histoire quand des hackers Russes ont frappé 22 entreprises danoises du secteur de l’énergie. L’attaque a commencé en Mai 2023 et semble avoir eu pour but d’accéder à l’entièreté du réseau d’énergie décentralisé du pays. Les hackers ont exploité une faille critique de type injection de commande et ont continué à exploiter les systèmes sans correctif pour maintenir l’accès au réseau.
https://www.csis.org/programs/strategic-technologies-program/significant-cyber-incidents

Vulnérabilités Zero-day ce sont les toutes nouvelles ressources utilisées par des hackers malicieux pour atteindre leurs objectifs;
Une nouvelle vague d’hacktivisme a été observée depuis le début de la guerre en Ukraine..
Les attaques DDoS sont de plus en plus larges et plus complexes, et ciblent particulièrement les reseaux mobiles mais aussi l’Internet of Things (IoT) qui est désormais utilisé comme arme de guerre.
L’intox et les hypertrucages (les deepfakes) soutenus par de l’intelligence artificielle: la proliferation des bots qui faconnent de fausses personalités peuvent facilement perturber le processus d’établissement de règles dites de “repère-et-commente”, de même que les interactions avec la communauté, en noyant les agencies gouvernementales avec de faux contenus et de faux commentaires.

Source:
https://www.enisa.europa.eu/topics/cyber-threats/threats-and-trends

Interpol: Les facteurs qui favorisent la cybercriminalité

  • Connectivité: de plus en plus d’individus en ligne peu sensibilisés à la sécurité numérique
  • Mobilité: des entreprises travaillent en ligne avec du personnel en home-office sur des réseaux familiaux faiblement sécurisés
  • Interconnecté: des villes et des maisons connectées, qui créent de Nouvelles formes de vulnérabilité
  • Sophistication: les hackers déploient des compétences et des tactiques de plus en plus perfectionnées
  • Non-signalement: réticence à signaler avoir été victime d’un crime
  • Législation et juridiction: manque de criminalisation de la cybercriminalité

Source: Interpol
https://www.interpol.int/content/download/16455/file/Cyber_Strategy_Guidebook.pdf/

Quelles sont les entités qui doivent cybersécuriser leur réseau OT selon la NIS2?

Face à la menace de cyberattaque l’Europe a décidé d’organiser une réponse commune des états membres.
Une première directive, NIS2 a vu le jour en 2016. En 2024 cette directive devient la NIS2.
Les entités qui étaient concernés par NIS1 le sont toujours par NIS2, mais le périmètre est élargi.

En effet de nouveaux secteurs ont été intégrés au périmètre, notamment

  • Les réseaux télécoms
  • Les réseaux sociaux (Twitter et Tinder sont maintenant des services essentiels)
  • Les data centers
  • Le traitement des eaux usées. Auparavant il ne s’agissait que de la distribution d’eau potable.
  • L’espace mais pas tout dans l’espace. Les réseaux commerciaux n’en font bizarrement pas partie.
  • L’alimentation. Il s’agit bien sûr plus de “Cuisine de France”, Picard surgelés, Danone que d’une boulangerie artisanale, mais la limite commence à 50 employés, ce qui n’est pas si haut que ca.
  • Les services postaux aussi bien publics que privés.
  • L’administration publique
  • Et… la manufacture de produits critiques. On me demande souvent lesquels sont considérés critiques. J’ai mis la liste sur la slide: il s’agit d’appareil médicaux, d’outils de laboratoires pour des diagnostiques, tout ce qui touche aux ordinateurs, électronique, optique, électricité et les transports: avion, navires, trains, voitures, camions, deux roues motorisés.

Sont-ce des entités critiques ou essentielle? Dans de nombreux cas mais pas tous, ce qui fait la différence, c’est la taille de l’entreprise. Elle passe d’essentielle à critique lorsqu’elle dépasse l’un des seuils suivants:

  • > 250 employés
  • Chiffre d’affaire > €50M
  • Bilan comptable annuel > €43M

Il y a une petite différence entre chiffre d’affaire et bilan comptable. Le bilan comptable correspond au chiffre d’affaires hors taxes encaissé sur une période donnée, diminué des charges liées à l’activité de l’entreprise.

Quelles sont les recommandations de l’ANSSI pour renforcer la cybersécurité des réseaux OT ?

