RiskInsight

Le blog cybersécurité des consultants Wavestone

Sondes de détection pour l’OT : Les clés pour réussir son déploiement 

La demande pour des sondes de détection a augmenté ces dernières années, en particulier dans le secteur industriel. Cela peut s’expliquer par plusieurs raisons : contraintes réglementaires ou contractuelles, besoin de capacités de détection d’incidents sur le réseau industriel, volonté d’une meilleure visibilité sur les actifs industriels… 

Ainsi, devriez-vous vous lancer dans l’aventure des sondes OT ? Et si oui, comment réussir le déploiement d’un service de sondes ?  

Sondes OT : Un outil pour surveiller les réseaux industriels 

Image 1 : Écouter le réseau pour l’inventorier et détecter 

Une sonde de détection est un équipement, virtuel ou physique, connecté au système d’information (SI) afin de le cartographier et de le surveiller. Elle se compose de capteurs répartis dans le réseau pour collecter des données et d’un équipement central pour corréler ces données. Les sondes pour environnements industriels – que nous appellerons ici sondes OT – se caractérisent par leur écoute passive et non invasive du réseau, et leur compréhension des protocoles et comportements industriels. De nombreux acteurs sont présents, vous pouvez retrouver notre vision du marché ici : https://www.riskinsight-wavestone.com/2021/03/les-sondes-de-detection-en-milieu-industriel-notre-vision-du-marche/  

Toutes leurs sondes fonctionnent sur le même principe : le trafic réseau est collecté en utilisant de la duplication de flux (SPAN, ERSPAN …) ou des duplicateurs physiques comme les taps. Les paquets sont inspectés en temps réel pour fournir plusieurs types de données : inventaire et cartographie des flux, gestion des vulnérabilités, et enfin détection des anomalies et des incidents. 

La grande diversité des cas d’utilisation possibles de ces données et la variété de ses utilisateurs (équipe opérationnelle et commerciale, équipe de cybersécurité, etc.) font la popularité de ces sondes OT.  

Cependant, ces solutions, tout comme leur déploiement et exploitation, sont coûteuses et nécessitent une bonne compréhension des besoins, des utilisateurs potentiels et de la valeur ajoutée avant de se lancer. 

Prenons deux exemples … 

Imaginons deux entreprises envisageant de déployer des sondes OT sur leurs sites industriels.

1ère entreprise : WavePetro 

WavePetro possède un large site sensible, avec une bonne maturité cyber et une architecture très segmentée. L’entreprise souhaite déployer des sondes OT pour se conformer à la réglementation et améliorer ses capacités de détection. 

Compte tenu de son architecture et de ses besoins de détection, de nombreux points d’écoute seront nécessaires. WavePetro peut compter sur ses équipes locales et leur expertise et connaissance du site pour réaliser le déploiement. 

2nd entreprise : RenewStone 

RenewStone est une entreprise possédant de nombreux petits sites géographiquement dispersés et sans équipe locale, avec une maturité cyber hétérogène. Ses sites sont interconnectés avec l’infrastructure du groupe. 

L’entreprise souhaite déployer des sondes OT pour gagner en visibilité sur ses sites en utilisant les fonctions d’inventaire et de cartographie.  

Ainsi, RenewStone a besoin de standardiser un service de sondes OT pour ses sites et de pouvoir proposer des déploiements avec le moins de complexité locale possible.  

Image 2 : 2 entreprises, 2 besoins, 2 implémentations 

… et leurs déploiements vers un service de sondes fonctionnel 

Bien que ces deux entreprises aient des besoins et maturités cyber différentes, les 5 étapes clés de déploiement restent les mêmes, bien qu’avec des approches différentes.   

1.Preuve de concept 

La première étape est la preuve de concept (PoC : Proof of Concept).  
L’objectif pour les deux entreprises est de tester la faisabilité et la valeur ajoutée des sondes OT sur leurs périmètres. 

Alors que WavePetro doit valider la faisabilité sur un périmètre réduit dans son usine, RenewStone doit se concentrer sur la validation de la valeur du service de sonde OT sur quelques-uns de ses sites. 

