Ce que les entreprises de services publics et d'énergie achètent réellement lorsqu'elles investissent dans la connectivité

Guide à l'intention des équipes de vente et de conseil qui se dégagent des conversations sur la fiabilité SCADA, la sécurité des OT et les communications sur le terrain avec les exploitants d'infrastructure.

La connectivité d'un service public n'est pas la même chose que la connectivité pour un bureau. Les enjeux, les exigences en matière d'architecture, le contexte réglementaire et les modes de défaillance sont fondamentalement différents. Un service public qui perd la connectivité SCADA à une sous-station ne fait pas face à une perturbation de la productivité. L'équipe du centre de contrôle doit gérer un événement lié à la sécurité, une éventuelle exigence de notification réglementaire et une crise opérationnelle en temps réel que son équipe du centre de contrôle doit gérer à l'aveugle.

Les fournisseurs qui comprennent cette distinction établissent des relations à long terme avec les exploitants d'infrastructures. Les fournisseurs qui abordent les services publics avec un argumentaire standard de connectivité d'entreprise ne le font pas. La différence n'est pas toujours dans le produit, mais dans la conversation. Il s'agit de savoir si vous ouvrez avec « voici notre routeur LTE » ou avec « voici comment nous maintenons votre liaison SCADA lorsque l'opérateur principal est en panne à votre sous-station la plus éloignée ».

Cet article aide les équipes de vente et de conseil à encadrer ces conversations avec les décideurs des services publics et de l'énergie selon trois dimensions principales :

• Quelles sont les préoccupations opérationnelles qui motivent réellement les décisions d'investissement dans la connectivité dans ce secteur ?
• D'où proviennent généralement les vulnérabilités du réseau OT et les défaillances de connectivité ?
• Pourquoi les solutions génériques de connectivité d'entreprise sont-elles toujours insuffisantes dans les environnements de terrain ?

Comment démarrer la conversation

Les conversations productives avec les acheteurs de services publics ne commencent pas par les spécifications de bande passante ou le prix par mégabit. Ils commencent par la continuité des contrôles, les obligations opérationnelles et l'architecture de sécurité. L'acheteur de services publics n'évalue pas une solution de connectivité de manière isolée. Ils l'évaluent dans le contexte des obligations réglementaires, des exigences de conformité au CIP de la NERC, des attentes en matière d'assurance et des conséquences opérationnelles d'un lien défaillant sur un actif essentiel.

La question fondamentale de toute décision relative à la connectivité des services publics n'est pas la suivante : « sommes-nous connectés ? Il s'agit de la suivante : « Est-ce que nous sommes connectés de manière à assurer la circulation fiable des données SCADA, à ce que les réseaux OT et TI soient correctement segmentés et à assurer la coordination et la visibilité des équipes sur le terrain, même lorsque l'infrastructure qui nous entoure est défaillante ?

Ce nouveau cadre modifie la discussion à tous les niveaux :

• De « Quel est votre transporteur actuel ? à « Combien de chemins réseau indépendants votre sous-station la plus critique dispose-t-elle, et quand avez-vous vérifié pour la dernière fois que chacun fonctionne conformément aux spécifications ?
• À partir de « Avez-vous un pare-feu ? » à « Si un dispositif compromis sur un site éloigné tentait de se déplacer latéralement, jusqu'où pourrait-il aller avant que votre architecture ne l'arrête ?
• À partir de « Comment vos équipes de terrain communiquent-elles ? » à « Votre structure de communication sur le terrain est-elle gérée, surveillée et vérifiable à partir d'un seul panneau de verre ou est-ce un mélange de modems ad hoc, de radios traditionnelles et d'applications grand public que votre avis de conformité ne peut pas voir ?
• À partir de « Êtes-vous conforme à la norme NERC CIP ? à « Pouvez-vous démontrer cette conformité à votre assureur, à votre organisme de réglementation et à votre conseil d'administration aujourd'hui — et serez-vous toujours en mesure de le démontrer après votre prochain changement d'infrastructure ?

Les services publics n'achètent pas la connectivité parce qu'ils veulent une connexion Internet plus rapide. Ils l'achètent parce qu'ils ont des obligations opérationnelles qu'ils ne peuvent pas respecter avec leur infrastructure actuelle. Placez chaque conversation autour de ces obligations, et la solution se vend d'elle-même.

Ce qui inquiète vraiment les acheteurs de services publics

Les entreprises de services publics et d'énergie exercent leurs activités sous une combinaison de pressions opérationnelles, réglementaires et financières qui font que leurs priorités en matière de connectivité et de sécurité diffèrent nettement de celles des entreprises commerciales. Comprendre ces pressions en profondeur est ce qui distingue une conversation consultative crédible de la présentation d'un produit générique.

1. Connectivité SCADA sans aucune marge de défaillance

Les sous-stations, les sites de production d'énergie renouvelable, la surveillance distribuée des pipelines et les stations de pompage distantes dépendent tous de liaisons de données toujours en marche et à faible latence pour assurer la transmission des données de contrôle et de protection au centre de contrôle. Lorsque ces liens tombent, même brièvement, les conséquences opérationnelles peuvent aller d'une perte de visibilité sur un actif essentiel à un véritable événement de sécurité, selon ce que le système SCADA surveille et contrôle.

