Au début de l'année 2020, ANDRITZ a commencé à constater une augmentation des incidents de cybersécurité dans son environnement informatique. À l'époque, l'environnement était surveillé par un fournisseur de services de sécurité gérés (MSSP). Mais l'augmentation du nombre de violations a marqué le début d'un changement. Moins de six mois après avoir choisi IBM Security et déployé un ensemble intégré de services de sécurité gérés par IBM (MSS), le tout effectué virtuellement, l'entreprise disposait d'une nouvelle solution de services de sécurité complète.
Pour ANDRITZ, l'un des principaux fournisseurs d'installations, d'équipements et de solutions industrielles, il est devenu de plus en plus difficile de faire face aux cybermenaces. L'une des raisons est que son environnement informatique comprend une variété de systèmes et de politiques de sécurité qui compliquent les efforts de sécurité. Mais un problème plus important était l’immensité du périmètre de sécurité et de la surface d’attaque de l’entreprise : ANDRITZ compte plus de 280 sites de production et organisations de service/vente dans le monde entier. Environ 50 % de ses 27 000 employés voyagent et utilisent le réseau et les options de connectivité à distance de l'entreprise pour accéder automatiquement aux ressources informatiques. Une multitude d’entrepreneurs et d’ingénieurs tiers ont également accès aux systèmes informatiques clés.
Klaus Glatz, responsable des services numériques d’ANDRITZ, a reconnu les risques. « Nous disposons de toutes ces connexions à distance avec nos équipements. Il ne s'agit pas uniquement des employés d'ANDRITZ, mais également de nombreuses entreprises extérieures. C'est pourquoi tout est question de transparence, de visibilité et d'une compréhension globale de ce qui se passe. Vous ne pouvez pas risquer les opérations d'un client. »
Les clients d'ANDRITZ exploitent des centrales hydroélectriques, des usines de pâte à papier, des usines chimiques et des usines métallurgiques qui dépendent des usines, des équipements et des systèmes de la société pour fonctionner. Potentiellement, une violation de la sécurité ou une vulnérabilité dans les technologies de l'information peut ouvrir la voie à quelque chose de bien plus important ou catastrophique, en particulier si les intentions d'un acteur de la menace vont au-delà du vol de données.
Visibilité accrue
A obtenu une visibilité de 100 % sur l'ensemble du réseau
Des volumes colossaux
La plateforme traite des millions d'événements par jour
Thomas Strieder, vice-président des services opérationnels et de sécurité informatique du groupe ANDRITZ, explique : « L'informatique fournit une infrastructure, des services et des applications de base à tous nos employés, dans le monde entier. Parallèlement, nos équipes fournissent des services OT [technologie opérationnelle] à nos clients. Ces deux domaines sont connectés et le seront encore davantage à l’avenir.
Avec ces risques à l’esprit et reconnaissant la convergence de l’IT et de l’OT, ANDRITZ a fondé sa propre société de cybersécurité OT, OTORIO, en 2018. OTORIO est aujourd’hui un pilier crucial de la stratégie de cybersécurité de l’entreprise. Mais début 2020, avec ses mesures de sécurité OT en place, l’entreprise s’est tournée vers l’informatique.
Dès le départ, ANDRITZ avait un objectif clair et bien défini qui allait au-delà de la simple mise en œuvre d'un ensemble d'outils de cybersécurité gérés par un tiers. L'entreprise avait besoin d'une organisation de services qui comprenne ses besoins et puisse compléter l'équipe et la configuration existantes.
En juillet 2020, après avoir enquêté sur plusieurs fournisseurs, ANDRITZ a remplacé son ancien MSSP par MSS. IBM a conçu et déployé une solution complète en moins de six mois, y compris l'intégration du logiciel, la mise en œuvre des services de sécurité et la réalisation d'un déploiement mondial pour démontrer les avantages du modèle SaaS (Software as a Service). La pandémie de COVID-19 n'ayant pas permis aux équipes internationales de se rencontrer en personne, tout le travail a été effectué à distance et par le biais de réunions virtuelles. Cela exigeait encore plus de professionnalisme et de confiance de la part des deux parties.
