L’accès « Zero Trust » est-il la solution au problème croissant de l’accès VPN aux systèmes de contrôle industriels ? Je le pense, et je ne suis pas le seul.
Ce qui rend les VPN dangereux
Les réseaux privés virtuels (VPN) sont utilisés pour étendre la connectivité réseau entre les utilisateurs et les applications ou les systèmes de contrôle industriel (ICS, Industrial Control System). Il est donc naturel que les services informatiques proposent l’utilisation de VPN pour permettre à des tiers d’accéder au système ICS d’une entreprise. Dans de nombreux cas, les technologies opérationnelles (OT) ou les fournisseurs de systèmes ICS eux-mêmes ont commencé à déployer des VPN pour accéder à ces systèmes à distance. Avec l’accès à distance, l’objectif de l’équipe OT est de réduire les temps d’arrêt des lignes de production. Cependant, les VPN n’ont pas tenu cette promesse car ils sont devenus la principale source de temps d’arrêt imprévus. Examinons certains des problèmes liés aux VPN.
Réseau plat : de par leur conception, les VPN créent des tunnels bidirectionnels entre deux réseaux, mais les flux de trafic entrant sont la source de tous les maux. Pour aggraver les choses, de nombreux systèmes ICS autorisent les communications de type IP multicast et IP broadcast pour garantir que le logiciel de contrôle et d’acquisition de données (SCADA) ou de l’automate programmable industriel (API) puisse découvrir tous les dispositifs OT via le VPN. Dans de nombreux cas, le VPN se connecte à un serveur intermédiaire sur le réseau informatique qui relie en fait le réseau OT directement au tiers. Ce niveau d’accès au réseau par des tiers va à l’encontre de l’objectif même de créer un accès cloisonné entre l’OT et l’informatique.
Les systèmes ICS communiquent en texte clair sur EtherNet/IP et ne nécessitent aucune forme d’authentification. Mais les logiciels de conception et de configuration pour les applications discrètes, de processus, par lots, de mouvement, de sécurité et basées sur des pilotes n’ont pas été conçus pour un accès à distance via VPN et ne disposent pas des contrôles de sécurité que l’on retrouve généralement dans les logiciels d’application informatique. Lorsque des utilisateurs tiers utilisent le même ordinateur portable pour se connecter à leur réseau professionnel, à leur réseau domestique et à de nombreuses autres entreprises, la surface d’attaque s’agrandit considérablement.
Vulnérabilités : il semble que tous les fournisseurs de VPN de la planète aient divulgué de graves vulnérabilités dans leurs appliances VPN. Pour les propriétaires de systèmes OT, cela signifie que les VPN sont les cibles préférées des hackers qui souhaitent obtenir un accès non autorisé et injecter des ransomwares dans votre réseau OT. De plus, les VPN requièrent une protection DDoS car ils sont accessibles à tout moment à toute personne sur Internet.
« Les menaces émergentes telles que les attaques de ransomwares sur les processus commerciaux, les attaques potentielles de type siegeware sur les systèmes de gestion des bâtiments, l’usurpation d’identité GPS et les vulnérabilités persistantes des systèmes OT/IOT chevauchent le monde cyber-physique. »
– Les 9 principales tendances de sécurité et de risques pour 2020, Gartner, septembre 2020
Ransomware : les VPN connectent les appareils des utilisateurs au réseau OT. Les ransomwares se propagent alors sur le réseau et infectent les autres machines connectées. Les environnements OT offrent un terrain particulièrement propice : de nombreux postes y exécutent encore d’anciennes versions de Windows. Plusieurs incidents ont déjà montré qu’un ransomware introduit par un utilisateur tiers connecté en VPN pouvait provoquer des perturbations massives sur le réseau OT. Des attaques lancées depuis le réseau IT puis propagées aux systèmes OT ont touché plusieurs organisations, dont le producteur norvégien d’aluminium Norsk Hydro, causant des dommages supérieurs à 1 milliard de dollars.
Systèmes impossibles à corriger : la plupart des systèmes OT reposent sur d’anciennes versions de Windows ou sur des logiciels spécialisés arrivés en fin de vie ou de support. Appliquer régulièrement des correctifs sur des systèmes OT, quel que soit le système d’exploitation sous-jacent, reste souvent impossible en raison des processus de validation longs et complexes qu’imposent les fournisseurs OT. Plusieurs incidents bien documentés révèlent que certains correctifs ont provoqué des dysfonctionnements complets des systèmes OT. En 2017, un correctif de sécurité a mis hors service l’équipement de supervision d’un grand four d’ingénierie de la NASA, provoquant un incendie qui a détruit du matériel spatial. L’impossibilité d’appliquer des correctifs, ou leur déploiement tardif, constitue une vulnérabilité majeure régulièrement exploitée par les hackers
.
Les utilisateurs tiers ont-ils vraiment besoin d’un accès au réseau ?
Il est temps de cesser d’amener des utilisateurs, en particulier des tiers, sur votre réseau alors qu’ils n’ont besoin d’accéder aux systèmes OT que pour effectuer de la télémaintenance. L’approche VPN centrée sur le réseau, incluant les DMZ et les pare-feu, est utilisée depuis que le modèle Purdue pour les systèmes ICS est devenu la norme pour la sécurité OT à la fin des années 1990. La bonne approche consiste désormais à connecter les utilisateurs aux applications.
L’approche « Zero Trust » permet aux tiers d’accéder uniquement aux systèmes dont ils ont besoin, sans ouvrir de connexions entrantes vers le réseau OT, même dans un contexte de convergence OT-IT. Cette approche ne consiste pas à relier les réseaux entre eux, elle garantit un accès sécurisé et fluide aux systèmes OT. Limiter la visibilité des systèmes OT sur Internet aux seuls utilisateurs autorisés réduit fortement la surface d’attaque et diminue le risque de ransomware ou de cyberattaque.
Découvrez comment MAN Energy, Johnson Controls, TT Electronics et MOWI ont adopté une approche Zero Trust et connectent les utilisateurs aux applications sans les intégrer au réseau.
Deepak Patel est le directeur principal de la transformation du réseau et de la sécurité OT chez Zscaler.
