Répondre aux exigences uniques des environnements OT est une tâche difficile pour les centres d’opérations de sécurité (SOC) traditionnels. Les cybermenaces ciblant de plus en plus ces systèmes critiques, le besoin d’une sécurité OT spécialisée n’a jamais été aussi grand. Mais pourquoi les SOC traditionnels ne sont-ils pas adaptés à la sécurité des systèmes informatiques ? Qu’est-ce qui rend la sécurité des systèmes informatiques si différente ?
Travailler dans le domaine de la détection et de la réaction est l’un des rôles les plus difficiles dans le secteur de la cybersécurité. Si les théories semblent bonnes sur le papier, la réalité sur le lieu de travail est tout autre. C’est un monde plein d’incertitude et d’ambiguïté. Au fil des ans, la communauté de la cybersécurité s’est rendu compte que la sécurité des technologies de l’information était un défi très différent qui nécessitait une nouvelle façon de penser. Les menaces devenant plus sophistiquées et ciblant de plus en plus les systèmes cyber-physiques, il devient évident que les opérations de sécurité dans le domaine des technologies de l’information ont besoin d’innovation.
1. Le défi de la convergence des données IT et OT
L’inadéquation entre la sécurité des technologies de l’information et des télécommunications (OT) et la sécurité des technologies de l’information (OT) découle de la convergence des systèmes IT et OT dans les environnements industriels modernes. Centraliser toutes les alertes IT et OT dans un seul système de gestion des informations et des événements de sécurité (SIEM) semble être une bonne idée. Après tout, la plupart des cyberattaques visent un composant informatique. Même si les systèmes informatiques ne sont pas la cible principale, ils peuvent subir les conséquences d’une attaque informatique incontrôlée.
Cependant, l’interprétation des alertes OT pose un défi complexe, ce qui fait que les alertes sont souvent négligées ou insuffisamment étudiées. C’est particulièrement le cas pour les SOC au niveau de l’entreprise, y compris les fournisseurs de services de sécurité gérés (MSSP) et les fournisseurs de services de détection et de réponse gérés (MDR). Avec eux, le nombre d’alertes quotidiennes peut atteindre des milliers. Ce volume à lui seul crée une forte tendance à minimiser ou à ignorer les alertes, ce qui compromet les avantages de la convergence. Idéalement, les SOC devraient recevoir des alertes OT de qualité, regroupant différents signaux en un aperçu précieux. Cela permet de mieux comprendre l’interaction entre les technologies de l’information et les technologies de l’information, tout en traitant plus rapidement les menaces potentielles liées aux technologies de l’information.
2. Les détections informatiques et un capteur de réseau OT ne suffisent pas
La montagne de données produites par les outils SecOps peut être écrasante pour les analystes de sécurité et les intervenants en cas de menace ou d’incident. L’ajout d’un capteur de réseau OT à votre pile n’est pas seulement insuffisant, il peut se retourner contre vous. Les données supplémentaires provenant de ces capteurs peuvent dépasser la capacité d’équipes déjà surchargées. Il leur est alors difficile de contextualiser efficacement les alertes et d’y répondre. Les composants critiques, tels que les postes de travail techniques, les protocoles IoT sans fil et les anomalies des processus de surveillance, restent sous-exposés. Cela rend les organisations vulnérables aux attaques contre leurs systèmes cyber-physiques.
La sécurisation des environnements OT doit aller au-delà de la détection informatique traditionnelle et des capteurs de réseau. En mettant en œuvre des mesures de sécurité OT complètes, les SOC obtiennent des informations précieuses, plutôt que de simples données brutes. Cela peut améliorer considérablement la qualité et l’efficacité de leurs opérations de sécurité et conduire à des progrès dans leurs stratégies de sécurité OT.
3. Le rôle crucial du personnel spécialisé
La plupart des MSSP et des SOC internes ont une formation en informatique. Par conséquent, leurs outils, leurs processus et leur expertise technique sont fondés sur des principes informatiques. Cela peut conduire à une situation où les SOC transmettent régulièrement des alertes aux équipes OT, sans détails supplémentaires. Il est alors difficile de répondre efficacement aux besoins spécifiques des systèmes et de l’infrastructure OT.
Pour les ingénieurs OT, le fossé entre les technologies de l’information et les technologies de l’information est grand. Les exigences en matière de disponibilité, de résilience et de praticité sont très éloignées les unes des autres. Les fournisseurs et les produits doivent être incroyablement spécifiques. Sans une expertise approfondie en matière d’informatique opérationnelle, il devient impossible d’interpréter les alertes, de les relier à des incidents pertinents et de créer des plans d’intervention. Les experts possèdent les connaissances et les compétences spécialisées nécessaires à la sécurité des systèmes informatiques. Ils travaillent en étroite collaboration avec les ingénieurs OT pour interpréter avec précision les alertes et répondre efficacement aux menaces.
4. Combler le fossé entre l’informatique et l’informatique de terrain
Les défis uniques de la détection et de la réponse aux risques OT nécessitent des solutions complètes et personnalisées. Celles-ci diffèrent des SOC traditionnels en ce sens qu’elles naviguent aisément dans les environnements OT et comprennent les besoins uniques des systèmes industriels en matière de sécurité. De l’interprétation d’alertes complexes à la gestion de postes de travail spécialisés.
La bonne solution de sécurité OT aide les SOC à filtrer les bruits inutiles et à donner la priorité aux informations réelles. Cela permet de réduire la surcharge de données, d’éviter les erreurs d’interprétation des alertes et d’optimiser l’utilisation du personnel spécialisé. Ainsi, vos environnements OT sont protégés contre les cybermenaces en constante évolution.
Ceci est une contribution soumise par SoterICS. Pour plus d’informations sur leurs solutions, veuillez visiter ici.