Cybersécurité pour la maintenance des installations industrielles (guide)

Depuis plusieurs années déjà, la cybersécurité des systèmes industriels est une préoccupation forte des autorités, qui soulignent régulièrement les conséquences importantes que provoqueraient des attaques sur ces systèmes omniprésents dans notre quotidien. Bien que la prise de conscience de ce sujet progresse, sous l’impulsion parfois des réglementations, des questions très concrètes subsistent quant aux mesures à déployer pour renforcer la cybersécurité et la résilience des nombreux systèmes industriels qui nous entourent.

Guide cybersécurité maintenance industrielle

Les travaux français en la matière apportent de premières réponses au travers des guides publiés par l’ANSSI, et cela, dès 2012. La réglementation, française dans un premier temps, avec l’article 22 de la loi de programmation militaire de 2014, puis européenne avec la directive NIS (Network and Information Security), transposée en droit national, renforcent les messages sur la nécessité impérieuse de prendre en compte la cybersécurité des systèmes numériques, dont les systèmes industriels font partie. En effet, ces réglementations imposent à de nombreux acteurs des exigences fortes pour renforcer la cybersécurité de leurs systèmes numériques importants.

Le constat, partagé par tous, est qu’une part importante des vulnérabilités rencontrées sur les systèmes industriels et les vecteurs d’attaques exploitables, résident dans les interventions sur ces systèmes, lors d’opérations de maintenance notamment. L’argument fréquemment avancé, que certains systèmes industriels sont protégés parce qu’ils ne sont pas connectés à Internet ou non connectés au réseau informatique de l’entreprise ne tient pas. Ce mythe constitue une « vulnérabilité » majeure !

Certains auront en tête, les virus (rançongiciels ou autres) introduits sur des chaînes de production par un intervenant (interne ou externe), via une clés USB ou la connexion d’un PC portable, porteur de virus, utilisé dans le cadre d’interventions de maintenance par exemple.

Qu’on se le dise une bonne fois pour toute, la cybersécurité, concerne toutes les phases du cycle de vie des systèmes industriels et en particulier les phases de Maintien en Condition Opérationnelle (MCO) nécessitant l’intervention de nombreuses personnes.

Ce guide tente d’apporter des réponses pragmatiques pour renforcer la cybersécurité des opérations de maintenance afin de pouvoir sereinement assurer le MCO des systèmes industriels, sans que cette phase du cycle de vie des systèmes constitue une vulnérabilité importante et soit à l’origine d’incidents. Pour les systèmes industriels d’ancienne génération, ceux n’ayant pas été conçus dans l’esprit de faire face aux menaces cybernétiques et sur lesquels peu de mesures de cybersécurité techniques sont applicables, la cybersécurité des opérations de maintenance constitue une étape importante et une des premières phases possibles d’un projet de prise en compte du risque cyber en réduisant une partie de la surface d’attaque de ces systèmes. Enfin, les cas d’usage publiés par ECC4iu illustrent certains aspects abordés dans ce guide. Il est conseillé aux lecteurs de lire ces cas d’usage au préalable afin de disposer d’éléments de contexte métier, utiles à la compréhension des propos de ce guide.

Plus d’informations sur le site ECC4iu.

Share Button
CYBERSÉCURITÉ POUR LA MAINTENANCE DES INSTALLATIONS INDUSTRIELLES
CYBERSÉCURITÉ POUR LA MAINTENANCE DES INSTALLATIONS INDUSTRIELLES
guide_cybersecurite_janvier_2019_v2.pdf
Version: Janvier 2019 V2
3.3 MiB
209 téléchargements
Détails...
The following two tabs change content below.
Après seize années passées en cabinet d’expertise-comptable et de commissariat aux comptes (où j’ai exercé comme expert-comptable et chef de mission audit), j’ai pris le poste de directeur comptable d’un groupe de distribution automobile en novembre 2014. Au cours de ma carrière, j’ai acquis une expérience significative en audit et en exploitation des systèmes d’information (analyse de données, automatisation des tâches, programmation informatique) au service de la production des comptes annuels et consolidés. C’est cette expérience personnelle et ma passion pour l’informatique que je partage sur ce blog. Mon CV / Réalisations personnelles et projets informatiques / Ma collection / Me contacter

Derniers articles parBenoît RIVIERE (voir tous)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.