Confiance Zéro et vos réseaux OT
Confiance zéro est une stratégie de sécurité pour la conception et l’implémentation des ensembles de principes de sécurité suivants :
| Vérifier explicitement | Utiliser l’accès du moindre privilège | Supposer une violation |
|---|---|---|
| Authentifiez et autorisez systématiquement en fonction de tous les points de données disponibles. | Limitez l’accès utilisateur avec l’accès juste-à-temps et juste suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection des données. | Réduisez le rayon d’explosion et segmentez l’accès. Vérifiez le chiffrement de bout en bout et utilisez l’analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses. |
Implémenter les principes de la Confiance Zéro sur vos réseaux de technologie opérationnelle (OT) peut vous aider à relever les défis suivants :
Contrôle des connexions à distance dans vos systèmes OT, sécurisation de vos sauts réseau et prévention des mouvements latéraux sur votre réseau
Examen et réduction des interconnexions entre les systèmes dépendants, ce qui simplifie les processus d’identité, comme pour les sous-traitants qui se connectent à votre réseau
Recherche de points de défaillance uniques dans votre réseau, identification des problèmes dans des segments de réseau spécifiques et réduction des retards et des goulots d’étranglement de bande passante
Risques et défis uniques pour les réseaux OT
Les architectures réseau OT diffèrent souvent de l’infrastructure informatique traditionnelle. Les systèmes OT utilisent une technologie unique dotée de protocoles propriétaires. Leurs plateformes peuvent être vieillissantes, et leur connectivité et puissance limitées. Les réseaux OT peuvent également avoir des exigences de sécurité spécifiques et des expositions uniques aux attaques physiques ou locales, par exemple via des sous-traitants externes qui se connectent à votre réseau.
Étant donné que les systèmes OT prennent souvent en charge les infrastructures réseau critiques, ils sont souvent conçus pour hiérarchiser la sécurité physique ou la disponibilité par rapport à l’accès et à la surveillance sécurisés. Par exemple, vos réseaux OT peuvent fonctionner séparément des autres trafics réseau d’entreprise afin d’éviter les temps d’arrêt liés à la maintenance régulière ou de réduire certains problèmes de sécurité spécifiques.
À mesure que de plus en plus de réseaux OT migrent vers des environnements cloud, l’application des principes de la Confiance Zéro peut présenter certains défis. Par exemple :
- Les systèmes OT ne sont pas forcément conçus pour des utilisateurs multiples et des politiques d'accès basées sur des rôles, et peuvent n'avoir que des processus d'authentification simples.
- Les systèmes OT peuvent ne pas avoir la puissance de traitement disponible pour appliquer pleinement des stratégies d’accès sécurisé et approuver à la place tout le trafic reçu comme sécurisé.
- Le vieillissement de la technologie présente des défis pour conserver les connaissances organisationnelles, appliquer des mises à jour et utiliser des outils d’analyse de sécurité standard pour obtenir une visibilité et favoriser la détection des menaces.
Toutefois, une compromission de la sécurité dans vos systèmes stratégiques peut entraîner des conséquences réelles qui dépassent les incidents informatiques traditionnels, et la non-conformité peut affecter la capacité de votre organisation à se conformer aux réglementations gouvernementales et sectorielles.
Appliquer les principes de la Confiance Zéro aux réseaux OT
Continuez à appliquer les mêmes principes de la Confiance Zéro dans vos réseaux OT que vous le feriez dans les réseaux informatiques traditionnels, mais avec certaines modifications logistiques si nécessaire. Par exemple :
Assurez-vous que toutes les connexions entre les réseaux et les appareils sont identifiées et gérées : vous empêcherez ainsi les interdépendances inconnues entre les systèmes et limiterez les temps d’arrêt inattendus pendant les procédures de maintenance.
Étant donné que certains systèmes OT peuvent ne pas prendre en charge toutes les pratiques de sécurité dont vous avez besoin, nous vous recommandons de limiter les connexions entre les réseaux et les appareils à un nombre limité d’hôtes de saut. Les hôtes de saut peuvent ensuite être utilisés pour démarrer des sessions à distance avec d’autres appareils.
Assurez-vous que vos hôtes de saut disposent de mesures de sécurité et de pratiques d’authentification plus fortes, telles que l’authentification multifacteur et les systèmes de gestion des accès privilégiés.