« La raison d’être de l’ANSSI, agence interministérielle, est de construire et d’organiser la protection de la Nation face aux cyberattaques. Elle contribue ainsi à renforcer le niveau de cybersécurité global et la stabilité du cyberespace. »

C’est également l’ANSSI qui interprète et fait appliquer en France la directive européenne NIS2.

Parmi les éléments suivants, je voudrais attirer votre attention sur le 4è point: “Adopter un cadre de conformité” qui à mon avis est la clé pour ceux d’entre vous qui ne savent pas par quel bout prendre ce mastodonte qu’est NIS2.

Adopter un cadre de conformité, qu’il s’agisse de IEC 62443, de NIST ou d’un autre, c’est parler un langage commun et concret pour tout le monde au sein de l’organisation, les intégrateurs, mais aussi pour les fournisseurs et surtout pour les auditeurs. C’est se simplifier la vie.

(pas la peine de décrire les points 1 par 1, c’est juste pour info)

  1. Analyse de risques

Mener une estimation des risques et identifier les potentielles menaces et vulnérabilités.

  1. Mesures de sécurité:

Implémenter des mesures appropriées de risque pour protéger des infrastructures critiques de menaces cybernétiques.

  1.  Réponse aux incidents:

Développer et maintenir un plan de réponse aux incidents pour gérer efficacement des incidents en cybersécurité

  1. Cadre de conformité:

S’aligner avec un des cadres de conformité bien établis tells que l’ISO 27001, pour assurer sa propre conformité.

  1.  Audits de sécurité et évaluations:

Conduire des audits de sécurité régulièrement ainsi que des évaluations pour estimer l’efficacité des mesures de protection.

  1.  Partage d’information:

Promouvoir la collaboration et le partage d’information au sein des infrastructures critiques pour renforcer la cyber-résilience.

  1.  Formation et prise de conscience:

Mettre à disposition des formations du personnel et élever la prise de conscience sur l’importance de la cybersécurité dans l’organisation.

  1.  Monitoring continu:

Implémenter le monitoring continu pour détecter er répondre à des menaces émergentes en temps réel

Le standard cybersécurité IEC62443 expliqué

Depuis 2021, l’IEC 62443 est devenu un standard horizontal, c’est à dire que tous les standards en cybersécurité spécifiques à une industrie doivent être compatibles avec lui. En 2022, MOXA a développé le tout premier composant réseau en OT certifié 62443, c’était le switch Ethernet managé EDS-4000.

L’IEC62443 fonctionne de façon intuitive à partir des rôles des parties prenantes. 

  • Le propriétaire de l’entité: de l’usine, du réseau de transport d’énergie, du réseau ferroviaire, de la mine… décide du niveau de sécurité de chaque segment du réseau en fonction de son exposition et de la criticité des éléments.
  • L’intégrateur système en déduit un checklist de fonctionnalités que son système doit avoir.
  • Le fournisseur de composant en déduit aussi les mesures de protection que ses appareils doivent fournir. 

A quoi correspondent les niveaux de sécurité SL1 à SL4 ?

En fonction d’une analyse de risque une entité choisit de cybersécuriser son réseau OT à un des niveaux suivant.

SL1 – Niveau de base:

  • Vise à protéger contre les attaques opportunistes et les erreurs non intentionnelles.
  • Convient aux systèmes à faible impact en cas de défaillance.
  • Exemples de mesures : authentification de base, contrôle d’accès, protection contre les malwares courants.

SL2 – Niveau de sécurité renforcée ( niveau choisi par Moxa pour certifier ses appareils)

  • Protège contre les attaques ciblées et les acteurs malveillants ayant des connaissances techniques modérées.
  • Adapté aux systèmes critiques pour la sécurité ou ayant un impact potentiel important sur la production.
  • Exemples de mesures supplémentaires : segmentation réseau, détection d’intrusions, gestion des vulnérabilités.

SL3 – Niveau de sécurité élevée:

  • Offre une protection contre les attaques sophistiquées et les acteurs hautement qualifiés.
  • Nécessaire pour les infrastructures critiques et les systèmes sensibles.
  • Exemples de mesures : analyse des menaces et évaluation des risques, chiffrement des données, systèmes de détection d’anomalies.

SL4 – Niveau de sécurité la plus élevée:

  • Protège contre les attaques extrêmement ciblées et les acteurs étatiques ou hautement financés.
  • Réservé aux infrastructures critiques nationales et aux systèmes d’importance vitale.
  • Exemples de mesures : environnements de sécurité contrôlés, séparation physique des réseaux, authentification multi facteur.