Pour tirer le maximum du PoC, il est important de : 

  • Adapter la sélection des fournisseurs à vos besoins : Le marché est très diversifié entre les pure-players, ceux spécialisé au secteur industriel ou qui étendent leurs solutions IT à l’OT …  
    Les questions à se poser : Est-ce que je veux de fortes capacités de détection ? Est-ce que je veux un service managé ? Est-ce que je veux une solution unifiée pour l’IT et l’OT ?  
  • Sélectionner le champ d’application du PoC : Identifier un périmètre représentatif avec des ressources à tester afin que les résultats puissent être reproduits à l’échelle.  
  • Rédiger une architecture cible avant le PoC : tester une architecture représentative de ce qui serait déployé à l’échelle, afin de valider les tests effectués. 

Le PoC est essentiel pour s’assurer que les sonde OT apporte de la valeur, mais également pour pouvoir convaincre de les déployer, en particulier lorsqu’elles ne sont pas contraintes par des réglementation. 

2.Construction d’un modèle opérationnel 

Dès le début du projet, il est important de se rappeler que l’objectif final du déploiement des sondes OT : Collecter des informations utilisables et valorisables. Pour ce faire, il est important de : 

  • Définir un modèle opérationnel pour le traitement des alertes, de l’inventaire et la gestion des sondes. Alors que WavePetro peut avoir un modèle d’exploitation reposant sur les connaissances et l’expertise locales, RenewStone doit construire un modèle d’exploitation central avec les équipes du groupe telles que le SOC, la sécurité OT, le réseau, l’infrastructure, etc. 
  • Décider de faire appel à un tiers ou de gérer vos sondes en interne : Peu de fournisseurs proposent des services de gestion, vous devrez donc créer votre propre modèle, qui pourrait également s’appuyer – en totalité ou partiellement – sur de l’externalisation. 
  • Créer un RACI : Compte tenu des différents cas d’usage et du nombre d’acteurs impliqués dans l’utilisation ou la maintenance des sondes, un RACI est essentiel pour s’assurer que toutes les parties prenantes nécessaires seront impliquées et mobilisées. 

Cette étape doit être traitée en amont pour faciliter les étapes suivantes du déploiement. 

3.Préparation au déploiement 

Une fois que la première étape a démontré la valeur ajoutée d’une sonde et que son modèle de fonctionnement a été défini, préparons le déploiement ! Vous devez définir la cible finale : 

  • Où déployer la sonde : En particulier si vous avez de nombreux sites différents, comme RenewStone, vous devez prioriser : quels sont vos sites sur lesquels déployer ? Vous pouvez vouloir déployer sur les sites les plus critiques seulement et rendre le service disponible pour d’autres à la demande. Les sites sélectionnés doivent également permettre un déploiement. Quels sont les prérequis au déploiement ? Ils peuvent par exemple être définis selon les équipements réseaux disponibles. 
  • Quand déployer : Travaillez sur dès que possible sur des estimations budgétaires afin que les sites soient en mesure de prévoir un déploiement. Les sondes sont une solution coûteuse, non seulement en termes de matériel et de licences, mais également en ressources, pour les déployer et les exploiter. 
  • Comment déployer : Dans tous les cas, vous devez construire une architecture pour le déploiement des sondes OT. En particulier, si vous avez de nombreux sites à déployer ou des ressources locales très limitées, vous devez travailler à l’élaboration d’une offre de service packagée à déployer.  

Cette préparation est un passage obligé pour éviter de perdre du temps lors des déploiements et garantir leur succès. 

