Les solutions de sécurité de Fortinet pour les systèmes de contrôle industriels

La convergence des technologies industrielles OT (Operational Technology) et des technologies de l'information (IT) pèse sur la sécurité des systèmes de contrôle industriels et SCADA. Avec ce décloisonnement, ces systèmes s'exposent à un univers de menaces en forte expansion et constituent des cibles pour les hackers potentiellement impliqués dans le terrorisme, la cyberguerre ou l'espionnage. Les attaques sur les infrastructures à risque (centrales électriques, usines, stations d'épuration, plateformes pétrolières ou encore systèmes de contrôle du trafic routier) peuvent poser une sérieuse menace à la sécurité nationale, mais aussi entraîner de lourdes pertes financières, le risque d'une réputation ternie pour les entreprises victimes de l'attaque, voire des pertes humaines. 

Depuis plus d'une décennie, Fortinet protège les environnements OT des infrastructures d'intérêt vital dans les secteurs de l'énergie, de la défense, de la production industrielle, de l'agroalimentaire et des transports. En inscrivant la sécurité au sein d'infrastructures complexes grâce à la Security Fabric, les entreprises disposent d'un moyen transparent pour s'assurer de la protection et de la conformité des environnements OT. 

 

La solution ICS/SCADA de Fortinet

La solution Fortinet intègre une sécurité OT pour une protection optimale contre les menaces à l'intention des environnements IT corporate qui couvrent le data center, le cloud et la périphérie de réseau. Elle offre également des fonctions de visibilité, de contrôle et d'automatisation pour faciliter le traitement analytique de données au sein de l'environnement OT, tout en assurant la conformité aux normes du secteur. De plus, cette solution se veut un vecteur de simplification et réduit les coûts d'exploitation liés à la sécurité OT, lorsque comparée à l'utilisation d'outils de sécurité autonomes au sein d'environnements IT et OT cloisonnés. 

La Zone industrielle est le domaine qui héberge la production industrielle. Cette zone inclut les éléments de contrôle numérique comme les contrôleurs PLC et unités terminales distantes (RPU) qui convertissent les communications IP en commandes série. Elle inclut également des réseaux supplémentaires comme ceux dédiés à la vidéosurveillance ou aux objets connectés. Les produits suivants de Fortinet sont inclus dans cette zone : FortiSwitch, FortiAP, FortiPresence et FortiCamera. Cliquez sur Réseau sans fil (Wireless Networks) ci-dessous pour en savoir davantage sur les FortiAP au sein de la Zone industrielle.

Réseau sans fil: Les environnements OT peuvent offrir une connectivité à nombre de dispositifs via un réseau sans fil qu'il s'agit de sécuriser. Les FortiAP, gérés et sécurisés par les appliances FortiGate, protègent intégralement les réseaux sans fil et sont adaptés aux conditions parfois hostiles des environnements industriels. FortiPresence offre une visibilité (en temps réel ou sur une période donnée) sur le déplacement des personnes évoluant sur des sites industriels. Cette visibilité tire parti des points d'accès de Fortinet sur site pour détecter le signal Wi-Fi du téléphone portable de chaque personne. Bénéficiez d'une couverture visuelle intégrale avec FortiCamera. FortiCamera s'adapte à tous les environnements OT avec ses différentes options : déploiement en intérieur ou extérieur, protection contre le vandalisme, résistance aux intempéries, objectifs et zoom fixes ou motorisés et communications audio bilatérales. Bénéficiez d'une couverture visuelle intégrale avec FortiCamera. FortiCamera s'adapte à tous les environnements OT avec ses différentes options : déploiement en intérieur ou extérieur, protection contre le vandalisme, résistance aux intempéries, objectifs et zoom fixes ou motorisés et communications audio bilatérales. Bénéficiez d'une couverture visuelle intégrale avec FortiCamera. FortiCamera s'adapte à tous les environnements OT avec ses différentes options : déploiement en intérieur ou extérieur, protection contre le vandalisme, résistance aux intempéries, objectifs et zoom fixes ou motorisés et communications audio bilatérales.
scada-industry-zone Réseau sans fil FortiCamera FortiCamera FortiPresence FortiPresence

Il est possible de centraliser le contrôle et le monitoring de tous les systèmes exécutant les processus au sein d'un environnement industriel. C'est précisément à ce niveau que les systèmes OT partagent leurs données avec les systèmes IT. Les appliances de pare-feu nouvelle-génération FortiGate sont fréquemment déployées dans ce contexte pour protéger et segmenter le réseau, offrant ainsi contrôle et visibilté. Sélectionnez Réseau sans fil (Wireless Network) pour en savoir davantage sur les FortiAP au sein de la Zone industrielle.

