Les systèmes de contrôle industriels (ICS) modernes remplissent des fonctions vitales dans les systèmes critiques, telles que la distribution d’énergie électrique, la distribution de pétrole et de gaz naturel. Ils sont également au cœur des dispositifs médicaux, des systèmes d’alarmes et de la gestion des transports.
Ces systèmes de contrôle sont de plus en plus interconnectés, intégrant des technologies de l’information (IT) et des technologies opérationnelles (OT). Cette convergence expose les infrastructures critiques à des risques accrus de cyberattaques, qui peuvent non seulement perturber la production, mais aussi compromettre la sécurité des travailleurs, des installations et de l’environnement.
De ce fait, l’évaluation de la cybersécurité d’un système industriel est d’une importance capitale dans le contexte actuel où les menaces numériques sont en constante évolution.
Pour les nouveaux systèmes, intégrer l’évaluations de cybersécurité dès les premières étapes de la conception permet de construire des systèmes robustes et résilients. Cette approche proactive, connue sous le nom de « Security by Design », vise à identifier et à atténuer les vulnérabilités potentielles avant même que le système ne soit déployé. Pour les installations existantes, cette évaluation est souvent confrontée à des défis qu’il faut relever tels que l’hétérogénéité des infrastructures, l’obsolescence des équipements et la convergence IT/OT qui augmentent la surface d’attaque.
Dans les deux cas, l’évaluation de la cybersécurité des installations industrielles va permettre de mettre en place des mesures de protection adéquates, cela va compléter les autres expertises (Safety, IT) en fournissant une couche de protection essentielle contre les menaces numériques et va permettre aux entreprises de réduire significativement les risques de compromission et assurer une continuité opérationnelle optimale.
Cybersécurité OT : Etat de l’art
Aujourd’hui, les entreprises industrielles se tournent souvent vers des solutions de cybersécurité prêtes à l’emploi, négligeant parfois l’importance de l’évaluation basée sur l’analyse des risques de leurs installations existantes. L’état de l’art en matière de cybersécurité OT souligne l’importance de cette évaluation pour identifier les vulnérabilités spécifiques aux environnements industriels. Les normes telles que l’IEC 62443 offrent des directives pour définir les exigences de sécurité et implémenter des mesures de protection adaptées. Une approche rigoureuse inclut la segmentation du réseau en zones de sécurité et conduits pour limiter les impacts en cas de cyberattaque, ainsi que l’utilisation de systèmes de surveillance continue.
IT et OT : Explorer les Enjeux d’une Convergence Inévitable
- IT et OT : comprendre les deux systèmes
- Convergence IT/OT
- Composant d’un système OT
- Cybersécurité industrielle : des standards et des bonnes pratiques
Retrouvez cette partie dans un article dédié : lien
Méthodologie CERMA et Approche Intégrée Cybersécurité/Safety
- Evaluation et sécurisation d’un système OT
- Maintien en condition de sécurité
- Un mot sur la convergence cybersécurité et sûreté (Safety)
Retrouvez cette partie dans un article dédié : lien
La convergence entre les domaines de la technologie de l’information (IT) et de la technologie opérationnelle (OT) représente une évolution majeure dans les environnements industriels contemporains. Cette convergence vise à intégrer les systèmes informatiques traditionnels avec les équipements et les processus physiques utilisés dans la production industrielle, créant ainsi des systèmes interconnectés et interdépendants. Elle reflète une reconnaissance croissante de l’importance de la connectivité entre les systèmes informatiques et les systèmes de contrôle industriels pour améliorer l’efficacité opérationnelle, la flexibilité et la capacité d’innovation des entreprises.
Parallèlement, la convergence entre Cybersécurité et Safety est une autre dimension essentielle de l’évolution des environnements industriels. Elle vise à traiter les risques liés à la cybersécurité et les risques liés à la safety des processus de manière cohérente, afin d’assurer la sûreté et la sécurité des opérations industrielles dans leur ensemble.