« Nous avons d'abord pensé qu'IBM était une entreprise trop grande, trop bureaucratique et qu'elle ne nous convenait probablement pas », admet M. Strieder. « Mais après avoir travaillé ensemble, nous avons dû réajuster nos réflexions. IBM a parfaitement répondu à nos attentes. L’équipe a fait preuve d’une grande souplesse, a été à l’écoute de nos demandes et a trouvé des solutions adaptées. »
Pour la gestion des informations et des événements de sécurité (SIEM), ANDRITZ a choisi la technologie IBM Security QRadar on Cloud déployée en tant que SaaS. La plateforme permet au centre des opérations de sécurité (SOC) d'ANDRITZ, basé en Pologne, de se concentrer sur la détection et la résolution des menaces, tandis que les professionnels de la sécurité d'IBM assurent la gestion de l'infrastructure 24 heures sur 24. Le SIEM ingère des données et enregistre les événements provenant de plusieurs sources sur le réseau. En appliquant des analyses avancées et des corrélations entre les types de données (réseau, terminal, actif, vulnérabilité, données sur les menaces et autres), le SOC obtient une vision holistique de la sécurité.
Lorsque le système détecte une activité ou des modèles suspects, tels que plusieurs tentatives de connexion infructueuses, il déclenche une alerte automatique. En fonction du niveau de gravité, l'équipe de sécurité IBM crée un ticket ou travaille directement avec le SOC pour fournir des recommandations de réponse. ANDRITZ peut également faire appel à l'équipe IBM Incident Response Services pour mener une enquête directe.
« La solution garantit que nous sommes correctement protégés », déclare Glatz. « Nous disposons de beaucoup plus d'informations et de transparence. En général, nous organisons des millions d'événements par jour. Il est donc important que notre personnel comprenne et sélectionne les 25 ou 30 événements les plus critiques susceptibles de présenter un risque élevé pour l'environnement. »
Le service SIEM est complété par deux services supplémentaires : les services de gestion des vulnérabilités IBM X-Force® Red, qui incluent une assistance en matière de classement et de résolution, et IBM Managed Detection and Response Services, qui sont intégrés à la technologie antivirus CrowdStrike Falcon Prevent pour accélérer la détection et la résolution des menaces.
X-Force Red Vulnerability Management Services analyse les systèmes d’ANDRITZ et évalue les failles de sécurité. Chaque analyse aboutit à un rapport qui évalue les vulnérabilités et les classe par niveau de sévérité à l’aide du système de notation des vulnérabilités commun (CVSS). Ceci permet à ANDRITZ de prioriser la réponse aux incidents.
« Pour nous, la composante proactive est la gestion des vulnérabilités », explique Strieder. « Avec la gestion des vulnérabilités, vous pouvez commettre beaucoup d'erreurs. Nous avions besoin de quelqu'un qui nous aiderait à surmonter ces vulnérabilités et à définir des priorités. Il s'agit d'un effort commun. »
Les services de détection et de réponse gérées déclenchent les alertes qui sont captées par le service SIEM. Il utilise le machine learning et l'IA pour évaluer les activités qui se déroulent sur l'ordinateur portable des employés, les téléphones mobiles et d'autres interfaces. S'il détecte un comportement anormal, il peut verrouiller les systèmes, ce qui donne à ANDRITZ le temps d'enquêter.
Pour augmenter les capacités de son programme SIEM et de sécurité, ANDRITZ tire parti des services de gestion des menaces IBM Security X-Force, une offre complète qui intègre des fonctionnalités d'analyse des menaces, de protection, de détection, de réponse et de restauration.
Grâce aux services de sécurité et de technologie d'IBM, ANDRITZ peut proactivement détecter et comprendre la gravité, l'étendue et l'origine des menaces avant qu'elles n'aient un impact sur l'entreprise. Un tableau de bord unique et centralisé fournit une visibilité et des informations sans précédent sur l'ensemble du réseau.
« Nous avons pu minimiser l'impact des attaques en créant de nombreuses sources verrouillées », explique Glatz. « Nous analysons notre réseau en permanence. IBM Security constitue une base solide offrant 100 % de visibilité et de transparence, ce qui nous aide à traiter les menaces dans un délai très court.
