Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Confiance nulle est une stratégie de sécurité pour la conception et l’implémentation des ensembles de principes de sécurité suivants :
| Vérifiez explicitement. | Utilisez des autorisations selon le principe des privilèges minimum. | Supposez une violation. |
|---|---|---|
| Toujours s’authentifier et autoriser en fonction de tous les points de données disponibles. | Limitez l’accès utilisateur avec juste-à-temps et just-enough-access (JIT/JEA), des stratégies adaptatives basées sur les risques et la protection des données. | Réduisez le rayon d’explosion et l’accès aux segments. Vérifiez le chiffrement de bout en bout et utilisez l’analyse pour obtenir la visibilité, détecter les menaces et améliorer les défenses. |
Implémentez Confiance nulle principes dans vos réseaux de technologie opérationnelle (OT) pour vous aider à relever les défis, tels que :
Contrôle des connexions à distance dans vos systèmes OT, sécurisation de vos postes de saut réseau et prévention des mouvements latéraux sur votre réseau
Examen et réduction des interconnexions entre les systèmes dépendants, ce qui simplifie les processus d’identité, comme pour les sous-traitants qui se connectent à votre réseau
Recherche de points de défaillance uniques dans votre réseau, identification des problèmes dans des segments de réseau spécifiques et réduction des retards et des goulots d’étranglement de bande passante
Risques et défis uniques pour les réseaux OT
Les architectures réseau OT diffèrent souvent de l’infrastructure informatique traditionnelle. Les systèmes OT utilisent une technologie unique avec des protocoles propriétaires et peuvent avoir des plateformes vieillissantes et une connectivité et une puissance limitées. Les réseaux OT peuvent également avoir des exigences de sécurité spécifiques et des expositions uniques à des attaques physiques ou locales, par exemple via des entrepreneurs externes qui se connectent à votre réseau.
Étant donné que les systèmes OT prennent souvent en charge les infrastructures réseau critiques, ils sont souvent conçus pour hiérarchiser la sécurité physique ou la disponibilité par rapport à l’accès et à la surveillance sécurisés. Par exemple, vos réseaux OT peuvent fonctionner séparément des autres trafics réseau d’entreprise afin d’éviter un temps d’arrêt pour une maintenance régulière ou pour atténuer des problèmes de sécurité spécifiques.
À mesure que de plus en plus de réseaux OT migrent vers des environnements basés sur le cloud, l’application de principes Confiance nulle peut présenter des défis spécifiques. Par exemple :
- Les systèmes OT peuvent ne pas être conçus pour plusieurs utilisateurs et les stratégies d’accès en fonction du rôle, et peuvent avoir uniquement des processus d’authentification simples.
- Les systèmes OT peuvent ne pas avoir la puissance de traitement disponible pour appliquer entièrement des stratégies d’accès sécurisé et approuver à la place tout le trafic reçu comme sécurisé.
- Le vieillissement de la technologie pose des défis pour conserver les connaissances organisationnelles, appliquer des mises à jour et utiliser des outils d’analyse de sécurité standard pour obtenir de la visibilité et favoriser la détection des menaces.
Toutefois, une compromission de la sécurité dans vos systèmes stratégiques peut entraîner des conséquences réelles au-delà des incidents informatiques traditionnels, et la non-conformité peut affecter la capacité de votre organization à se conformer aux réglementations gouvernementales et industrielles.
Application de principes Confiance nulle aux réseaux OT
Continuez à appliquer les mêmes principes de Confiance nulle dans vos réseaux OT que vous le feriez dans les réseaux informatiques traditionnels, mais avec certaines modifications logistiques si nécessaire. Par exemple :
Assurez-vous que toutes les connexions entre les réseaux et les appareils sont identifiées et gérées, ce qui empêche les interdépendances inconnues entre les systèmes et qu’elles contiennent des temps d’arrêt inattendus pendant les procédures de maintenance.
Étant donné que certains systèmes OT peuvent ne pas prendre en charge toutes les pratiques de sécurité dont vous avez besoin, nous vous recommandons de limiter les connexions entre les réseaux et les appareils à un nombre limité d’hôtes de saut. Les hôtes de saut peuvent ensuite être utilisés pour démarrer des sessions à distance avec d’autres appareils.
