Le modèle Purdue pour la sécurité des technologies opérationnelles est-il devenu obsolète ?

Le modèle de référence Purdue pour la sécurité des technologies opérationnelles (OT) et des systèmes de contrôle industriels (ICS) est un cadre essentiel, largement utilisé aujourd'hui, y compris dans le contexte des nouvelles avancées technologiques.

Toutefois, l'évolution rapide de la technologie et la sophistication croissante des cybermenaces soulèvent des questions quant à la capacité de ce modèle à répondre aux enjeux de sécurité modernes.

Le modèle Purdue doit-il être modifié tandis que les fabricants adoptent de nouvelles technologies ? La réponse est oui. Mais que doivent faire les fabricants exactement ?

Il a perduré aussi longtemps parce qu'il décompose les systèmes de fabrication complexes en composants gérables. En segmentant les systèmes, le modèle garantit que les fabricants peuvent poursuivre leurs opérations critiques, même si d'autres systèmes, tels que les opérations informatiques de l'organisation, sont compromis. Cependant, avec l'émergence de nouvelles technologies de fabrication, le modèle Purdue commence à montrer ses limites.

Dans les années 1990 quand le modèle Purdue a été développé, les systèmes OT et IT étaient rarement interconnectés. Aujourd'hui, les environnements OT et IT sont souvent reliés, car de plus en plus d'entreprises industrielles et de fabrication en viennent à exploiter de nouvelles technologies, telles que l'IIoT (Industrial Internet of Things) et les solutions cloud d'analyse des données de production en temps réel.

La connexion de ces deux types de systèmes brouille les lignes. En conséquence, les fabricants peinent à respecter le modèle initial. Conçu essentiellement pour les systèmes OT, le modèle Purdue est trop rigide et hiérarchique pour fonctionner correctement avec la plupart des systèmes OT-IT combinés.

Le modèle Purdue demeure pertinent en tant que cadre logique et fonctionnel pour la conception et la sécurité des systèmes d'automatisation et de contrôle. Le modèle décompose les environnements industriels en une structure hiérarchique. Ceci permet aux fabricants de garantir la segmentation du réseau et la mise en œuvre de mesures de sécurité, et donc de mieux contrôler les interactions entre les différents composants du système.

La pratique de l'air gapping, qui consiste à isoler les environnements industriels du réseau local de l'entreprise et des réseaux externes comme Internet, limite le risque de cybermenaces qui pourraient entraîner une panne coûteuse des systèmes de production en temps réel, tels que les serveurs de contrôle et d'acquisition de données (SCADA) et les interfaces homme-machine des technologies d'automatisation de niveau inférieur.

Malgré l'avènement de nouvelles normes telles que l'industrie 4.0 (ou quatrième révolution industrielle) et la fabrication 4.0, qui utilisent davantage les technologies en périphérie et de cloud computing, certains principes du modèle Purdue restent importants pour l'industrie et le secteur de la fabrication. Cependant, l'intégration croissante des technologies OT et IT modifie la manière dont les fabricants appliquent ce modèle. Les différents niveaux définis par le modèle Purdue, notamment les frontières entre les niveaux 3 à 5 (contrôle des opérations, zonage DMZ OT et IT, et réseau de l'entreprise), deviennent plus perméables.

De même, la virtualisation conduit les fabricants à déplacer les tâches de calcul complexes et le stockage de données vers des ressources informatiques distantes (physiques, virtuelles et cloud) qui sont alors gérées en dehors de l'environnement OT. Cette évolution optimise la scalabilité, la flexibilité et la rentabilité du traitement de gros volumes de données de télémétrie en temps réel, mais elle induit également une fusion accrue entre la sécurité et la fiabilité des systèmes OT et celles des systèmes IT. Cette intégration OT/IT expose les systèmes industriels à un éventail de cybermenaces bien plus large.

Pour relever les nouveaux défis de la sécurité, les fabricants n'ont d'autre choix que d'adapter le modèle Purdue. Or ce modèle peut être étonnamment flexible. En effet, il ne s'agit pas d'une hiérarchie physique, mais plutôt d'une hiérarchie logique ou fonctionnelle. La disposition physique des composants peut changer, mais les rôles fonctionnels et les responsabilités définis par les niveaux du modèle Purdue restent globalement les mêmes.

Par exemple, les fabricants peuvent intégrer l'informatique en périphérie dans le modèle en traitant les terminaux en périphérie comme faisant partie des niveaux inférieurs du modèle. De même, ils peuvent adapter le modèle pour étendre les niveaux supérieurs du modèle aux services et applications cloud.