Les exigences en matière d'architecture pour la connectivité SCADA sont fondamentalement différentes des exigences WAN d'entreprise. Il ne s'agit pas d'une question de débit moyen ou de niveau de service mensuel. Il s'agit de connectivité déterministe — la garantie que la liaison sera opérationnelle et performante selon les spécifications lorsque c'est important, y compris dans les scénarios exacts (pannes de transporteurs, catastrophes naturelles, événements du réseau) qui sont les plus susceptibles de déclencher une alerte SCADA en premier lieu. Les routeurs cellulaires multiporteuses avec liaison intelligente et basculement automatique sont la solution de l'architecture. Un modem à porteuse unique, peu importe les statistiques de fiabilité de l'entreprise, ne l'est pas.

2. Les réseaux OT à une brèche de l'exposition

La technologie opérationnelle héritée n'a pas été conçue en tenant compte de la cybersécurité. Les RTU, les PLC et les systèmes SCADA installés il y a dix ans ou plus ont été conçus pour la fiabilité et le déterminisme, et non pour résister aux vecteurs d'attaque modernes. Bon nombre d'entre eux s'exécutent sur des protocoles (Modbus, DNP3, IEC 61850) qui n'ont pas d'authentification ou de cryptage natifs. Ils ont été conçus pour vivre à l'intérieur d'un réseau physiquement isolé, et beaucoup d'entre eux le font encore. Le problème est que l'isolement physique s'érode, à mesure que les services publics connectent davantage de sites distants sur des réseaux IP et accordent plus d'accès à distance aux fournisseurs et aux techniciens sur le terrain.

Un périphérique compromis sur un site distant — un ordinateur portable du fournisseur connecté à une sous-station pendant une fenêtre de maintenance, un routeur cellulaire avec un mot de passe par défaut, un RTU accessible sur un réseau non segmenté — peut devenir une voie de déplacement latéral dans l'ensemble de l'environnement OT si l'architecture n'impose pas la segmentation et le contrôle d'accès à chaque extrémité. La confiance zéro à la périphérie n'est pas un concept de marketing pour les services publics. Il s'agit d'une exigence opérationnelle.

3. Opérations sur le terrain fonctionnant sur des systèmes déconnectés

Les sous-stations, les véhicules de service et les équipes mobiles sur le terrain gérées sur une combinaison de modems LTE ad hoc, d'applications grand public, de systèmes radio existants et de configurations spécifiques au site créent un écart de visibilité qui coûte de l'argent réel aux services publics. Les techniciens de maintenance qui ne peuvent pas accéder aux bons de travail à jour parce que le modem du site est hors service. Véhicules qui ne peuvent pas déclarer leur emplacement parce qu'ils se trouvent à l'extérieur de la zone de couverture de leur transporteur. Les équipes des centres de contrôle qui n'ont aucune visibilité sur l'état du réseau des points de terminaison distants jusqu'à ce que quelque chose se brise.

Une structure de communication gérée unique — avec une application centralisée des politiques, une architecture de sécurité cohérente, une surveillance en temps réel et un seul panneau de verre sur chaque routeur, point de terminure et site — est de plus en plus ce que demandent les gestionnaires des opérations des services publics. La conversation à avoir n'est pas « nous pouvons remplacer vos modems ». « Nous pouvons donner à votre avis de conformité une visibilité sur chaque connexion à distance dont vous disposez, appliquer une politique de sécurité cohérente sur toutes ces connexions et vous alerter avant qu'une défaillance ne se produise plutôt qu'après.

D'où proviennent les vulnérabilités des OT et les défaillances de connectivité

Les modes de défaillance les plus importants pour la connectivité des services publics appartiennent à des catégories prévisibles, et leur compréhension détaillée est ce qui rend les conversations consultatives crédibles.

Le premier est dépendance à une seule entreprise sur les sites éloignés. Les sous-stations et les actifs éloignés qui reposent sur une seule connexion cellulaire ont un profil de résilience qui est seulement aussi fort que la couverture et la disponibilité de cette entreprise à cet endroit précis, ce qui peut être très différent des statistiques globales du réseau de l'entreprise.

Le second est architecture TI non segmentée, où les voies d'accès à distance (connexions des fournisseurs, interfaces de gestion des modems cellulaires, outils de surveillance à distance) partagent les chemins réseau avec la technologie opérationnelle et créent des possibilités de mouvement latéral pour tout attaquant qui obtient un accès initial.

Le troisième est le absence de visibilité centralisée. Les sites distants gérés de manière ponctuelle, avec des modems configurés localement et aucune intégration d'avis de conformité, sont invisibles jusqu'à ce qu'ils échouent. Au moment où l'avis de conformité est au courant d'une panne, l'impact opérationnel s'accumule déjà.

Comment transformer cette conversation en une conversation productive

Pour les responsables de l'exploitation des services publics et de la technologie, les conversations les plus efficaces sont ancrées dans les conséquences opérationnelles et réglementaires des problèmes résolus, et non dans les spécifications techniques de la solution. Diriger le coût de l'architecture actuelle — en termes de temps d'arrêt, d'exposition réglementaire, de posture de sécurité, de visibilité opérationnelle. Positionner la solution comme l'architecture qui élimine ces coûts, et non comme une mise à niveau du produit. Les communications gérées par trame sont une capacité d'avis de conformité, et non un achat de connectivité. Et toujours relier la conversation aux obligations que le service public a déjà — envers les organismes de réglementation, les assureurs, les clients et les collectivités qui dépendent de leur infrastructure.