Assurez-vous que vos hôtes de saut disposent de mesures de sécurité et de pratiques d’authentification plus fortes, telles que l’authentification multifacteur et les systèmes de gestion des accès privilégiés.
Segmentez votre réseau pour limiter l’accès aux données, en veillant à ce que toutes les communications entre les appareils et les segments soient chiffrées et sécurisées, et en empêchant les mouvements latéraux entre les systèmes. Par exemple, assurez-vous que tous les appareils qui accèdent au réseau sont pré-autorisés et sécurisés conformément aux stratégies de votre organization.
Vous devrez peut-être approuver la communication entre l’ensemble de vos systèmes d’information de contrôle industriel et de sécurité (ICS et SIS). Toutefois, vous pouvez souvent segmenter davantage votre réseau en zones plus petites, ce qui facilite la surveillance de la sécurité et de la maintenance.
Évaluez les signaux tels que l’emplacement, l’intégrité et le comportement de l’appareil, à l’aide de données d’intégrité pour contrôler l’accès ou l’indicateur de correction. Exiger que les appareils soient à jour pour l’accès et utiliser l’analytique pour obtenir une visibilité et mettre à l’échelle les défenses avec des réponses automatisées.
Continuez à surveiller les métriques de sécurité, telles que les appareils autorisés et la base de référence du trafic réseau, pour vous assurer que votre périmètre de sécurité conserve son intégrité et que les modifications de votre organization se produisent au fil du temps. Par exemple, vous devrez peut-être modifier vos segments et stratégies d’accès à mesure que les personnes, les appareils et les systèmes changent.
Confiance nulle avec Defender pour IoT
Déployez Microsoft Defender pour les capteurs réseau IoT afin de détecter les appareils et de surveiller le trafic sur vos réseaux OT. Defender pour IoT évalue les vulnérabilités de vos appareils et fournit des étapes d’atténuation basées sur les risques, et surveille en permanence vos appareils pour détecter les comportements anormaux ou non autorisés.
Lorsque vous déployez des capteurs réseau OT, utilisez des sites et des zones pour segmenter votre réseau.
- Les sites reflètent de nombreux appareils regroupés par emplacement géographique spécifique, par exemple le bureau à une adresse spécifique.
- Les zones reflètent un segment logique au sein d’un site pour définir une zone fonctionnelle, telle qu’une ligne de production spécifique.
Affectez chaque capteur OT à un site et une zone spécifiques pour vous assurer que chaque capteur OT couvre une zone spécifique du réseau. La segmentation de votre capteur entre les sites et les zones vous permet de surveiller tout trafic passant entre les segments et d’appliquer des stratégies de sécurité pour chaque zone.
Veillez à affecter des stratégies d’accès basées sur le site afin de pouvoir fournir un accès avec des privilèges minimum aux données et activités Defender pour IoT.
Par exemple, si votre entreprise en croissance a des usines et des bureaux à Paris, Lagos, Dubaï et Shenzhen, vous pouvez segmenter votre réseau comme suit :
| Site | Zones |
|---|---|
| Bureau de Paris | - Rez-de-chaussée (Invités) - Étage 1 (Ventes) - Étage 2 (Exécutif) |
| Bureau de Lagos | - Rez-de-chaussée (bureaux) - Étages 1 à 2 (Usine) |
| Bureau de Dubaï | - Rez-de-chaussée (Centre de congrès) - Étage 1 (Ventes) - Étage 2 (bureaux) |
| Bureau de Ainsiy | - Rez-de-chaussée (bureaux) - Étages 1 à 2 (Usine) |
Étapes suivantes
Créez des sites et des zones à mesure que vous intégrez des capteurs OT dans le Portail Azure et attribuez des stratégies d’accès basées sur le site à vos utilisateurs Azure.
Utilisez des classeurs Defender pour IoT intégrés et créez vos propres classeurs personnalisés pour surveiller votre périmètre de sécurité au fil du temps.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Créer des sites et des zones lors de l’intégration d’un capteur OT
- Gérer le contrôle d’accès en fonction du site
- Surveiller votre réseau OT avec Confiance nulle principes
Pour plus d’informations, reportez-vous aux rubriques suivantes :