Grâce à ces adaptations, il est possible d'améliorer le traitement, le stockage et l'analyse des données, tout en conservant la séparation des composants prônée par le modèle Purdue.

L'adaptation du modèle à l'informatique en périphérie et au cloud computing introduit de nouveaux défis, tels que la préservation de la fiabilité et de la sécurité des communications entre les systèmes sur site et le cloud, la gestion de la latence des données et la protection contre l'augmentation éventuelle des surfaces d'attaque.

La nature dynamique des environnements cloud peut compliquer la gestion de la sécurité et de la conformité, car les configurations et les services cloud peuvent changer rapidement et fréquemment. En conséquence, les fabricants doivent implémenter des mesures de sécurité robustes, notamment le chiffrement, des protocoles de communication sécurisés, une surveillance continue et des mesures de sécurité des terminaux plus robustes, comme l'EDR.

Ils doivent également établir des procédures et des règles claires pour la gestion et l'accessibilité aux données, et maintenir un équilibre entre les avantages du cloud et de l'informatique en périphérie et les besoins de résilience opérationnelle et de sécurité.

L'une des options est le modèle zero-trust (zéro confiance) pour l'accès, l'authentification et l'autorisation des ressources OT, à condition de tenir compte des limitations des systèmes OT. En effet, de nombreux systèmes OT fonctionnent sur des versions très anciennes de Windows qui ne prennent pas en charge les agents de cybersécurité modernes, ce qui peut nécessiter un proxy de sécurité et une segmentation fine du réseau pour obtenir un niveau de sécurité comparable.

Les fabricants ont besoin d'une solution capable de protéger les environnements OT et IT intégrés qui n'impose pas l'abandon du modèle Purdue ni des changements radicaux. Ils doivent pouvoir adapter le modèle aux environnements interconnectés modernes.

C'est exactement ce qu'Acronis Cyber Protect for Operational Technology propose aux fabricants. En plus de s'intégrer parfaitement au modèle Purdue, la solution offre des fonctionnalités de protection et de gestion robustes pour les environnements intégrés. Parmi les fonctionnalités critiques incluses :

Le serveur de gestion Acronis et le hub de surveillance centralisé Acronis sécurisent les communications et la gestion entre les environnements informatiques et opérationnels. Aux niveaux 2, 3 et 3.5 du modèle Purdue, l'agent Acronis peut être déployé sur des systèmes OT tels que les systèmes d'historisation, les serveurs SCADA et les terminaux avec interface homme-machine (HMI), ce qui permet aux fabricants d'effectuer des sauvegardes et des restaurations d'environnements OT et IT intégrés. L'agent peut éventuellement fournir des fonctionnalités de cybersécurité, comme la protection contre les ransomwares, de façon à réduire considérablement les cybermenaces visant les systèmes OT et à en atténuer les effets.

Concernant les environnements OT/IT plus convergents, l'agent Acronis peut également être installé sur les systèmes de l'ensemble du réseau Enterprise and Business du modèle Purdue, offrant une cybersécurité intégrée et une sauvegarde sécurisée pour les applications de productivité, de back-office et de front-office.

La protection des systèmes OT et IT avec Acronis Cyber Protect for OT permet aux équipes informatiques de surveiller et gérer les opérations de sauvegarde et de sécurité à partir d'une seule console. Cette gestion unifiée est un gage de simplicité, d'efficacité et de rentabilité accrues et elle facilite l'intégration des équipes informatiques et opérationnelles.

Une vue unifiée du réseau permet aux administrateurs d'identifier et de corriger rapidement les problèmes, de façon à garantir la sécurité et le bon fonctionnement des systèmes informatiques et opérationnels. Dans un modèle de déploiement multitenant, les équipes informatiques et opérationnelles, qui sont souvent isolées les unes des autres dans le secteur de la fabrication, peuvent continuer à travailler séparément. Mais Acronis Cyber Protect for Operational Technology offre systématiquement une vue unifiée des opérations de sauvegarde et de sécurité.  

Acronis Cyber Protect for OT propose aux fabricants des fonctionnalités qui leur permettent d'adapter le modèle Purdue aux technologies cloud et autres avancées qui conduisent au rapprochement des environnements OT et IT. Cette solution permet de gagner en efficacité et d'assurer l'intégration sécurisée des systèmes OT et IT.