Que vous travailliez dans une usine de traitement des eaux ou que vous gériez l’infrastructure d’une entreprise énergétique, les gestionnaires de réseaux ont besoin d’une formation aux compétences appropriées pour éviter les cyberattaques. De nombreuses options existent pour les technologues pour aborder la cybersécurité déficit de compétences dans l’Internet industriel des objets (IIoT).

« Il n’existe pas de ligne directrice unique concernant les compétences et le personnel requis pour sécuriser efficacement et (tout aussi important dans le monde réel) un système industriel », déclare John Pescatore, directeur des tendances émergentes en matière de sécurité à l’Institut SANS. « La maturité globale des opérations informatiques et de la gouvernance est un facteur déterminant. »

Pescatore ajoute que « une administration informatique bâclée est le principal facteur à l’origine de la plupart des incidents de sécurité ».

Voici cinq conseils pour acquérir les compétences nécessaires dans un environnement IIoT :

1) Assister à des conférences de l’industrie

Pour acquérir des connaissances en IIoT, assister à une formation séances en systèmes de contrôle industriels lors de la conférence annuelle Black Hat, recommande Larry Trowell, directeur de la société de tests d’intrusion NetSPI. (Black Hat appartient à la même société mère que Network Computing.)

« Il s’agit d’un cours de deux jours et de la meilleure formation que j’ai jamais vue pour les réseaux IIoT », déclare Trowell. « Il donne un aperçu de base et explique comment effectuer une analyse passive et des configurations sans fil et logicielles. »

Se familiariser avec l’état d’esprit et l’architecture de la technologie opérationnelle (OT), conseille Anand Oswal, vice-président senior et directeur général de la sécurité des réseaux chez Palo Alto Networks. « La mentalité OT tourne autour de la disponibilité, de la sûreté et de la sécurité, et nous devons nous familiariser avec cette mentalité. »

2) Apprenez à communiquer entre les systèmes IIoT et les équipes

Développez une compréhension des protocoles qui permettent aux systèmes IIoT de communiquer entre eux, suggère Oswal. Ils incluent le protocole de communication de données Modbus, la technologie de communication d’automatisation Process Field Bus (PROFIBUS) et OPC, une norme d’interopérabilité pour l’échange de données sécurisé et fiable dans l’automatisation industrielle. Stands OPC pour la liaison et l’intégration d’objets (OLE) pour le contrôle des processus.

Les gestionnaires de réseau doivent également apprendre Transport de télémétrie Message Queuing (MQTT), qui permet la communication de machine à machine (M2M). Il fournit une authentification améliorée avec une confirmation d’identité bidirectionnelle.

« Les responsables informatiques qui supervisent les systèmes OT ne comprennent pas les protocoles et les contrôles au sein des environnements de production en usine », déclare Juliet Okafor, responsable de la cybersécurité des informations commerciales au sein de la société de cybersécurité RevolutionCyber. « Il est essentiel que les responsables informatiques comprennent mieux les (unités de télémétrie à distance (RTU)) et les autres types de protocoles de communication spécifiques à l’OT. »

Parallèlement, une compétence sous-estimée dans l’IIoT implique la communication entre les équipes informatiques et OT ou IIoT, d’autant plus que les équipes OT peuvent être fracturées et décentralisées, dit-elle.

« Souvent, ils ne parlent pas la même langue, et la capacité de communiquer entre les deux groupes est donc essentielle », explique Okafor.

« À maintes reprises, le problème se pose : si vous êtes d’un côté de l’environnement, vous devez avoir une compréhension interfonctionnelle de ce que fait l’autre côté afin de pouvoir le sécuriser correctement », explique Okafor.

3) Étudier les évaluations des risques et la conformité

Sachez comment effectuer des évaluations des risques spécifiques à l’OT et à l’IIoT, conseille Oswal. Cela implique d’apprendre à identifier les menaces et les vulnérabilités.

Découvrez également les réglementations de conformité pour l’IIoT, y compris un cadre de mise en réseau développé par des experts du Forum économique mondial appelé le Protocole de sûreté et de sécurité IIoT. Le cadre renforce les services IIoT en utilisant « des processus de renforcement actif qui peuvent être validés par des techniques éprouvées de pénétration, de configuration et de conformité », déclare l’organisation dans un communiqué. papier blanc.

De plus, le Institut national des normes et de la technologie standard NIST800-207 discute des points essentiels autour confiance zéro qui sont pertinents pour l’IIoT. Le concept implique l’utilisation d’une approche du moindre privilège pour vérifier les appareils IIoT connectés.

Jetez également un œil à ISA 62443 cadre de l’International Society of Automation. Il énonce les exigences et les processus d’utilisation et de maintenance des systèmes d’automatisation et de contrôle industriels (IACS).

4) Obtenir des certifications de sécurité pertinentes pour l’IIoT

Envisagez une certification de formationns d’organisations telles que le SANS Institute. Pescatore note que l’institut propose six cours en OT/ICS. Ils incluent ICS410 : ICS/SCADA Security Essentials et ICS515 : Visibilité, détection et réponse ICS.

Pendant ce temps, le Institut de conformité de sécurité ISA (ISCI) propose également des programmes de certification en technologie d’automatisation et de contrôle industriels, y compris la certification Component Security Assurance (CSA), la certification IOT Component Security Assurance (ICSA) et la certification System Security Assurance (SSA).

Okafor recommande les certifications Security+ et Networking+. Des organisations telles que CompTIA proposent ces programmes.

Elle note que le Certification mondiale en assurance de l’information (GIAC) propose des certifications de systèmes de contrôle industriel.

5) Explorez les associations industrielles dans l’IIoT

Pescatore recommande également de poursuivre une formation au 27 Centres de partage et d’analyse d’informations (ISAC) organisés autour de secteurs tels que l’eau et le pétrole et le gaz. Les ISAC sont des organisations à but non lucratif qui permettent aux secteurs privé et public de partager des informations sur les cybermenaces pesant sur les infrastructures critiques.

« Ce sont d’excellentes ressources pour obtenir des lignes directrices et apprendre auprès de professionnels de la sécurité plus expérimentés dans votre secteur », explique Pescatore.

Il suggère également de rejoindre le Forum des équipes de sécurité de réponse aux incidents (D’ABORD). Il dispose d’un système de contrôle industriel (ICS) groupe d’intérêt spécial (SIG). Le groupe explore les meilleures pratiques et les outils nécessaires pour répondre aux incidents et sécuriser les infrastructures critiques.