Parce que… c’est l’épisode 0x577!

Préambule

Nous avons rencontré quelques problèmes de stabilité avec l’enregistrement de Camille.

Shameless plug

• 10 au 18 mai 2025 - NorthSec
• 03 au 05 juin 2025 - Infosecurity Europe
• 27 et 29 juin 2025 - LeHACK
• 12 au 17 octobre 2025 - Objective by the sea v8
• 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
• 17 au 20 novembre 2025 - European Cyber Week
• 25 et 26 février 2026 - SéQCure 2026

Description

Ce podcast, animé par Nicolas-Loïc avec les invités Camille Felx-Leduc et Steve Bélanger, aborde la gestion de l’identité dans les environnements OT (technologies opérationnelles) par rapport aux environnements IT (technologies de l’information).

Les défis de l’Active Directory (AD) en environnement OT

Les intervenants soulignent que l’Active Directory, conçu pour les environnements bureautiques, a été transposé dans les environnements industriels, créant plusieurs problèmes :

• L’AD est intrinsèquement complexe et difficile à sécuriser correctement
• Sa configuration requiert une expertise spécifique souvent absente des équipes OT
• La rétrocompatibilité excessive de l’AD permet l’utilisation de protocoles obsolètes (NTLM v1, SMB v1)
• La synchronisation temporelle est critique - un décalage de plus de 5 minutes entre systèmes peut corrompre l’AD
• L’organisation par défaut des AD n’est pas optimale pour la sécurité (objets placés dans “Computers” plutôt que dans des unités organisationnelles)

Les tensions entre sécurité et opérations

Le podcast met en lumière les contradictions entre les exigences de sécurité IT et les réalités opérationnelles :

• Les politiques de changement fréquent de mots de passe deviennent problématiques pour les opérateurs en usine portant des équipements de protection
• Les verrouillages automatiques de session après 15 minutes sont inadaptés aux environnements industriels où les opérateurs peuvent travailler plusieurs heures sur un même poste
• Les contrôles d’accès physiques déjà en place dans les installations industrielles sont souvent ignorés dans la conception des politiques de sécurité

La conception centrée sur l’humain

Les participants soulignent l’importance d’adapter les solutions de sécurité au contexte d’utilisation :

• Les solutions doivent être conçues en observant les opérateurs dans leur environnement réel de travail
• Les badges d’accès pourraient servir de jetons d’authentification dans certains contextes industriels
• La sécurité doit tenir compte des contraintes physiques (gants, masques, environnements extrêmes)
• Le principe du “capitaine à bord” dans certains environnements OT (un opérateur responsable pendant son quart) offre une couche de contrôle humain qui peut compenser certaines limites techniques

Les vulnérabilités spécifiques aux environnements OT

Le podcast identifie plusieurs pratiques problématiques :

• La réutilisation des mêmes identifiants entre environnements IT et OT
• L’utilisation excessive des comptes administrateurs par défaut (“admin/admin”)
• La gestion déficiente des comptes de service
• Les architectures qui permettent d’accéder directement aux données des systèmes OT depuis l’IT
• L’absence de documentation des identités utilisées

Les bonnes pratiques recommandées

Les intervenants proposent plusieurs solutions :

• Séparer les AD des environnements IT et OT
• Privilégier une architecture où les données sont “poussées” de l’OT vers l’IT plutôt que “tirées”
• Implémenter des DMZ et respecter le modèle Purdue pour la segmentation réseau
• Adapter les politiques de sécurité aux réalités opérationnelles
• Faire des tests de pénétration adaptés aux environnements OT
• Terminer automatiquement les sessions inactives après une période raisonnable

Conclusion

La discussion souligne l’importance d’une meilleure collaboration entre les équipes IT et OT. Les intervenants notent que les environnements industriels, souvent situés dans des zones éloignées, peuvent avoir des difficultés à attirer des talents en cybersécurité. Ils mentionnent l’émergence de services gérés pour les environnements OT, similaires aux MSP (Managed Service Providers) en IT, comme une solution potentielle à ce défi.

Collaborateurs

• Nicolas-Loïc Fortin
• Steve Bélanger
• Camille Felx Leduc

Crédits

• Montage par Intrasecure inc
• Locaux virtuels par Riverside.fm

Tags: ad, identite, to