Sécuriser le réseau : guide pratique de la cyberanalytique pour le secteur de l'énergie & des infrastructures publiques

Comment les plateformes de données modernes transforment les opérations de cybersécurité dans les infrastructures critiques

Le secteur de l'énergie et des infrastructures publiques (E&U) est confronté à des défis de cybersécurité sans précédent, car la convergence des systèmes de technologie opérationnelle (OT) et de Technologie de l'information (IT) crée de nouvelles vulnérabilités que les acteurs malveillants exploitent de manière agressive. Avec une augmentation de 87 % des attaques de ransomware sur les systèmes OT/ICS en 2024 ¹ et les violations par des tiers à l'origine de 45 % de tous les incidents de sécurité dans le secteur de l'énergie ² , les solutions SIEM traditionnelles se révèlent inadéquates face à l'ampleur et à la complexité des opérations de sécurité modernes.

La solution consiste à adopter une approche de plateforme de données unifiée capable de gérer les volumes massifs de télémétrie de sécurité provenant des environnements IT et OT, tout en offrant la profondeur d'analyse nécessaire à la détection avancée des menaces, au reporting de conformité et à l'investigation numérique à long terme. Ce guide complet explore comment les plateformes lakehouse, en particulier Databricks, révolutionnent les Opérations de cybersécurité pour les entreprises du secteur de l'énergie et des infrastructures publiques.

Pourquoi la cybersécurité dans le secteur E&U est différente (et urgente)

Le défi de la convergence IT/OT

Les entreprises du secteur de l'énergie et des infrastructures publiques opèrent dans un paysage de cybersécurité unique où les réseaux IT traditionnels croisent de plus en plus les systèmes de technologie opérationnelle (OT) qui contrôlent les infrastructures physiques. Cette convergence crée plusieurs défis critiques :

Élargissement de la surface d'attaque : les systèmes OT hérités, conçus à l'origine pour l'isolement et la fiabilité plutôt que pour la sécurité, sont désormais connectés aux réseaux d'entreprise et aux services cloud. 94 % des organisations ont déclaré être exposées à des risques de cyberincidents OT en 2024 ³, et 98 % ont connu des incidents IT qui ont affecté leurs environnements OT.

Paysage réglementaire complexe : Les organisations du secteur de l'énergie doivent s'y retrouver dans un réseau complexe d'exigences de conformité, notamment les normes NERC CIP pour les infrastructures publiques et les directives de sécurité des pipelines de la TSA pour les exploitants de pipelines. La mise à jour du 29 mai 2024 de la directive sur la sécurité des pipeline de la TSA SD-2021-01D ⁴ met l'accent sur une résilience renforcée en matière de cybersécurité grâce à un monitoring continu et au reporting d'incidents.

Environnement à enjeux élevés : contrairement aux environnements IT traditionnels, les défaillances de sécurité dans les secteurs de l'énergie et des infrastructures publiques peuvent avoir des effets en cascade sur la sécurité publique et la sécurité nationale. L'attaque par rançongiciel contre Colonial Pipeline en 2021 ⁵ a démontré comment un seul cyberincident pouvait perturber la distribution de carburant sur toute la côte Est, entraînant de vastes conséquences opérationnelles et économiques.

Expansion du paysage des menaces

L'environnement de menaces auquel est confronté le secteur de l'énergie et des infrastructures publiques s'est considérablement intensifié :

Augmentation des incidents de ransomware OT/ICS : +87 % en 2024 ⁶.

Prolifération des risques liés aux tiers : des recherches montrent que 67 % des violations dans le secteur de l'énergie impliquent des fournisseurs de logiciels et d'IT ⁷, ce qui souligne l'importance cruciale du monitoring de la sécurité de la chaîne d'approvisionnement. Le taux de violation par des tiers dans le secteur de l'énergie, de 45 %, dépasse de manière significative la moyenne mondiale de 29 % ⁸.

Menaces étatiques et menaces persistantes avancées : l'enquête 2024 SANS ICS/OT Cybersecurity Survey ⁹ a identifié une sophistication croissante des attaques ciblant les infrastructures critiques, avec des groupes parrainés par des États se concentrant spécifiquement sur les environnements OT pour obtenir un avantage stratégique.

