Une attaque qui touche une zone de bureaux peut causer des dommages importants, mais les sauvegardes et les syst\u00e8mes de reprise apr\u00e8s sinistre peuvent constituer des mesures d’att\u00e9nuation efficaces. En revanche, les attaques qui touchent les lignes de production ou les infrastructures critiques causent des dommages imm\u00e9diats, peuvent s’\u00e9tendre rapidement et ne sont pas toujours faciles \u00e0 r\u00e9parer. <\/p>\n
Les sources des cyber-attaques<\/h2>\n
Le premier aspect \u00e0 prendre en compte lors de l’\u00e9laboration d’un syst\u00e8me d\u00e9fensif est la source des attaques. Nous savons que la plupart des cyberattaques proviennent de l’internet. Comme chaque r\u00e9seau d’entreprise se connecte au r\u00e9seau public, cela ouvre la porte \u00e0 d’innombrables tentatives d’attaques. <\/p>\n
Les syst\u00e8mes de d\u00e9fense conventionnels bas\u00e9s sur les technologies de l’information prot\u00e8gent la fronti\u00e8re entre les r\u00e9seaux priv\u00e9s et publics. Par cons\u00e9quent, l’approche habituelle consiste \u00e0 ins\u00e9rer un pare-feu<\/a>, de pr\u00e9f\u00e9rence avec des capacit\u00e9s UTM (Unified Threat Management), pour emp\u00eacher les menaces de franchir la fronti\u00e8re et d’infecter l’int\u00e9rieur du r\u00e9seau. <\/p>\n Diagramme 1 : Le pare-feu \u00e0 la fronti\u00e8re du r\u00e9seau \u00e9tendu ne peut pas prot\u00e9ger contre les infections locales et les menaces lat\u00e9rales.<\/strong><\/p>\n Cependant, d’autres limites du r\u00e9seau peuvent \u00e9galement constituer des surfaces d’attaque. Ces limites sont souvent moins bien prot\u00e9g\u00e9es et peuvent exposer le r\u00e9seau \u00e0 des risques inutiles. Par exemple, les r\u00e9seaux sans fil peuvent \u00eatre vuln\u00e9rables, et si un acteur malveillant a un acc\u00e8s physique \u00e0 un r\u00e9seau, chaque port de chaque commutateur de r\u00e9seau repr\u00e9sente un point d’attaque potentiel. <\/p>\n Dans un r\u00e9seau OT, tout appareil connect\u00e9, comme un capteur IoT ou une cam\u00e9ra IP, peut devenir un cheval de Troie capable d’attaquer le r\u00e9seau de l’int\u00e9rieur. Par exemple, remplacer un capteur ou une cam\u00e9ra \u00e0 distance par un ordinateur en usurpant l’adresse MAC du capteur est un moyen \u00e9vident d’essayer d’acc\u00e9der au r\u00e9seau de production. <\/p>\n Le principal probl\u00e8me des cyberattaques men\u00e9es depuis l’int\u00e9rieur du r\u00e9seau est qu’elles se d\u00e9placent lat\u00e9ralement (d’un appareil \u00e0 l’autre), ne rencontrant le pare-feu que lorsqu’elles communiquent avec leur serveur de commande et de contr\u00f4le sur l’internet. Cela rend les attaques internes beaucoup plus dangereuses, car elles risquent de se propager sur le r\u00e9seau local pendant des heures, voire des jours, sans que le pare-feu ne puisse les d\u00e9tecter ou les intercepter. <\/p>\n Il existe des architectures de s\u00e9curit\u00e9 qui d\u00e9passent les capacit\u00e9s d’un simple pare-feu de fronti\u00e8re Internet pour accro\u00eetre la protection du r\u00e9seau, m\u00eame contre les attaques internes. Deux architectures possibles peuvent am\u00e9liorer la protection, mais elles sont g\u00e9n\u00e9ralement peu pratiques pour des raisons de co\u00fbt ou de performance : <\/p>\n Diagramme 2 : Les pare-feu en ligne avec les commutateurs peuvent analyser l’ensemble du trafic, mais ils augmentent le temps de latence et sont co\u00fbteux.