En pratique comment cybersécuriser un réseau OT?

Étape 1 : visualiser le réseau OT et identifier les maillons faibles

La première étape est de réaliser un inventaire des composants et d’évaluer le niveau de préparation de chacun des composants. Le logiciel MXviewone permet de faire en toute simplicité, que votre réseau soit composé de solutions Moxa ou de solutions d’autres marques :

  • Inventaire des composants
  • Gestion des droits d’accès et des mots de passe
  • Visibilité des vulnérabilités
  • Priorisation et correction des vulnérabilités
  • Gestion et configuration des redondances
  • Sauvegarde de la topologie, des seuils, des alertes, des logs
  • Sauvegarde et rétablissement des configs d’appareils pour rétablir le réseau en cas d’attaque réussie
  • Connexion aux systèmes de sécurité par syslog (au format CEF: standard et LEEF: étendu)
  • Automation par scripts CLI des plans d’intervention en cas d’incident des appareils Moxa mais aussi des appareils tiers.
  • Intégration des outils de différents vendeurs (intégration des widgets du software Moxa dans d’autres systèmes)

Étape 2 : remplacer les maillons faibles avec les solutions Moxa ou mettre en place le virtual patching

Quand on parle de cybersécurité on pense cyber-hygiène (authentification, encryptions, segmentation), prévention (IDS/IPS pour Intrusion Detection System ou Intrusion Prevention System), firewall, deep packet inspection (fonctionne au niveau de la couche applicative), lois, régulations et directives.

Néanmoins d’autres sujets sont aussi importants et on en parle peu comme

  • Evolutivité ou résister à l’épreuve du temps: les solutions doivent être capable de croître avec le réseau OT et les nouvelles technologies
  • Interoperabilité: avoir autant de système de monitoring que de fournisseurs de matériels n’est pas ergonomique. Il est important de choisir un système qui puisse monitorer n’importe quel appareil, de n’importe de quel fournisseur. C’est ce que propose Moxa avec tout matériel qui supporte le SNMP (Simple Network Management Protocol) avec des  fichiers MIB (Management Information Base) proprement définis, ou qui supportent ICMP (IP control Message Protocol) aussi connu sous le nom de “ping” ou encore les appareils qui supportent MMS (Manufacturing Message Specification) pour ceux d’entre vous du secteur de l’énergie qui utilisent des Intelligent Electronic Devices (IEDs).

A l’inverse les solutions Moxa peuvent être monitorés par des systèmes de surveillance tiers et les widgets Moxa peuvent même être intégrés dans les softwares d’autres fournisseurs. En effet les composants pour réseau OT Moxa peuvent

  • Envoyer des logs de sécurité par syslog selon les formats standards (CEF et LEEF) qui peuvent ensuite être traités par n’importe quel programme de SIEM (Security Incident and Event Manager)
  • Tout peut être configuré et interrogé par ligne de commande (Command Line Interface), ou pour les programmeurs qui aiment l’automatisation, la constance et la répétabilité dans les processus, Moxa offre également une API (Application Programming Interface) RESTful intégrale .

Transfert de savoir:

  • formations: les partenaires Moxa, comme Sphinx France, bénéficie de formation approfondie avec un contrôle des connaissances pour les certifier
  • documentation Moxa : on trouve en anglais sur le site de Moxa de nombreux documents sur les solutions

Gestion des vulnérabilités:

  • Sur la page web Moxa “advisory services”, sont publiées toutes les vulnérabilités connues des appareils Moxa avec des explications détaillées pour mettre à jour les systèmes ou prévenir toute cyberattaque
  • Nos clients qui se sont inscrits au RSS-feed seront informés de toutes les nouvelles concernant les vulnérabilités et les patches.
  • Enfin, le système de gestion du réseau connait la version du firmware de tous les appareils MOXA et est capable de recommander et de prioriser quelle version appliquer pour l’upgrade.

Configurer, Monitorer et Reporting:

  • Configurer est rendu aisé grâce aux gestionnaires de réseau Moxa MXview One et MXsecurity. La redondance peut être vérifiée en un clic et les règles de firewall sont déployées automatiquement, sans risquer l’erreur humaine.

