Les entreprises pétrolières et gazières sont confrontées à certains des défis les plus pressants de l’ère moderne en matière d’infrastructure de cybersécurité. “Il existe deux types d’entreprises dans ce secteur”, selon Corie Allemand, Global Lead of O&G à Stratus, “celles qui ont été piratées et celles qui savent qu’elles l’ont été”.
La vulnérabilité de tous les systèmes aux cyberattaques est vérifiée par d’innombrables exemples, du célèbre piratage de Stuxnet il y a dix ans à la récente violation de Colonial Pipeline. Relever la myriade de défis liés à l’infrastructure de cybersécurité est un défi de taille, auquel s’ajoutent des exigences réglementaires de plus en plus strictes qui peuvent rapidement devenir ingérables au sein des architectures d’automatisation industrielle legacy et des réseaux OT traditionnels. Dans un récent webinaire organisé par Xage Security, nos experts expliquent les nouvelles directives du DHS concernant l’infrastructure de cybersécurité dans le secteur de l’exploitation et du gaz naturel, leurs implications concrètes pour les opérateurs et les concepts de haut niveau qui donnent l’impression d’une transformation numérique. Edge Computing concepts de haut niveau qui font que le voyage de la transformation numérique semble presque trop facile.
Comment nous en sommes arrivés là – Les enseignements du ver Stuxnet
Il y a 10 ans, Stuxnet a été le premier piratage d’un système d’automatisation industrielle, ouvrant les yeux du monde sur la façon dont les pirates peuvent accéder aux systèmes d’IA et les contrôler, ainsi que falsifier les données qu’ils contiennent, malgré le vide entre le réseau d’IA et le web. À l’époque, cette approche était censée créer des réseaux de confiance qui ne seraient vulnérables que de l’intérieur et impossibles à atteindre depuis l’extérieur. Malheureusement, cette hypothèse ne pouvait pas être plus fausse.
Selon l’ouvrage Industrial Network Security publié en 2015 par Eric D. Knapp et Joel Thomas Langill, “Stuxnet a prouvé que de nombreuses hypothèses sur les cybermenaces industrielles étaient erronées, et ce grâce à un logiciel malveillant bien plus sophistiqué que tout ce qui avait été vu auparavant.” Six ans plus tard, alors que les entreprises pétrolières et gazières s’engagent plus avant dans leurs parcours de numérisation, cette affirmation continue de sonner juste.
Le virus Stuxnet s’est frayé un chemin dans le réseau dit protégé sur lequel les professionnels de l’OT du monde entier comptaient à l’époque. Bien que les pirates aient eu l’intention d’accéder à l’environnement d’une seule organisation et d’accomplir une mission criminelle, ce qu’ils ont fait, leur création a ébranlé le monde, mutant et dévastant les infrastructures critiques des nations une par une. “Il s’est répandu dans le monde entier”, déclare Allemand dans le récent webinaire, “le verbiage virus est très, très précis.”
Stuxnet a prouvé à l’industrie qu’aucun réseau, aussi éloigné soit-il du World Wide Web, n’est digne de confiance. Cette prise de conscience a changé le cours de l’automatisation industrielle, accélérant la numérisation de nombreux secteurs, dont celui du pétrole et du gaz. Cette transformation numérique est en cours et il est particulièrement important pour les entreprises pétrolières et gazières de la réussir, car elle peut à la fois augmenter le profil de risque des organisations et renforcer leur position de sécurité.
Les deux faces de la numérisation pour les compagnies pétrolières et gazières
L’introduction de la numérisation dans les environnements d’automatisation industrielle est une impasse à plusieurs égards. Alors que les technologies émergentes telles que Edge Computing introduisent de nouveaux outils et de nouvelles capacités qui améliorent la prise de décision et protègent la sécurité des opérateurs et des données, elles présentent également des demandes pressantes en matière d’infrastructure de cybersécurité. “À mesure que nous mettons ces nouvelles technologies au service de ces nouveaux systèmes, nous devons nous assurer que la sécurité est au cœur de nos préoccupations”, déclare M. Allemand.
Dans cette optique, les entreprises du secteur de l’exploitation pétrolière et gazière ne doivent pas hésiter à se lancer dans la transformation numérique. Lors d’un récent webinaire, Rudy de Anda, expert de Stratus , a déclaré que “pour être compétitif, vous devez connecter et exploiter vos données”. Il existe d’innombrables exemples de réussites où les organisations qui s’y prennent bien renforcent non seulement leur infrastructure de cybersécurité, mais dégagent également des avantages qui augmentent leur part de marché et favorisent leurs objectifs commerciaux. Les experts de Xage et Stratus révèlent comment les entreprises pétrolières et gazières peuvent récolter les promesses de la numérisation, tout en garantissant la conformité réglementaire et sans avoir à arracher et remplacer le matériel legacy .
Les lignes directrices du DHS pour les infrastructures de cybersécurité des pipelines (en anglais)
En juillet, le DHS a publié des directives de cybersécurité pour les pipelines “dans le but d’éviter une répétition de la fermeture du Colonial Pipeline qui a provoqué des pénuries massives de carburant et des achats d’essence en panique”, selon le Washington Post. Si ces exigences répondent à un besoin urgent d’un manuel de cybersécurité standardisé dans le secteur, elles présentent également des défis de taille qui déconcertent les opérateurs et le personnel informatique.
Voici quelques-unes des exigences du DHS dont les experts de Xage et de Stratus discutent lors du webinaire :
- Une méthodologie de confiance zéro qui évite la confiance implicite de tout réseau.
- Mesures d’atténuation pour la rotation des justificatifs d’identité des utilisateurs et la gestion de l’accès aux actifs.
