16 juill., 2020

Gérer les correctifs appliqués aux systèmes industriels

  • Article
  • IT/OT
  • systèmes industriels
  • gestion des correctifs

Les équipes spécialisées en technologies de l’information (TI) doivent composer avec un nombre grandissant de mises à jour à effectuer et de correctifs à appliquer. La gestion des correctifs, appelée patch management en anglais, est d’autant plus critique et complexe lorsqu’elle s’applique à des systèmes de contrôle industriels, où convergent les TI et les technologies opérationnelles (TO). Ce billet de blogue vise à exposer les différences entre la gestion des correctifs appliqués à des systèmes de contrôle industriels et celle des correctifs appliqués à des systèmes d’entreprise.

  1. Convergence TI/TO dans les systèmes de contrôle industriels

    Plusieurs des composants TI (logiciel et matériel) d’un système de contrôle industriel sont les mêmes que ceux d’un système d’entreprise. Ces composants TI agissent en complément et supportent les composants TO (logiciel et matériel) des systèmes de contrôle industriels, où ces deux technologies convergent. Une entreprise qui approche la gestion des correctifs appliqués aux systèmes industriels de la même façon que ceux appliqués aux systèmes d’entreprise s’expose à des risques d’arrêt de production coûteux et évitables.

    La différence entre les deux types de systèmes réside principalement dans les périodes disponibles pour appliquer les correctifs et l’envergure des impacts de ces derniers. En effet, dans le cas des systèmes de contrôle industriels, les périodes à faible impact sont beaucoup moins fréquentes, mis à part les arrêts de production planifiés (mise en arrêt ou « shutdown » en anglais).

    Pour un système d’entreprise, le processus d’application des correctifs est en général bien défini. Il se fait habituellement de nuit pour minimiser l’impact sur les utilisateurs et suivant des horaires prédéterminés. Par exemple, les correctifs mineurs peuvent être appliqués tous les mardis soir et les correctifs majeurs, une fois par trimestre.

    Dans le cas d’un système de contrôle industriel, les correctifs doivent idéalement être testés au préalable sur des systèmes de tests indépendants et appliqués pendant les périodes de mise en arrêt. Les usines qui n’interrompent jamais leurs activités doivent absolument valider les correctifs sur un système d’essai avant de les appliquer aux systèmes de production. Par conséquent, il est exclu de recourir à l’application automatique des correctifs. On recommande également d’appliquer les correctifs le jour, lorsqu’il y a du personnel sur place pour pallier à d’éventuelles pertes de communication ou de production.

    Des conséquences différentes

    L’impact d’une perte de service des systèmes TI dans le cas d’un système d’entreprise se résume principalement à la perte de productivité des usagers, qui ne peuvent utiliser leurs ordinateurs pendant une période plus ou moins longue. Dans le cas d’un système de contrôle industriel, une perte de service des systèmes TI peut entraîner des pertes de production, bris mécaniques importants, des blessures aux travailleurs, des déversements de matière dangereuse dans l’environnement et, en général, des pertes financières notables pouvant facilement se chiffrer à des centaines de milliers de dollars.

    Il est donc important de mettre en place des politiques et des procédures d’application des correctifs propres aux systèmes industriels qui tiennent compte de ce qui précède et de s’assurer d’avoir l’appui de la direction de l’entreprise dans cet exercice.

    Des risques bien réels

    Quand un système fonctionne bien, on ne voit pas la nécessité d’y changer quoi que ce soit. Cependant, la menace que posent les cyberattaques atteint actuellement des niveaux inégalés, et la situation n’ira pas en s’améliorant. On doit donc appliquer les correctifs publiés par les différents manufacturiers pour réduire la vulnérabilité des systèmes industriels, en particulier ceux liés à la sécurité.

    Voici les éléments essentiels d’un plan d’application des correctifs :

    • Dresser l’inventaire des composants TI et TO du système de contrôle industriel, y compris les programmes et les micrologiciels pouvant faire l’objet de correctifs.
    • Documenter la façon dont les correctifs ont été obtenus et appliqués pour chaque composant.
    • Établir les politiques et les procédures d’application des correctifs.
    • Identifier les composants qui présentent des vulnérabilités.
    • Prioriser les vulnérabilités en fonction de leur criticité.
    • Si possible, mitiger le risque en attendant les correctifs (ségrégation réseau et autres).
    • Prioriser les efforts en fonction de la sévérité et de la criticité des vulnérabilités et du type d’équipement.
    • Tester les correctifs avant leur application.
    • Planifier l’application des correctifs en prenant soin de concevoir un plan de retour en arrière (dans le cas d’une machine virtuelle, appliquer les correctifs sur un clone, par exemple).
    • Coordonner l’application des correctifs avec les responsables de la production.

    Rappelons que même si les systèmes industriels s’appuient souvent sur les mêmes technologies TI que celles utilisées dans les systèmes d’entreprise, on ne peut pas les traiter de la même façon. Dans le contexte actuel, il est très important de ne pas négliger la gestion et l’application des correctifs pour assurer la sécurité maximale des systèmes. Pour une stratégie de gestion des correctifs réussie, il est primordial que toutes les parties prenantes de l’entreprise collaborent.

    Pour en savoir plus, communiquez avec nous.

    Autres ressources

    https://www.us-cert.gov/sites/...

    https://www.sans.org/reading-r...

    https://www.nerc.com/files/CIP...

Ce contenu est fourni uniquement à des fins d’information générale. Tous droits réservés ©BBA

Publications récentes
Voir tout
Poussons
la réflexion
ensemble
Contactez-nous