Réseau sans fil: Les environnements OT peuvent offrir une connectivité à nombre de dispositifs via un réseau sans fil qu'il s'agit de sécuriser. Les FortiAP, gérés et sécurisés par les appliances FortiGate, protègent intégralement les réseaux sans fil et sont adaptés aux conditions parfois hostiles des environnements industriels.
scada-ot-zone Réseau sans fil

Entre la zone d'entreprise et celle des opérations sur site, il existe une zone DMZ industrielle (IDMZ). Cette IDMZ permet à l'entreprise  d'assurer la sécurité des réseaux. Cette sécurité propose l'authentification et la segmentation métier qui assurent la visibilité, le contrôle et la prise en compte du contexte pour gérer les menaces connues et inconnues. Vous vérifiez ainsi les personnes et dispositifs connectés au réseau et offrez un contrôle d'accès fondé sur le rôle à l'intention des utilisateurs, dispositifs, applications et protocoles. Luttez contre les menaces inconnues grâce au sandboxing et à la détection des activités frauduleuses. Déployez une segmentation métier à l'aide de barrières de contrôle et de commutateurs. Neutralisez les menaces connues sur le réseau. Bénéficiez d'une visibilité contextuelle sur les évènements au sein de vos environnements IT et OT. Cliquez sur les produits Fortinet pour en savoir plus.

FortiNAC offre une visibilité pour identifier tout ce qui y est connecté, avec notamment la possibilité de contrôler les dispositifs et les utilisateurs, et d'intervenir de manière automatisée et en temps réel. FortiAuthenticator renforce la sécurité : seuls les utilisateurs autorisés accèdent aux réseaux et données sensibles, et ce, uniquement durant des plages horaires définies. FortiSandbox détecte les menaces avancées et assure une remédiation automatisée. La plateforme offre une visibilité décisionnelle qui permet de neutraliser les attaques ciblées et de prévenir les pertes de données. FortiDeceptor offre des fonctions précises de détection basées sur les données d'activité et les mouvements latéraux des assaillants. Les informations de veille recueillies sur l'assaillant mettent à jour les fonctions de sécurité : les attaques sont ainsi neutralisées en amont de tout dommage. Les appliances de pare-feu nouvelle-génération FortiGate sont déployées pour assurer la protection et la segmentation du réseau, et offrent un contrôle et une visibilité permanents. FortiSwitch se décline en une large gamme de commutateurs Ethernet sécurisés, simples et évolutifs, pour le SD-Branch et des applications allant du poste de travail jusqu'au data center. Gérez les solutions Fortinet de manière simple avec FortiManager. FortiManager propose une gestion centralisée de la sécurité du réseau, la mise en œuvre des meilleures pratiques et l'automatisation des workflows, pour mieux se protéger des incidents de sécurité. Les appliances de pare-feu nouvelle-génération FortiGate sont déployées pour assurer la protection et la segmentation du réseau, et offrent un contrôle et une visibilité permanents. FortiAnalyzer assure un traitement analytique et un reporting pour mieux détecter les incidents et lutter contre les menaces connues. FortiSIEM offre des fonctions de visibilité, de corrélation, de prise en charge automatisée et de remédiation à partir d'une solution unifiée et évolutive qui améliore la prise en charge des menaces et incidents.
diagram-scada-dmz-zone FortiNAC FortiAuthenticator FortiSandbox FortiDeceptor FortiGate1 FortiSwitch FortiManager FortiGate2 FortiAnalyzer FortiSIEM

La zone d'entreprise est généralement située au niveau corporate et couvre de multiples installations, sites et usines, où les systèmes métiers contribuent aux tâches de planification et logistiques. Les données sont recueillies à partir de lieux individuels et agrégés dans l'optique de faciliter la prise de décision. Sélectionnez les produits Fortinet pour en savoir plus.

La passerelle de sécurité email FortiMail déploie une protection optimale contre les menaces classiques et de nouvelle génération, tout en prévenant les fuites de données grâce à des fonctions de protection des données. FortiWeb protège les applications web contre les attaques exploitant les vulnérabilités connues et inconnues. FortiADC optimise la haute disponibilité du réseau, l'expérience utilisateur et la sécurité des applications métiers. La solution assure la haute disponibilité des applications grâce à une répartition des charges sur les couches L4/L7, des data centers plus résilients, une optimisation applicative et un pare-feu qui protège les applications web. Les appliances de pare-feu nouvelle-génération FortiGate sont déployées pour assurer la protection et la segmentation du réseau, et offrent un contrôle et une visibilité permanents. Les appliances de pare-feu nouvelle-génération FortiGate sont déployées pour assurer la protection et la segmentation du réseau, et offrent un contrôle et une visibilité permanents. FortiSwitch se décline en une large gamme de commutateurs Ethernet sécurisés, simples et évolutifs, pour le SD-Branch et des applications allant du poste de travail jusqu'au data center.
diagram-scada-enterprise-zone FortiMail FortiWeb FortiADC FortiGate1 FortiGate1 FortiSwitch