Impact financier : Le coût moyen d'une violation de données dans le secteur de l'énergie a atteint 4,78 millions de dollars en 2023, tandis que les cyberattaques destructrices coûtaient en moyenne 5,24 millions de dollars ¹⁰. Ces coûts continuent d'augmenter à mesure que les attaques deviennent plus sophistiquées et plus répandues.

Principaux cas d'utilisation pour les équipes de sécurité

1. data lake de sécurité unifié pour l'IT, le cloud et l'OT/ICS

Impact sur l'activité : élimine les silos de données et offre une visibilité complète sur les environnements hybrides, réduisant le temps moyen de détection (MTTD) jusqu'à 60 % grâce à une analytique centralisée.

Sources de données clés :

• IT Systems : logs Windows/Linux, événements Active Directory, données de flux réseau, télémétrie de détection des endpoint.
• Infrastructure cloud : AWS CloudTrail, Azure Activity Logs, GCP Audit Logs, données sur la posture de sécurité du cloud
• Réseaux OT/ICS : données Historian, logs SCADA, événements HMI, trafic de protocole industriel (Modbus, DNP3, IEC 61850)
• Infrastructure réseau : logs de pare-feu, alertes IDS/IPS, configurations des appareils réseau.

Indicateurs clés :

• Rétention des données : à chaud (30-90 jours), tiède (1-2 ans), à froid (7-10 ans)
• Taux d'ingestion : 16 To/jour en moyenne sur les sources IT, cloud et OT
• Performances des requêtes : réponse en moins d'une seconde pour la chasse aux menaces interactive

Volumes quotidiens des Logs de sécurité par source

2. Détection et chasse aux menaces avancées

Impact sur l'entreprise : permet la détection d'attaques sophistiquées qui contournent les contrôles de sécurité traditionnels, en particulier celles qui ciblent les environnements OT où les règles SIEM conventionnelles peuvent ne pas s'appliquer.

Principales fonctionnalités :

• Analytique tenant compte des environnements OT : analyse comportementale des données Historian pour détecter les changements de processus anormaux ou les modifications d'équipement non autorisées
• Corrélation inter-domaines : lier le vol d'identifiants IT à la reconnaissance ultérieure du réseau OT
• monitoring de la chaîne d'approvisionnement : Analyse automatisée des modèles d'accès des fournisseurs et du comportement des logiciels tiers

Indicateurs clés :

• Réduction des taux de faux positifs de 40 à 70 % grâce à la détection améliorée par le ML
• Améliorez l'efficacité de la chasse aux menaces avec des requêtes 10 fois plus rapides sur les données historiques
• Détecter les mouvements latéraux des réseaux IT vers les réseaux OT en moins de 15 minutes

3. Réponse aux incidents & Analyse forensique Monter en charge au pétaoctet

Impact sur l'activité : Accélère la réponse aux incidents et les enquêtes forensiques, réduisant le temps moyen de rétablissement (MTTR) de plusieurs semaines à quelques jours pour les incidents complexes et multi-domaines.

Fonctionnalités principales :

• Reconstruction de la chronologie : corrélation rapide des événements entre les systèmes IT et OT pour construire des chronologies d'attaque complètes
• Conservation des preuves : stockage de données immuable avec vérification de l'intégrité cryptographique pour les exigences réglementaires et légales
• Investigation collaborative : Notebooks et workflows partagés permettant aux équipes de sécurité distribuées de collaborer sur des incidents complexes

Indicateurs clés :

• Query des pétaoctets de données historiques en quelques secondes
• Réduire le temps d'investigation forensique de 80 %.
• Conservez des chaînes de preuves juridiquement admissibles avec des pistes d'audit complètes

4. Rapports réglementaires et preuves de contrôle

Impact sur l'entreprise : automatise le reporting de conformité pour NERC CIP, les directives de sécurité de la TSA et d'autres cadres réglementaires, réduisant ainsi l'effort manuel de 90 % tout en améliorant la précision et la cohérence.