4.Déploiement 

Il est temps de s’attaquer au déploiement ! Le mot d’ordre est la même pour les deux entreprises : Avancer pas à pas. La différence réside dans l’échelle : 

  • Un déploiement progressif sur le site de WavePetro : Il faudra du temps pour pouvoir « écouter » efficacement partout. Concentrez-vous sur les données attendues pour prioriser l’emplacement initial de la sonde et ses points d’écoute. 
  • Apprendre et s’améliorer d’un déploiement à l’autre pour RenewStone : Les déploiements sont centralisés et plus standardisés, donc les équipes apprendront et s’amélioreront d’un déploiement à l’autre. Inclure un panel de sites représentatifs dans la première vague permet de tester et améliorer le modèle de déploiement. 
  • Ne pas négliger la conduite du changement : dans les deux cas, le déploiement d’une nouvelle solution doit absolument inclure de la sensibilisation et de la formation afin que les sondes OT trouvent leurs utilisateurs. 

Le déploiement de sondes OT peut être un processus long et fastidieux, mais ne vous découragez pas en chemin, car il reste encore une dernière étape à franchir !

5.Fine-tuning 

Une sonde OT est un outil d’amélioration continue, la détection doit gagner en valeur avec le temps. Vous devez donc consacrer du temps à : 

  • Configurer le tableau de bord de la console : Prendre le temps d’améliorer le modèle de détection (liste blanche de certains comportements, priorisation des actifs sensibles…), l’inventaire automatique des actifs et la cartographie (enrichir l’inventaire, importer des données, taguer les VLAN…), et ainsi de suite. Ce fine-tuning doit être effectué par une personne familière avec les sites industriels.  
  • Intégrer d’autres technologies : Vous pouvez lier les consoles à d’autres outils de votre entreprise, tels que le SIEM, les pares-feux ou la CMDB, afin d’exploiter au maximum les données collectées par les sondes. 
  • Testez d’ajouter des fonctionnalités : une fois que vous avez acquis une certaine maturité avec la solution, vous pouvez aller encore plus loin avec les fonctionnalités disponibles, comme l’exécution de requêtes actives pour enrichir l’inventaire. 

Le fine-tuning permet de limiter le nombre de faux-positifs, afin de se concentrer sur les données qui apporteront de la valeur à votre entreprise et à sa sécurité. 

Image 3 : Les 5 étapes clés d’un déploiement de service de sondes OT 

Conclusion 

Ces deux exemples nous ont beaucoup appris sur les sondes de détection industrielle et sur les nombreux défis liés à leur déploiement et utilisation.  

Si demain, je fais face à un client industriel qui se demande que faire de ce projet sonde sur sa feuille de route, je lui partagerai ces 3 conseils :  

Image 4 : Les 3 clés d’un déploiement réussi 

Questionner la valeur ajoutée de ses sondes 

En l’absence de cas d’utilisation clairement identifiés et d’objectifs déterminés, vous pouvez vous retrouver avec des sondes fournissant des informations inutilisées ou sans réelle valeur ajoutée. Les sondes OT sont coûteuses, à la fois financièrement et en termes de temps. Vous devez être sûr qu’elles en valent la peine, et vous donnez les moyens de les exploiter pleinement. 

Pour ce faire, prenez le temps d’évaluer la qualité et la valeur des informations remontées par les sondes OT avec vos différentes équipes (cybersécurité, exploitation, business …). 

Avancer pas à pas 

Ne craignez pas de commencer petit et de croître progressivement, qu’il s’agisse du nombre de sites déployés, du nombre de points d’écoute ou de cas d’utilisation des sondes OT. 

L’exploitation à long terme des sondes OT est complexe et se construit au fil des déploiements. Prenez le temps de soigner l’adoption de la solution : si vous voulez que les équipes utilisent la solution, formez les et montrez en leur la valeur !  

Compter sur l’amélioration continue 

Les sondes OT peuvent fournir nombre de fonctionnalités allant de la détection d’incidents à la cartographie, en passant par la gestion des vulnérabilités et bien d’autres encore qui doivent être publiées par les éditeurs. 

Concentrez-vous d’abord sur les fonctionnalités qui réduisent vos risques OT, en améliorant progressivement les services au fur et à mesure qu’ils gagnent en maturité ! 

Article précédent Data poisoning : une menace pour l'intégrité et la sécurité du LLM

Sur le même thème

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Back to top