La Zone Internet/WAN offre un accès à des ressources CPU et un traitement analytique dans le cloud, au service des systèmes ERP et MRP de l'environnement opérationnel. Les collaborateurs et prestataires accèdent au réseau corporate via cette zone.  Pour une sécurité optimale des systèmes, une authentification à deux facteurs et des tunnels VPN sont utilisés pour vérifier les identités et assurer la confidentialité des données. Cliquez sur les produits Fortinet pour en savoir plus.  

FortiClient renforce la sécurité des endpoints grâce à des fonctions de visibilité, de contrôle et de défense proactive. Des tunnels VPN permettent de vérifier les identités et de sécuriser les données. Avec cette capacité à identifier, surveiller et évaluer les risques associés aux endpoints, vous assurez votre conformité réglementaire, gérez les risques et maîtrisez votre exposition aux menaces. FortiClient renforce la sécurité des endpoints grâce à des fonctions de visibilité, de contrôle et de défense proactive. Les tunnels VPN permettent de vérifier les identités et de sécuriser les données. Identifiez, évaluez et surveillez les risques au niveau des endpoints pour assurer la mise en conformité et maîtriser les risques. FortiToken permet aux entreprises de gérer une authentification à 2 facteurs à partir de tout endroit disposant d'une connexion à Internet. FortiToken permet aux entreprises de gérer une authentification à 2 facteurs à partir de tout endroit disposant d'une connexion à Internet. Les solutions de Fortinet sur Amazon Web Services (AWS) offrent les mêmes fonctions de sécurité que leurs équivalents au format matériel. Fortinet offre aux utilisateurs de Microsoft Azure et d'Office 365 une protection intégrale, une intégration en natif et une gestion automatisée pour une application cohérente des règles de sécurité et une visibilité sur l'ensemble des infrastructures multi-cloud. Fortinet for Google Cloud Platform (GCP) permet de déployer en toute confiance les applications sur de multiples clouds et data centers.
diagram-scada-internet FortiClient FortClient2 FortiToken1 FortiToken2 AWS Azure Google Cloud

Visibilité

Prenez connaissance de tous les dispositifs, où qu'ils soient sur le réseau. Déterminez leur niveau de confiance et surveillez leur comportement en permanence pour pérenniser le niveau de confiance. Définissez la surface d'attaque et assurez un profiling actif des dispositifs et du trafic. La visibilité sur le trafic assure une veille qui permet aux équipes de décider du trafic, des ports, des protocoles, des applications et des services devant être autorisés. Le trafic entrant/sortant et interne est protégé par une application des règles de sécurité en différents points du réseau.

Voir

Contrôle

Dépend de la capacité de chaque système et sous-système à contribuer à cette tâche. L'authentification à facteurs multiples s'assure sur seules les personnes légitimes disposent d'autorisations et d'un accès validés sur les zones d'application. La segmentation et la micro-segmentation réseau offrent une approche multi-couche, avec des zones de contrôle. La mise en quarantaine et le sandboxing préviennent les menaces avant tout impact.

Voir

Traitement analytique des données comportementales

L'analyse permanente des comportements apporte des informations de veille aux équipes de sécurité. Un outil centralisé de sécurité assure les opérations de log, de reporting et de traitement analytique, tout en évaluant les informations d'activité recueillies sur l'ensemble du système. L'outil offre également une gestion des informations de sécurité et des évènements, ainsi qu'une automatisation des tâches d'orchestration de la sécurité et des fonctions de remédiation. L'analyse comportementale des utilisateurs et des dispositifs et l'évaluation des menaces assurent une protection permanente.

Voir

Ressources associées

Operational Cybersecurity for Digitized Manufacturing: Emerging Approachs for the Converged  Physical-Virtual Environment

Operational Cybersecurity for Digitized Manufacturing: Emerging Approachs for the Converged Physical-Virtual Environment

Lire
 Operational Technology and the Digital Transformation

Operational Technology and the Digital Transformation

S'enregistrer maintenant
The Unique Challenges of Securing Industrial Control Systems

The Unique Challenges of Securing Industrial Control Systems

Lire