Cadres de conformité pris en charge :

• NERC CIP-011-4 : preuves du programme de protection des information et reporting de l'inventaire des cyber-actifs ¹¹
• CIP-015-1 : exigences de monitoring et de journalisation de la sécurité du réseau interne ¹²
• Directives de sécurité des pipelines de la TSA : monitoring continu et signalement des incidents pour les infrastructures de pipelines critiques ¹³

Fonctionnalités principales

• Suivi automatisé du data lineage pour les exigences d'audit
• Tableaux de bord de conformité en temps réel avec alertes sur les exceptions
• Templates de rapports prédéfinis pour les soumissions réglementaires

5. Analytique des risques liés aux tiers et à la chaîne d'approvisionnement

Impact sur l'activité : fournit un monitoring de la posture de sécurité des fournisseurs et des risques de la chaîne d'approvisionnement, un point essentiel étant donné que les violations par des tiers représentent près de la moitié de tous les incidents dans le secteur de l'énergie.

Capacités d'évaluation des risques :

• Notation de la sécurité des fournisseurs : évaluation automatisée de la posture de sécurité des tiers à l'aide de la télémétrie externe et interne
• Analyse des schémas d'accès : monitoring de l'accès au réseau des fournisseurs et des interactions de données pour la détection d'anomalies.
• Cartographie de la chaîne d'approvisionnement : visualisation des interdépendances et des scénarios de risque en cascade

Indicateurs clés :

• Visibilité à 360 degrés sur l'accès et l'activité des fournisseurs
• Mises à jour du score de risque en temps réel basées sur les flux de renseignements sur les menaces
• Alertes automatiques pour les activités à haut risque des fournisseurs ou les violations de politiques

L'aide de Databricks : des fonctionnalités concrètes

Architecture Lakehouse pour la sécurité

Architecture Lakehouse de Databricks pour la cybersécurité dans les secteurs de l'énergie et des infrastructures publiques

La Databricks Data Intelligence Platform ¹⁴ fournit une architecture unifiée qui répond aux défis uniques auxquels sont confrontées les équipes de sécurité des secteurs de l'énergie et des infrastructures publiques :

Fondation Delta Lake : le stockage de données au format ouvert avec transactions ACID garantit l'intégrité des données et élimine la dépendance vis-à-vis d'un fournisseur. La télémétrie de sécurité est stockée dans un format en colonnes optimisé qui prend en charge à la fois l'analytique par batch et les requêtes de streaming en temps réel.

Gouvernance avec Unity Catalog : offre une gouvernance complète des données avec des contrôles d'accès précis, un suivi automatisé du data lineage pour la conformité réglementaire et des politiques de sécurité cohérentes sur tous les assets de données.

Traitement en temps réel : Structured Streaming et Auto Loader permettent une ingestion continue des données de sécurité provenant des sources IT et OT, prenant en charge des scénarios de détection en moins d'une seconde et des mises à jour de tableaux de bord en temps réel.

Fonctionnalités avancées d'analytique et de ML

Intégration MLflow : gère le cycle de vie complet du machine learning pour les cas d'usage de sécurité, du développement du modèle de détection des menaces au déploiement et au monitoring. Les modèles prédéfinis pour la détection d'anomalies, l'analyse du comportement des utilisateurs et la classification des menaces peuvent être personnalisés pour les environnements du secteur de l'énergie.

Lakehouse Monitoring ¹⁵: surveille la qualité des données et les performances des modèles pour garantir que la précision de la détection reste élevée à mesure que les paysages de menaces évoluent. La détection automatisée du drift permet de maintenir l'efficacité des modèles dans le temps.

Delta Live Tables : simplifie la création et la gestion des pipelines de traitement de données, garantissant que les données de sécurité passent de l'ingestion brute à des formats prêts pour l'analyse avec des contrôles de qualité et un suivi de la lignée des données appropriés.

Flexibilité et intégration multi-cloud

Bring-Your-Own Analytics : les entreprises peuvent conserver leurs investissements SIEM/SOAR existants tout en tirant parti de Databricks pour la conservation des données à long terme, l'analytique avancée et la détection des menaces basée sur le ML. Cette approche offre le meilleur des deux mondes : des capacités de détection immédiates et une puissance d'analyse approfondie.

Rétention économique : les options de stockage à plusieurs niveaux permettent aux organisations de conserver les données chaudes facilement accessibles pour les opérations en temps réel tout en archivant les données historiques de manière rentable à des fins de conformité et d'investigation. Ceci est particulièrement important pour les organisations du secteur de l'énergie qui peuvent avoir besoin de conserver les logs de sécurité pendant 7 à 10 ans.

