Comme nous l'avons vu dans mon article précédent, la théorie RAT identifie comment la motivation de l'attaquant est un élément important dans l'évaluation des menaces et comment il est nécessaire de mettre en œuvre des mesures de protection adéquates pour éviter ou répondre aux cyberattaques.
En référence à la cybersécurité appliquée au monde OT (Operational Technology), de la même manière norme CEI 62443, qui repose sur le principe de l'approche par le risque, définit les modalités de mise en œuvre des protections en se référant aux motivations des attaquants et aux risques de dommages pouvant résulter d'une attaque réussie.
En particulier, à partir de l'analyse des risques corrélés à une menace, ils sont définis Niveaux de sécurité 5 qui peut être mis en œuvre, à partir de Niveau de sécurité 0 (il n'y a pas de besoin de protection particulier) jusqu'au Niveau de sécurité 4 (protection maximale).
L'une des caractéristiques les plus importantes de la norme IEC62443, partout prise comme référence pour les infrastructures OT, est celle de définir des niveaux de sécurité non seulement pour les composants individuels d'un système mais également pour un système dans son ensemble, comme la somme des technologies, des architectures et des procédures appliquées.
Une autre caractéristique importante de la norme IEC62443 est qu'elle fournit liste de contrôle pour la définition de Niveau de sécurité, rendant objective et standardisée l'évaluation de la capacité d'un système à résister aux cyberattaques.
Et enfin le concept de Niveau de sécurité suit la même logique que les niveaux de sécurité "SIL" utilisés pour évaluer les caractéristiques de "Sécurité" ("sécurité physique" dirions-nous en italien) qui font référence à la capacité d'un système à fonctionner en continu sans causer de dommages aux personnes ou aux choses, selon aux normes IEC61508 et IEC61511. L'évaluation et le respect des niveaux SIL sont obligatoires depuis un certain temps, par exemple pour les systèmes de contrôle des infrastructures critiques telles que : les tunnels ferroviaires ou routiers, les installations à haut risque d'impact environnemental, les systèmes de signalisation.
Voyons comment sont définis les niveaux de cybersécurité et comment, en pratique, ces niveaux de sécurité peuvent être atteints lors de la création d'un système de contrôle industriel.
La définition du niveau de sécurité fait référence aux protections qui doivent être mises en place pour atténuer les attaques provenant de :
SL1: erreurs involontaires commises par des individus appartenant à l'organisation (par exemple, erreurs d'employés) ;
SL2: attaques volontaires par des individus disposant de peu de ressources, de moyens simples, de faibles motivations et de connaissances génériques dans le domaine des systèmes de contrôle industriel (ICS) (tels que : cybercriminels, hackers) ;
SL3: attaques volontaires par des sujets disposant de ressources modérées, de moyens sophistiqués, de motivations modérées et de connaissances spécifiques dans le domaine des systèmes de contrôle industriel (ICS) (cyberterroristes et hacktivistes)
SL4: attaques volontaires par des individus disposant de ressources importantes, de moyens sophistiqués, d'une forte motivation et de connaissances spécifiques dans le domaine des systèmes de contrôle industriel (ICS) (cyberterroristes, cyberattaques de nations, APT).
Pour atteindre les niveaux de sécurité, des paramètres objectifs d'évaluation ont été définis afin qu'il soit possible de standardiser les évaluations, partout où elles sont réalisées au niveau mondial.
I exigences de base qui sont évalués lors de contrôles de conformité ou de certifications sont au nombre de 7, qui sont ensuite enrichis d'un certain nombre de exigences supplémentaires parvenir à une description complète des caractéristiques de sécurité d’un système et/ou d’un produit.
Les exigences fondamentales évaluent la capacité d'un système à:
-
Vérifier l'identification et l'autorisation d'accès
-
Contrôler les utilisateurs dans leurs opérations
-
Gérer la confidentialité des données
-
Gérer l'intégrité des données
-
Contrôler et limiter le flux de données
-
Réagissez rapidement à un événement malveillant
-
Assurer les redondances des systèmes critiques
Chacune des exigences fondamentales précitées, comme déjà mentionné, est ensuite enrichie d'exigences supplémentaires et constitue une liste de contrôle « objective » d'environ 100 paramètres qui définit les Niveau de sécurité atteint (Obtenu) par un système (ou par un produit).
Il est important de noter que dans un projet de cybersécurité OT, la réalisation d'un Cible SL (SL-T) peut être planifié en différentes phases qui peuvent également inclure la modernisation des infrastructures de production pour les rendre adaptées à l'introduction de contrôles de cybersécurité. La réalisation du SL-T peut être obtenue en atteignant des SL intermédiaires au fil du temps.
Ce processus peut prendre des années, au cours de laquelle, pour garantir la sécurité du système, il peut être nécessaire d'introduire quelques contrôles compensatoires, même temporaire, capable de combler d'éventuelles carences liées à l'obsolescence des systèmes.
Un autre élément fondamental à considérer est la mise en place de plans de maintenance et de mise à jour, dédiés au monde OT. Ces plans doivent tenir compte de la nécessité de limiter les impacts sur les cycles de production, de s'intégrer dans les processus et de maintenir à jour les composants cyber, dans la mesure où ils sont validés par les fournisseurs de composants du système et de ne pas interférer dans les processus de supervision et de contrôle.
La principale différence par rapport aux contrôles effectués dans le secteur informatique réside peut-être dans le fait que l'approche s'effectue au niveau du système et qu'aucun contrôle spécifique n'est effectué. de base, mais tu dois en avoir un vision aussi « holistique » que possible.
* Expert ISA99/IEC62443