<\/strong><\/p>\n Jusqu’\u00e0 pr\u00e9sent, nous avons discut\u00e9 des moyens de pr\u00e9venir une attaque, mais nous devons \u00e9galement envisager la meilleure r\u00e9ponse au cas o\u00f9 une attaque r\u00e9ussirait \u00e0 infecter un appareil connect\u00e9.<\/p>\n En fonction de l’architecture de s\u00e9curit\u00e9 mise en \u0153uvre, il peut s’\u00e9couler un certain temps avant que le pare-feu ne d\u00e9tecte l’attaque. En effet, les pare-feu emp\u00eachent les attaques de franchir une fronti\u00e8re, mais ne peuvent rien faire pour emp\u00eacher une menace de se propager lat\u00e9ralement. <\/p>\n Dans le sc\u00e9nario classique, lorsqu’une attaque est d\u00e9tect\u00e9e, le pare-feu informe le responsable informatique, qui doit alors agir rapidement pour \u00e9viter d’autres dommages, mais ce n’est pas toujours le cas.<\/p>\n Les actions requises pour identifier la source, rem\u00e9dier au probl\u00e8me et remettre les appareils dans un \u00e9tat s\u00fbr sont du ressort du groupe informatique et sont donc li\u00e9es aux temps de r\u00e9ponse de la r\u00e9action humaine. En outre. Chaque fois que des personnes doivent r\u00e9agir sous pression \u00e0 une situation qui \u00e9volue rapidement, il y a un risque d’erreur humaine<\/a>. Souvent, ces erreurs peuvent entra\u00eener des retards et des dommages suppl\u00e9mentaires ou laisser des vuln\u00e9rabilit\u00e9s non d\u00e9tect\u00e9es qui exposent l’entreprise \u00e0 davantage de risques \u00e0 l’avenir. <\/p>\n Cependant, le temps de r\u00e9ponse peut varier en fonction d’une multitude de facteurs : la complexit\u00e9 du r\u00e9seau, l’exp\u00e9rience du groupe informatique, la pr\u00e9sence ou la disponibilit\u00e9 du personnel dans le bureau au moment de la d\u00e9tection, la capacit\u00e9 \u00e0 d\u00e9tecter l’attaque et le temps n\u00e9cessaire pour contrecarrer l’attaque et pr\u00e9venir d’autres dommages. Les cyberattaques sont souvent lanc\u00e9es le soir ou le week-end, lorsque l’\u00e9quipe informatique n’est pas pr\u00e9sente ou est plus lente \u00e0 r\u00e9agir. <\/p>\n Le pr\u00e9judice subi par l’entreprise est directement proportionnel au temps n\u00e9cessaire pour remettre le r\u00e9seau en \u00e9tat. Par cons\u00e9quent, plus le temps passe, plus les effets se font sentir et plus les dommages \u00e9conomiques subis par l’entreprise sont importants. <\/p>\n Il faut parfois des jours, voire des semaines, pour identifier la source d’une attaque et rem\u00e9dier \u00e0 la situation, ce qui peut \u00eatre l’effet le plus pr\u00e9judiciable d’une cyberattaque. Outre l’impact \u00e9conomique, l’atteinte \u00e0 la r\u00e9putation, aux relations d’affaires et, dans le cas d’infrastructures critiques, le risque pour la vie humaine peuvent \u00eatre graves. <\/p>\n La solution consiste \u00e0 r\u00e9duire autant que possible le temps qui s’\u00e9coule entre la d\u00e9tection de l’attaque et le fonctionnement en toute s\u00e9curit\u00e9. Cela signifie qu’il faut s’appuyer sur des r\u00e9ponses automatis\u00e9es qui permettent au