En combinant ces deux convergences, les entreprises cherchent à relever les défis complexes de sécurité dans les environnements industriels modernes.
Bien que la pratique de la sécurité by design soit encore rare parmi les entreprises, elle représente la stratégie la plus efficace pour protéger les systèmes industriels contre les cybermenaces. En combinant des normes rigoureuses, des méthodologies d’analyse des risques, des technologies avancées, des pratiques de gestion solides et une approche intégrée de la cybersécurité et de la sûreté, les entreprises peuvent se préparer plus efficacement à faire face aux menaces croissantes. La mise en œuvre de la sécurité dès la phase de conception permet non seulement de créer des systèmes plus robustes mais aussi de réduire les coûts et les efforts nécessaires pour remédier aux vulnérabilités identifiées à posteriori.
Références :
Livre
[1]. ACKERMAN, P. (2021). Industrial Cybersecurity: Efficiently monitor the cybersecurity posture of your ICS environment Packt Publishing
Thèse
[2]. CHEMALI, R. (2021). Méthodologie orientée sûreté de fonctionnement pour la cybersécurité des systèmes de contrôle-commande; [Thèse de Doctorat, Université de Lille]. https://theses.hal.science/tel-04198264v1
Rapport
[3]. ANSSI. (2018, Décembre). Cybersécurité pour la maintenance des installations industrielles. https://cyber.gouv.fr/publications/la-cybersecurite-des-systemes-industriels
[4]. ANSSI, (2014, Octobre). Mesures détaillées. https://cyber.gouv.fr/sites/default/files/2014/01/securite_industrielle_GT_details_principales_mesures.pdf
[5]. Rockwell Automation. (2022, Mars). Securely Traversing IACS Data across the Industrial Demilitarized Zone Design and Implementation Guide, https://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td009_-en-p.pdf
[6]. Cigref. (2019,Décembre). Convergence IT/OT. Un rapprochement fructueux des systèmes d’information et des systèmes industriels, https://www.cigref.fr/un-rapprochement-fructueux-des-systemes-industriels-et-des-systemes416 dinformation-convergence-it-ot
[7]. Clusif. (2021, Février). Guide cybersécurité des systèmes industriels, https://clusif.fr/publications/guide418 cybersecurite-des-systemes-industriels-2021/
Normes
[8]. NIST Special Publication 800-82 Revision 2: Guide to Industrial Control Systems (ICS) Security.
[9]. IEC 62443-3-2. Juin 2020. Security for industrial automation and control systems – Part 3-2: Security risk assessment for system design
[10]. IEC 62443-3-3. Août 2013. Industrial communication networks – Network and system security – Part 3-3: System security requirements and security levels
Sites internet
[11]. America’s Cyber Defense Agency. Consulté en avril 2024 sur https://www.cisa.gov/uscert/ics/Recommended427 Practices
[12]. Nicaise, V. (2020, Juillet) consulté en avril 2024 sur https://www.stormshield.com/fr/actus/iec-62443-le-standard429 incontournable-de-la-cybersecurite-industrielle/
[13]. HAUET, JP. (Octobre, 2016). Processus et normes de cybersécurité dans l’industrie L’IEC 62443 consulté en avril 2024 sur https://archive.g-echo.fr/20161005-hauet-kb.pdf
[14]. KASPERSKY (2021, Octobre) APT Attacks on industrial organizations in H1 2021 consulté en Avril 2024 sur
433 https://ics-cert.kaspersky.com/media/Kaspersky-ICS-CERT-APT-attacks-on-industrial-organizations-in-H1-2021-En.pdf
[15]. NIST (2023, Juillet) Computer security ressource center, consulté en Avril 2024 sur
436 https://csrc.nist.gov/publications/sp
[16]. Industrie du futur . (2020, Décembre) consulté en avril 2024 sur https://industrie-du-futur.info/larchitecture-opc-ua438 repond-aux-attentes-des-reseaux-dautomatismes-industriels-daujourdhui