    Les appareils tiers peuvent être contrôlés par ligne de commande (Command Line Interface) et sauvegardés en scripts

  • Monitoring: MOXA est reconnue comme expert mondiale en cybersécurité. C’est un CNA,I c’est-à-dire une autorité de numérotation. Pourtant nos interfaces restent très intuitives et les alertes sont accompagnées par des recommandations sur ce qu’il faut vérifier si quelque chose ne va pas. Simplifier la complexité demande du talent et MOXA est particulièrement douée à ca. Songez à vos collègues qui devront adopter un nouvel outil. S’il est intuitif, la moitié du travail est déjà fait.  Je ne suis pas un technicien et je peux me servir du système de gestion du réseau sans avoir eu la moindre formation.
  • Reporting: Plusieurs rapports standards sont déjà intégrés tells que l’inventaire reseau, la liste des utilisateurs, l’historique des événements…

La continuité des opérations et la reprise après un sinistre, en anglais (BC/DR) pour Business Continuity / Disaster Recovery

On suppose toujours que l’attaque ne sera pas réussie, mais quand elle l’est, il faut en Moyenne 3 semaines pour remettre sur pied le réseau.

Il est recommandé de sauvegarder la configuration du réseau. Vous pouvez le faire à deux niveaux:

  • Au niveau du réseau entier :: sauvegarder la topologie du réseau., les chemins de redondance, les seuils, les alertes…… tout peut être sauvé et encrypté (et vous pouvez même comparer deux configurations pour identifier des divergences
  • Chaque configuration individuelle des appareils MOXA peut être sauvée et restaurée. Pour les appareils tiers, vous pouvez également écrire des scripts pour reconfigure automatiquement et répéter vos plans de rétablissement.

Etape 3 ; pour palier aux maillons faibles le patching virtuel

Patching virtuel: c’est une sous-catégorie de IDS/IPS mais dédié aux appareils non patchables. Typiquement: on a developé des drivers maison sous windows XP. On sait très bien qu’on ne peut pas passer à Windows 11 sous peine que les pilotes ne marcheront plus et que le développeur n’est plus dans la maison. Cet appareil est vulnerable mais pas modifiable.

Dans ce cas, le patching virtuel ne corrige pas la vulnérabilité,mais bloque les vecteurs qui ciblent cette vulnérabilité à la périphérie du réseau. Il n’est donc pas nécessaires de toucher à l’appareil impatchable.

Évidemment la solution parfait consiste à supprimer la vulnérabilité plutôt que les vecteurs qui la ciblent mais dans notre milieux, on sait bien que ce n’est pas toujours possible et on est bien content de pouvoir protéger ce genre d’appareils malgré tout.

Moxa EDF-G1002-BP , une solution pour mettre en place un patching virtuel d’équipements indispensables – intègre les fonctions Firewall, virtual patching, IPS/IDS et LAN bypass

Choisir un fournisseur avec une équipe dédiée aux réponses en cas d’alerte cybersécurité

Moxa fait partie des rares fabricants de solutions pour les réseaux OT à avoir mis en place une équipe dédié aux réponses, quand des failles de sécurité sont détectées, la PSIRT.
Leur objectif est de protéger proactivement les équipements de réseau industriel contre les cybermenaces.

Voici un aperçu des activités de Moxa PSIRT :

  • Enquête sur les signalements : Ils enquêtent sur tous les signalements reçus concernant des vulnérabilités potentielles dans les produits Moxa. Cela peut provenir de chercheurs en sécurité, de clients ou même de méthodes de détection internes.
  • Gestion du cycle de vie des vulnérabilités : Moxa PSIRT a un processus défini pour gérer les vulnérabilités tout au long de leur cycle de vie. Cela comprend le triage, l’analyse, l’investigation, la correction (développement de correctifs ou de solutions) et la communication.
  • Fournir des conseils et des solutions : Moxa PSIRT vise à informer les clients. Ils publient des avis de sécurité sur leur site Web pour communiquer des détails sur les vulnérabilités découvertes et les solutions correspondantes (correctifs ou stratégies d’atténuation). Vous pouvez trouver ces avis ici: Moxa Security Advisories
  • Maintien d’un canal de communication : Ils disposent d’une adresse e-mail (PSIRT@moxa.com) où vous pouvez signaler des vulnérabilités suspectées ou poser des questions liées aux problèmes de sécurité dans les produits Moxa.

Dans l’ensemble, Moxa PSIRT joue un rôle crucial dans la garantie de la sécurité des solutions de réseau industriel de Moxa. Leur travail contribue à protéger les infrastructures et les systèmes critiques contre les cyberattaques.