Grâce aux services gérés de détection et de réponse, ANDRITZ peut détecter plus facilement les comportements susceptibles d'infecter les systèmes des utilisateurs finaux. Pour M. Strieder, cela a été particulièrement important pendant la pandémie. « Le plus gros avantage, c'est que nous sommes mieux protégés et que nous sommes bien mieux préparés au cas où quelque chose arriverait », dit-il. « Nos 27 000 utilisateurs ont pu travailler à domicile et nous avons pu les sécuriser, pendant que nous travaillions à la mise en œuvre avec IBM. »
Pour aider ANDRITZ à comprendre et à combattre les menaces émergentes, IBM organise chaque trimestre une session d'amélioration continue et d'innovation de deux heures avec l'entreprise. Pour M. Glatz, il est essentiel d'avoir un aperçu de la menace future que représente l'environnement (informatique). « En matière de sécurité, vous devez comprendre ce qui pourrait arriver le mois prochain ou l’année prochaine », dit-il. "Avec IBM, nous nous sommes associés à une entreprise qui a le pouvoir et le potentiel d'anticiper ce qui pourrait se produire dans six mois. »
À l'avenir, ANDRITZ envisage d'intégrer ses informations OT et les renseignements sur les cybermenaces d'OTORIO à son SOC afin d'obtenir une vision encore plus large de l'environnement de sécurité. « ANDRITZ se transforme en fournisseur de services numériques », conclut Strieder.
« Avec tout ce que nous proposons aujourd'hui, nos papeteries, nos installations hydroélectriques, nos métaux, etc., nous devons accorder encore plus d'attention à la cybersécurité informatique et OT. C'est un voyage permanent qui ne s'arrêtera jamais. »
Basée à Graz, en Autriche, ANDRITZ (lien externe à ibm.com) est un fournisseur international d'installations, d'équipements et de services pour les centrales hydroélectriques et les secteurs de la pâte à papier et de la métallurgie. Elle propose également des solutions pour la séparation solide/liquide dans les secteurs municipal et industriel. ANDRITZ a été fondée en 1852 et emploie aujourd'hui plus de 27 000 personnes dans plus de 40 pays.
OTORIO (lien hors ibm.com) conçoit et commercialise la nouvelle génération de solutions de sécurité OT et de gestion des risques numériques.Basé à Tel Aviv, en Israël, avec des bureaux en Autriche et aux États-Unis, OTORIO fait partie intégrante de la stratégie holistique d'ANDRITZ en matière de cybersécurité.Son équipe de direction est composée d'anciens membres des Forces de défense israéliennes (FDI) qui ont mis en place et entretenu son unité de cyberdéfense.
Mentions légales
© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Produit aux Etats-Unis, mars 2022.
IBM, le logo IBM, ibm.com,IBM Security, QRadar et X-Force sont des marques commerciales d’International Business Machines Corp., déposées dans de nombreux pays.Les autres noms de produits et de services peuvent être des marques d’IBM ou d’autres sociétés.La liste actualisée de toutes les marques d’IBM est disponible sur la page web « Copyright and trademark information » à l’adresse ibm.com/legal/copyright-trademark.
Les informations contenues dans le présent document étaient à jour à la date de sa publication initiale. Elles peuvent être modifiées sans préavis par IBM. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.
Les données de performance et les exemples de clients cités sont présentés à titre informatif uniquement. Les résultats des performances peuvent varier en fonction des configurations et des conditions de fonctionnement. LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L’ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER ET AUCUNE GARANTIE OU CONDITION D’ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.
Déclaration de bonnes pratiques de sécurité : la sécurité des systèmes informatiques consiste à protéger les systèmes et les informations par la prévention, la détection et la réponse aux accès inappropriés depuis et en dehors de votre entreprise. Tout accès non autorisé peut conduire à la modification, à la destruction, au détournement ou à l'utilisation abusive d'informations, ainsi qu'à l'endommagement ou à l'utilisation abusive de vos systèmes, notamment pour les utiliser dans des attaques contre d'autres personnes. Aucun système ou produit informatique ne devrait être considéré comme entièrement sécurisé et aucun produit, service ou mesure de sécurité ne peut être totalement efficace pour empêcher l'utilisation ou l'accès abusif. Les systèmes, produits et services d'IBM sont conçus pour fonctionner dans le cadre d'une stratégie de sécurité globale et conforme à la loi qui implique nécessairement des procédures opérationnelles supplémentaires, et peuvent nécessiter des performances maximales des autres systèmes, produits et services. IBM NE GARANTIT PAS QUE LES SYSTÈMES, PRODUITS OU SERVICES SONT PROTÉGÉS CONTRE LES AGISSEMENTS MALVEILLANTS OU ILLÉGAUX D'UN TIERS OU QU'ILS PROTÉGERONT VOTRE ENTREPRISE CONTRE DE TELS AGISSEMENTS.