Intégration ouverte : la prise en charge des APIs et des formats de données standard de l'industrie assure une intégration transparente avec les outils de sécurité existants, des plateformes de détection des endpoints aux Solutions de monitoring des systèmes de contrôle industriels.

Pourquoi Databricks se différencie

Standards ouverts : contrairement aux solutions cloud natif qui verrouillent les données dans des formats propriétaires, Databricks utilise des standards ouverts comme Delta Lake et Apache Parquet, garantissant que les organisations gardent le contrôle de leurs données et peuvent s'adapter à l'évolution des exigences.

Véritablement multi-cloud : alors que les concurrents se concentrent principalement sur leurs environnements cloud natifs, Databricks offre des fonctionnalités cohérentes sur AWS, Azure et Google Cloud, permettant aux entreprises de mettre en œuvre une analytique de sécurité unifiée quelle que soit leur stratégie cloud.

Leader en ML/IA : la combinaison de MLflow pour la gestion du cycle de vie des modèles et d'Unity Catalog pour la gouvernance des données offre des capacités inégalées pour le déploiement et la gestion de cas d'usage de sécurité basés sur le ML à l'échelle de l'entreprise.

Optimisation des coûts : la hiérarchisation intelligente des données et les fonctionnalités d'optimisation comme Photon et Delta Engine offrent un rapport prix/performances supérieur pour les workloads d'analytique de sécurité à grande échelle, réduisant souvent le coût total de possession de 40 à 60 % par rapport aux approches de data warehouse traditionnelles.

Résultats prêts pour le client & Prochaines étapes

Plan pilote de 90 jours

Phase 1 (Jours 1-30) : Configuration de base

• Déployer un workspace Databricks avec la gouvernance Unity Catalog
• Configurer l'ingestion de données à partir de 3 à 5 sources de journaux prioritaires (Windows, pare-feu, journaux d'audit cloud)
• Établir une architecture de données bronze/argent/or avec des contrôles de qualité de base.

Phase 2 (Jours 31-60) : Détection et analytique

• Mettre en œuvre 5 cas d'usage de détection principaux (par ex., mouvement latéral, élévation des privilèges, activité réseau anormale)
• Déployer 2 playbooks de chasse aux menaces axés sur les chemins d'attaque de l'IT vers l'OT
• Créer un tableau de bord dirigeant affichant les métriques de posture de sécurité

Phase 3 (jours 61-90) : Conformité et optimisation

• Mettre en place des rapports de conformité automatisés pour le principal cadre réglementaire (NERC CIP ou TSA)
• Calculer les économies sur les coûts de rétention par rapport au SIEM existant (généralement une réduction de 50 à 70 %)
• Établissez des indicateurs de réussite et une analyse de rentabilité pour un déploiement complet

Résultats attendus

Améliorations opérationnelles :

• Réduction de 60 % du temps de détection des menaces sophistiquées
• Enquêtes d'investigation 80 % plus rapides grâce à un accès unifié aux données
• Automatisation à 90 % du reporting de conformité réglementaire

Avantages en termes de coûts :

• Réduction de 50 à 70 % des coûts de rétention des données à long terme
• Élimination des limites de volume de données du SIEM et des frais de dépassement associés
• Moins besoin d'outils d'investigation numérique spécialisés grâce à l'approche de plateforme unifiée

Avantages stratégiques :

• Architecture pérenne qui monte en charge avec l'augmentation des volumes de données
• Indépendance vis-à-vis des fournisseurs grâce aux formats de données ouverts
• Meilleure capacité à attirer et retenir des analystes de sécurité qualifiés grâce à des outils modernes

Appel à l'action

Les défis de cybersécurité du secteur de l'énergie & des infrastructures publiques ne feront que s'intensifier à mesure que la convergence IT/OT s'accélère et que les acteurs de la menace deviennent plus sophistiqués. Les entreprises qui modernisent dès maintenant leurs plateformes d'analytique de sécurité seront mieux positionnées pour se défendre contre les menaces émergentes, tout en respectant les exigences réglementaires en constante évolution.

Prêt à transformer vos opérations de cybersécurité ? Programmez un atelier sur la cybersécurité avec Databricks pour découvrir comment la plateforme lakehouse peut répondre à vos défis de sécurité spécifiques.

(Cet article de blog a été traduit à l'aide d'outils basés sur l'intelligence artificielle) Article original