Segmentez votre réseau pour limiter l’accès aux données, en veillant à ce que toutes les communications entre les appareils et les segments soient chiffrées et sécurisées, et en empêchant les mouvements latéraux entre les systèmes. Par exemple, assurez-vous que tous les appareils qui accèdent au réseau sont pré-autorisés et sécurisés conformément aux stratégies de votre organisation.
Vous devrez peut-être approuver la communication entre l’ensemble de vos systèmes d’information de contrôle industriel et de sécurité (ICS et SIS). Toutefois, vous pouvez souvent segmenter davantage votre réseau dans des zones plus petites, ce qui facilite la surveillance de la sécurité et de la maintenance.
Évaluez les signaux tels que l’emplacement, l’intégrité et le comportement de l’appareil, en utilisant des données d’intégrité pour contrôler l’accès ou signaler des mesures correctives. Exiger que les appareils soient à jour pour l’accès, et utiliser l’analytique pour obtenir une visibilité et mettre à l’échelle des défenses avec des réponses automatisées.
Continuez à surveiller les métriques de sécurité, telles que les appareils autorisés et la base de référence du trafic réseau, pour vous assurer que votre périmètre de sécurité conserve son intégrité et que les modifications apportées à votre organisation se produisent au fil du temps. Par exemple, vous devrez peut-être modifier vos segments et vos stratégies d’accès à mesure que les personnes, les appareils et les systèmes changent.
Confiance Zéro avec Defender pour IoT
Déployez Microsoft Defender pour les capteurs réseau IoT afin de détecter les appareils et de surveiller le trafic sur vos réseaux OT. Defender pour IoT évalue vos appareils à la recherche de vulnérabilités et fournit des étapes d’atténuation basées sur les risques, et surveille en continu vos appareils pour détecter les comportements anormaux ou non autorisés.
Lorsque vous déployez des capteurs réseau OT, utilisez des sites et des zones pour segmenter votre réseau.
- Les sites désignent de nombreux appareils regroupés par emplacement géographique spécifique, par exemple le bureau à une adresse spécifique.
- Les zones désignent un segment logique au sein d’un site qui permet de définir une zone fonctionnelle, telle qu’une ligne de production spécifique.
Affectez chaque capteur OT à un site et une zone spécifiques pour vous assurer que chaque capteur OT couvre une zone spécifique du réseau. La segmentation de votre capteur sur plusieurs sites et zones vous permet de surveiller tout trafic passant entre les segments et d’appliquer des stratégies de sécurité pour chaque zone.
Veillez à affecter des stratégies d’accès basées sur le site afin de pouvoir fournir un accès avec privilèges minimum aux données et activités Defender pour IoT.
Par exemple, si votre entreprise en croissance a des usines et des bureaux à Paris, Lagos, Dubaï et Tianjin, vous pouvez segmenter votre réseau comme suit :
| Site | Zones |
|---|---|
| Bureau de Paris | – Rez-de-chaussée (Invités) – Étage 1 (Ventes) – Étage 2 (Direction) |
| Bureau de Lagos | – Rez-de-chaussée (Bureaux) – Étages 1 et 2 (Usine) |
| Bureau de Dubaï | – Rez-de-chaussée (Centre de convention) – Étage 1 (Ventes) – Étage 2 (Bureaux) |
| Bureau de Tianjin | – Rez-de-chaussée (Bureaux) – Étages 1 et 2 (Usine) |
Étapes suivantes
Créez des sites et des zones à mesure que vous intégrez des capteurs OT dans le Portail Azure et attribuez des stratégies d’accès basées sur le site à vos utilisateurs Azure.
Si vous travaillez dans un environnement physiquement limité avec une console de gestion locale, créez un site et des zones OT directement sur la console de gestion locale.
Utilisez des classeurs Defender pour IoT intégrés et créez vos propres classeurs personnalisés pour surveiller votre périmètre de sécurité au fil du temps.
Pour plus d'informations, consultez les pages suivantes :
- Créer des sites et des zones lors de l’intégration d’un capteur OT
- Gérer le contrôle d’accès basé sur le site
- Surveiller votre réseau OT avec les principes de la Confiance Zéro
Pour plus d'informations, consultez les pages suivantes :