- Protocoles de mise à jour et de correction des logiciels
Selon Joe Blazeck, responsable des ventes et du développement commercial chez Xage Security, “nous nous éloignons vraiment du concept de réseaux de confiance, où les organisations vérifient une fois le périmètre, et nous nous dirigeons vers une approche de sécurité où les organisations vérifient continuellement chaque utilisateur, chaque appareil, chaque application et chaque transaction. Nous évitons la confiance implicite dans les dispositifs et les réseaux et nous nous orientons vers ce nouveau principe du moindre privilège.”
Bien que ces directives puissent sembler évidentes, elles représentent un véritable casse-tête sur le terrain. Les mises à jour logicielles, par exemple, provoquent régulièrement des temps d’arrêt non planifiés en raison de l’étendue des régions dans lesquelles les pipelines sont exploités et des groupes d’entrepreneurs informatiques souvent déconnectés qui réparent les pipelines au coup par coup dans ces vastes zones géographiques. Ces déploiements informatiques peuvent sembler être une tâche simple, tant pour la plate-forme que pour le logiciel, mais lorsque vous pensez à cette plate-forme répartie sur toute l’Amérique du Nord, vous comprenez l’ampleur du défi que représente ce type de mise à jour. Les défis majeurs liés à l’application des correctifs logiciels, le contrôle de la gestion des actifs et le nombre considérable d’informations d’identification à conserver ne sont que quelques-uns des maux de tête auxquels sont confrontés les opérateurs chargés de sécuriser les infrastructures critiques aujourd’hui.
Stratus et Xage soulagent la douleur du DX pour les pipelines, en débloquant des possibilités qui changent la donne.
La mise en œuvre d’une méthodologie de confiance zéro et d’autres stratégies d’atténuation requises est simple et facile avec les bons fournisseurs de solutions de cybersécurité. Edge Computing et les fournisseurs de solutions de cybersécurité. Selon M. Blazeck, “le principe fondamental de la confiance zéro est qu’aucun acteur, système, réseau ou service opérant à l’extérieur ou à l’intérieur du périmètre de sécurité n’est digne de confiance. Au contraire, ces organisations vérifient toutes les demandes de connexion aux systèmes avant d’accorder l’accès. Vous pouvez presque imaginer que les outils de sécurité dans un modèle de confiance zéro supposent que les appareils et les utilisateurs ont des intentions malveillantes, et ils supposent presque qu’une violation a déjà eu lieu.” Ce que cela signifie concrètement, c’est que les administrateurs doivent répondre à la question de savoir comment mettre en œuvre un ensemble de règles réussies pour vérifier chaque transaction dans leur réseau, un défi qui peut rapidement devenir ingérable dans les réseaux traditionnels d’OT qui reposent sur des ensembles de règles granulaires de un à un.
C’est là que Xage et Stratus interviennent. Blazeck poursuit : “Nous abordons cette question en créant des identités pour tous ces éléments différents. Nous créons une identité pour chaque utilisateur, chaque appareil et chaque application et nous l’étendons aux points de données. Nous contrôlons ensuite – par regroupement et par politique, par opposition à l’ouverture et à la fermeture des ports du pare-feu – la manière dont ces identités sont autorisées à interagir les unes avec les autres. Chaque identité, qu’il s’agisse d’un utilisateur ou d’un objet, a son propre périmètre, et chaque identité est en mesure d’interagir avec d’autres identités en fonction des politiques administrées dans le système central de Xage. Cette approche zéro-confiance centrée sur l’identité permet aux opérateurs de maintenir des connexions de confiance avec tous les points d’extrémité distants.” Ce ne sont là que quelques-unes des possibilités offertes par les solutions Xage. L’exécution de ce type de logiciel de cybersécurité de pointe (edge ) sur un serveur tolérant aux pannes comme le système Xage permet également aux organisations de fonctionner en cas de panne. Stratus ztC Edge permet également aux organisations de fonctionner en cas de panne, en toute sécurité.
L’intérêt des solutions Xage et Stratus est qu’elles sont essentiellement logicielles et qu’elles peuvent être installées sur le matériel legacy , ce qui permet des fonctionnalités telles que le filtrage de l’accès sur site pour les anciens automates qui n’ont pas de système de sécurité intégré. “Cela semble presque un peu facile, un peu simple”, dit Allemand, “mais nous pouvons déployer cela … en faisant toutes les choses que la numérisation promet. Vous avez un serveur fonctionnant à l’adresse edge, capable d’exécuter ces tâches lourdes à l’adresse edge – y compris la sécurité – alors que vous étendez ce réseau pour répondre à de nouvelles exigences.”
L’importance de l’adoption d’une solution informatique industrielle sécurisée ne peut être sous-estimée. Après tout, si les organisations doivent utiliser les données provenant des Edge Computing pour prendre de meilleures décisions commerciales, il est impératif de garantir l’authenticité, la précision et la confidentialité de ces données, que les pirates ont une propension avérée à usurper dans les architectures IA traditionnelles.
Cependant, lorsque le parcours de transformation numérique est efficacement sécurisé, les possibilités sont infinies. Selon Rudy de Anda, expert du site Stratus , “Ce que nous constatons, c’est que si vous déployez ces technologies, et que vous les déployez efficacement, c’est l’occasion d’obtenir la bande passante nécessaire pour déployer certains de ces outils connectés et edge vraiment puissants qui exploitent vos données tout en renforçant votre posture de sécurité, plutôt que de l’affaiblir.”
Pour en savoir plus, regardez le webinaire complet, Actionable Insights to DHS Cybersecurity Requirements in Oil and Gas ci-dessous.
