L’accès Zero Trust serait-il la réponse au problème croissant de l’accès VPN aux systèmes de contrôle industriels ? Je le pense et je ne suis pas le seul.
Ce qui rend les VPN dangereux
Les réseaux privés virtuels (VPN) sont utilisés pour étendre la connectivité réseau entre les utilisateurs et les applications ou les systèmes de contrôle industriel (ICS, Industrial Control System). Il est donc naturel que les services informatiques proposent l’utilisation de VPN pour permettre à des tiers d’accéder au système ICS d’une entreprise. Dans de nombreux cas, les technologies opérationnelles (OT) ou les fournisseurs de systèmes ICS eux-mêmes ont commencé à déployer des VPN pour accéder à ces systèmes à distance. Avec l’accès à distance, l’objectif de l’équipe OT est de réduire les temps d’arrêt des lignes de production. Cependant, les VPN n’ont pas tenu cette promesse car ils sont devenus la principale source de temps d’arrêt imprévus. Examinons certains des problèmes liés aux VPN.
Réseau plat : de par leur conception, les VPN créent des tunnels bidirectionnels entre deux réseaux, mais les flux de trafic entrant sont la source de tous les maux. Pour aggraver les choses, de nombreux systèmes ICS autorisent les communications de type IP multicast et IP broadcast pour garantir que le logiciel de contrôle et d’acquisition de données (SCADA) ou de l’automate programmable industriel (API) puisse découvrir tous les dispositifs OT via le VPN. Dans de nombreux cas, le VPN se connecte à un serveur intermédiaire sur le réseau informatique qui relie en fait le réseau OT directement au tiers. Ce niveau d’accès au réseau par des tiers va à l’encontre de l’objectif même de créer un accès cloisonné entre l’OT et l’informatique.
Les systèmes ICS communiquent en texte clair sur EtherNet/IP et ne nécessitent aucune forme d’authentification. Mais les logiciels de conception et de configuration pour les applications discrètes, de processus, par lots, de mouvement, de sécurité et basées sur des pilotes n’ont pas été conçus pour un accès à distance via VPN et ne disposent pas des contrôles de sécurité que l’on retrouve généralement dans les logiciels d’application informatique. Lorsque des utilisateurs tiers utilisent le même ordinateur portable pour se connecter à leur réseau professionnel, à leur réseau domestique et à de nombreuses autres entreprises, la surface d’attaque s’agrandit considérablement.
Vulnérabilités : il semble que tous les fournisseurs de VPN de la planète aient divulgué de graves vulnérabilités dans leurs appliances VPN. Pour les propriétaires de systèmes OT, cela signifie que les VPN sont les cibles préférées des hackers qui souhaitent obtenir un accès non autorisé et injecter des ransomwares dans votre réseau OT. De plus, les VPN requièrent une protection DDoS car ils sont accessibles à tout moment à toute personne sur Internet.
« Les menaces émergentes telles que les attaques de ransomwares sur les processus commerciaux, les attaques potentielles de type siegeware sur les systèmes de gestion des bâtiments, l’usurpation d’identité GPS et les vulnérabilités persistantes des systèmes OT/IOT chevauchent le monde cyber-physique. »
– Les 9 principales tendances en matière de sécurité et de risque pour 2020, Gartner, septembre 2020
Ransomware : les VPN connectent les appareils des utilisateurs à votre réseau OT. Les ransomwares se propagent généralement sur le réseau, infectant les autres ordinateurs qui y sont connectés. L’OT constitue un environnement riche en cibles où de nombreux postes de travail sur le réseau OT exécutent d’anciennes versions d’un système d’exploitation (OS) Windows. Dans plusieurs cas, un ransomware provenant d’un utilisateur tiers connecté via VPN a entraîné une perturbation massive du réseau OT. Des attaques de ransomware provenant du réseau informatique et se propageant aux systèmes OT ont été observées dans plusieurs entreprises, dont le producteur d’aluminium norvégien Norsk Hydro, entraînant des préjudices qui dépassent le milliard de dollars.
Systèmes non corrigés : la plupart des systèmes OT utilisent une ancienne version de Windows ou un logiciel spécialement conçu qui est en fin de vie ou en fin de support. L’application régulière de correctifs aux systèmes OT, quel que soit le système d’exploitation sous-jacent, n’est pas une option en raison de la longueur et de la lourdeur de la procédure d’approbation exigée par les fournisseurs d’OT. Il existe des cas bien documentés de correctifs appliqués aux systèmes OT qui ont causé un dysfonctionnement complet du système. En 2017, un correctif de sécurité a arrêté l’équipement de surveillance dans un grand four d’ingénierie de la NASA, provoquant un incendie qui a détruit le matériel de l’engin spatial. Les systèmes non corrigés ou les applications tardives de correctifs constituent une vulnérabilité majeure souvent exploitée par les hackers.
Les utilisateurs tiers ont-ils vraiment besoin d’un accès au réseau ?
Il est temps de cesser d’amener des utilisateurs, en particulier des tiers, sur votre réseau alors qu’ils n’ont besoin d’accéder aux systèmes OT que pour effectuer de la télémaintenance. L’approche VPN centrée sur le réseau, incluant les DMZ et les pare-feu, est utilisée depuis que le modèle Purdue pour les systèmes ICS est devenu la norme pour la sécurité OT à la fin des années 1990. La bonne approche consiste désormais à connecter les utilisateurs aux applications.
Une approche Zero Trust constitue un meilleur moyen de permettre à des tiers d’accéder aux systèmes spécifiques dont ils ont besoin sans autoriser aucune connexion entrante sur votre réseau OT, même avec la convergence OT-IT. En effet, ce concept ne suggère pas de connecter les réseaux ; il signifie simplement que les utilisateurs doivent pouvoir accéder aux systèmes OT de manière sécurisée et pratique. Maintenir les systèmes OT identifiés et accessibles sur Internet uniquement pour les utilisateurs autorisés permet d’éliminer la plus grande surface d’attaque et de réduire le risque d’attaque de ransomware ou autres cyberattaques.
Découvrez comment MAN Energy, Johnson Controls, TT Electronics et MOWI ont adopté une approche Zero Trust et connectent les utilisateurs aux applications sans les amener sur le réseau.
Deepak Patel est le directeur principal de la transformation du réseau et de la sécurité OT chez Zscaler.