r\u00e9seau de se d\u00e9fendre lui-m\u00eame et d’\u00e9viter les retards typiques de l’intervention humaine. En d’autres termes, nous cr\u00e9ons un \u00ab\u00a0r\u00e9seau d’autod\u00e9fense\u00a0\u00bb. <\/p>\n Pour qu’un r\u00e9seau d’autod\u00e9fense puisse<\/strong> r\u00e9agir de mani\u00e8re autonome, tous les \u00e9l\u00e9ments concern\u00e9s doivent fonctionner ensemble. Les principales exigences d’un tel syst\u00e8me sont donc les suivantes : <\/p>\n Le diagramme ci-dessous montre comment ces composants se combinent pour d\u00e9tecter et isoler imm\u00e9diatement les dispositifs compromis, en minimisant l’impact sur le reste du r\u00e9seau et sur l’entreprise.<\/p>\n Diagramme 3 : Le pare-feu \u00ab\u00a0monobras\u00a0\u00bb analyse une copie du trafic du commutateur et alerte l’AMF-Sec en cas de d\u00e9tection d’une menace.<\/strong><\/p>\n Cette solution est efficace parce que les commutateurs du r\u00e9seau envoient une copie de leur trafic au pare-feu pour qu’il l’inspecte, ce qui r\u00e9sout plusieurs probl\u00e8mes pos\u00e9s par d’autres conceptions :<\/p>\n En mati\u00e8re de cybers\u00e9curit\u00e9, la pr\u00e9vention est n\u00e9cessaire, mais il est toujours possible qu’une attaque contourne nos d\u00e9fenses. Il faut donc \u00eatre pr\u00eat \u00e0 r\u00e9agir rapidement \u00e0 toute situation gr\u00e2ce \u00e0 des syst\u00e8mes automatis\u00e9s qui n’introduisent pas de retards. Et \u00e9vitez autant que possible les interventions manuelles, car les retards et les erreurs peuvent entra\u00eener des dommages et des co\u00fbts suppl\u00e9mentaires. <\/p>\n Un syst\u00e8me automatis\u00e9 intelligent qui coordonne les r\u00e9actions et les interventions est la seule solution pour cr\u00e9er un r\u00e9seau d’autod\u00e9fense capable de se prot\u00e9ger imm\u00e9diatement et ind\u00e9pendamment de l’intervention humaine.<\/p>\n","protected":false},"excerpt":{"rendered":" Nous examinons les risques de s\u00e9curit\u00e9 auxquels sont expos\u00e9s les syst\u00e8mes OT une fois qu’ils convergent avec leurs homologues informatiques et nous sugg\u00e9rons quelques conceptions de r\u00e9seaux permettant d’att\u00e9nuer ces risques.<\/p>\n","protected":false},"author":40,"featured_media":141402,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"location":[],"markets":[7278],"partners":[],"posttype":[7993],"products":[],"services":[],"solutions":[8174,8175],"site_tags":[],"technologies":[],"class_list":["post-141403","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","markets-manufacturingindustrial","posttype-blogpost","solutions-industrialsolutions","solutions-smartbuilding"],"acf":[],"yoast_head":"\n![\"Local](\"https:\/\/sandboxenv.alliedtelesis.com\/wp-content\/uploads\/2023\/07\/sdn-network-faded.svg\")
<\/div>\nDes architectures qui minimisent les risques<\/h2>\n
\n
![\"Cyber](\"https:\/\/sandboxenv.alliedtelesis.com\/wp-content\/uploads\/2023\/07\/sdn-utm-network-faded.svg\")
<\/div>\nLe temps de r\u00e9ponse est essentiel<\/h2>\n
Automatisation pour une r\u00e9ponse imm\u00e9diate<\/h2>\n
\n
![\"Cyber](\"https:\/\/sandboxenv.alliedtelesis.com\/wp-content\/uploads\/2023\/07\/sdn-amf-sec-network-faded.svg\")
<\/div>\n\n
Se pr\u00e9parer et r\u00e9agir rapidement<\/h2>\n