Détecter les menaces liées aux TO à l’aide de la méthode de l’équipe rouge

Comprendre les enjeux : pourquoi la sécurité des technologies opérationnelles est-elle différente?

Contrairement à l’environnement traditionnel des technologies de l’information (TI), les systèmes TO contrôlent directement les processus physiques. Un incident de cybersécurité dans ce domaine peut avoir des conséquences immédiates sur les personnes, les équipements et l’environnement. Alors que la sécurité des TI se concentre sur la protection des données à l’aide de mesures liées à la confidentialité, à l’intégrité et à la disponibilité, la sécurité des TO accorde la priorité à la sécurité du publique, à la fiabilité et au fonctionnement ininterrompu des actifs critiques.

Les enjeux sont considérables. Les données provenant du secteur révèlent une augmentation marquée des cyberattaques ciblant les TO, année après année. Sans compter que ces incidents ne sont souvent pas signalés, ce qui signifie que l’ampleur réelle de la menace est encore plus vaste et inquiétante.

Qu’est-ce que la méthode de l’équipe rouge pour les technologies opérationnelles?

La méthode de l’équipe rouge pour les TO est un exercice de simulation conçu pour reproduire des cyberattaques réelles sur les systèmes opérationnels. L’objectif est de mettre à l’épreuve l’efficacité des contrôles de sécurité, de valider les capacités d’intervention en cas d’incident et de cerner les possibilités d’amélioration. Contrairement aux essais de pénétration, qui visent à trouver et à exploiter les vulnérabilités.

Il est important de souligner que la méthode de l’équipe rouge pour les TO ne remplace pas les exercices d'intervention sur table en cas d’incidents (voir le guide sur l’intervention en cas d’incident de BBA) ou un programme exhaustif de cybersécurité. Cette méthode sert plutôt à complémenter les stratégies existantes en fournissant des informations pratiques, basées sur des scénarios, sur la véritable posture de sécurité d’une organisation.

À quel moment les organisations devraient-elles envisager la méthode de l’équipe rouge pour les TO?

La méthode de l’équipe rouge pour les TO est surtout efficace pour les organisations qui ont un certain niveau de maturité dans des domaines comme la gestion des actifs, la gestion des risques, la gestion des identités et des accès et l’intervention en cas d’incident. Si votre organisation cherche à valider l’efficacité de ses contrôles, à comprendre les tactiques et techniques qui sont les plus pertinentes pour ses activités ou à former son personnel à l’aide de scénarios de menace réels, la méthode de l’équipe rouge peut s’avérer extrêmement utile.

Mise en place d’un programme efficace d’équipe rouge pour les technologies opérationnelles

1. Stratégies et cadres flexibles

L’environnement opérationnel de chaque organisation est unique, façonné par son secteur d’activité, son architecture et ses processus opérationnels. Pour cette raison, une approche flexible est essentielle. Des cadres comme MITRE ATT&CK for ICS fournissent une méthode structurée pour associer les scénarios d’attaque aux menaces réelles, aidant ainsi les équipes à classer par ordre de priorité les techniques les plus pertinentes.

2. L’importance d’un laboratoire TO/SCI

Un laboratoire de technologies opérationnelles (TO) et de systèmes de contrôle industriel (SCI) hors production est essentiel pour garantir la sécurité et l’efficacité de la méthode de l’équipe rouge. Les laboratoires permettent de reproduire des environnements opérationnels, de mettre à l’essai des scénarios d’attaque et d’affiner les capacités de détection et d’intervention, sans risque pour les systèmes en production. Qu’ils soient internes ou externes (comme les laboratoires numériques BBA), les laboratoires doivent trouver le juste milieu entre réalisme et flexibilité, afin de permettre aux organisations de s’adapter et d’évoluer selon leurs besoins.

3. Sélection des scénarios et approche fondée sur les risques

La sélection des scénarios doit être guidée par une approche fondée sur les risques, qui tient compte de facteurs comme les menaces propres à l’industrie, les fournisseurs courants et les architectures types de systèmes. Des outils comme MITRE ATT&CK Navigator peuvent aider à classer les techniques à prioriser, afin de garantir que les efforts mettent l’accent sur les risques les plus importants et urgents.

4. Collaboration entre les équipes TI et TO

L’efficacité de la méthode de l’équipe rouge nécessite une collaboration étroite entre les équipes TI et TO. Si la méthode de l’équipe rouge pour les TI est souvent plus perfectionnée, l’exploitation de l’expertise, des laboratoires et des outils TI peut accélérer les améliorations en matière de sécurité des TO. Comme les attaques du monde réel respectent rarement les frontières organisationnelles – les attaquants passent souvent des TI aux TO –, il est donc essentiel de défaire les cloisons pour mettre en place une défense hollistique.

5. Tirer parti des outils à code source ouvert

Les outils à code libre de droit comme Caldera for OT offrent de puissantes fonctionnalités pour simuler des attaques sur des protocoles industriels (p. ex., BACnet, DNP3, Modbus, IEC 61850 – MMS et Profinet). Ces outils prennent en charge à la fois les équipes rouges autonomes et manuelles, et leurs capacités sont alignées sur la matrice MITRE ATT&CK for ICS, ce qui les rend accessibles aux équipes TI et TO.

Principaux points à retenir

• Les incidents liés aux technologies opérationnelles et aux systèmes de contrôle industriels peuvent avoir des répercussions matérielles et environementales importantes. C’est pourquoi la cybersécurité est fondamentale pour toutes les activités.

• La méthode de l’équipe rouge pour les systèmes TO offre une approche pratique, basée sur des scénarios, qui permet de découvrir les risques cachés et d’améliorer la résilience.

• L’accès à un laboratoire TO/SCI spécialisé est essentiel pour assurer l’efficacité de la méthode de l’équipe rouge.

• La collaboration entre les équipes TI et TO est indispensable pour réduire les surfaces d’attaque et renforcer les défenses.

Compte tenu de l’évolution des menaces visant les TO, les organisations ne doivent plus se contenter de réagir et doivent adopter des stratégies proactives comme la méthode de l’équipe rouge. En simulant des attaques réelles et en favorisant la collaboration interdisciplinaire entre les équipes TI et TO, les équipes de sécurité peuvent découvrir les risques cachés et renforcer la résilience nécessaire pour protéger les activités critiques.

Si vous avez des questions ou souhaitez en savoir plus sur la mise en œuvre de la méthode de l’équipe rouge pour les TO, communiquez avec un expert en cybersécurité SCI ou explorez des ressources comme MITRE ATT&CK for ICS et des outils à code source ouvert comme Caldera for OT.