Depuis plusieurs années déjà, la cybersécurité des systèmes industriels est une préoccupation forte des autorités, qui soulignent régulièrement les conséquences importantes que provoqueraient des attaques sur ces systèmes omniprésents dans notre quotidien. Bien que la prise de conscience de ce sujet progresse, sous l’impulsion parfois des réglementations, des questions très concrètes subsistent quant aux mesures à déployer pour renforcer la cybersécurité et la résilience des nombreux systèmes industriels qui nous entourent.
Les travaux français en la matière apportent de premières réponses au travers des guides publiés par l’ANSSI, et cela, dès 2012. La réglementation, française dans un premier temps, avec l’article 22 de la loi de programmation militaire de 2014, puis européenne avec la directive NIS (Network and Information Security), transposée en droit national, renforcent les messages sur la nécessité impérieuse de prendre en compte la cybersécurité des systèmes numériques, dont les systèmes industriels font partie. En effet, ces réglementations imposent à de nombreux acteurs des exigences fortes pour renforcer la cybersécurité de leurs systèmes numériques importants.
Le constat, partagé par tous, est qu’une part importante des vulnérabilités rencontrées sur les systèmes industriels et les vecteurs d’attaques exploitables, résident dans les interventions sur ces systèmes, lors d’opérations de maintenance notamment. L’argument fréquemment avancé, que certains systèmes industriels sont protégés parce qu’ils ne sont pas connectés à Internet ou non connectés au réseau informatique de l’entreprise ne tient pas. Ce mythe constitue une « vulnérabilité » majeure !
Certains auront en tête, les virus (rançongiciels ou autres) introduits sur des chaînes de production par un intervenant (interne ou externe), via une clés USB ou la connexion d’un PC portable, porteur de virus, utilisé dans le cadre d’interventions de maintenance par exemple.
Qu’on se le dise une bonne fois pour toute, la cybersécurité, concerne toutes les phases du cycle de vie des systèmes industriels et en particulier les phases de Maintien en Condition Opérationnelle (MCO) nécessitant l’intervention de nombreuses personnes.
Ce guide tente d’apporter des réponses pragmatiques pour renforcer la cybersécurité des opérations de maintenance afin de pouvoir sereinement assurer le MCO des systèmes industriels, sans que cette phase du cycle de vie des systèmes constitue une vulnérabilité importante et soit à l’origine d’incidents. Pour les systèmes industriels d’ancienne génération, ceux n’ayant pas été conçus dans l’esprit de faire face aux menaces cybernétiques et sur lesquels peu de mesures de cybersécurité techniques sont applicables, la cybersécurité des opérations de maintenance constitue une étape importante et une des premières phases possibles d’un projet de prise en compte du risque cyber en réduisant une partie de la surface d’attaque de ces systèmes. Enfin, les cas d’usage publiés par ECC4iu illustrent certains aspects abordés dans ce guide. Il est conseillé aux lecteurs de lire ces cas d’usage au préalable afin de disposer d’éléments de contexte métier, utiles à la compréhension des propos de ce guide.
Plus d’informations sur le site ECC4iu.
Derniers articles parBenoît RIVIERE (voir tous)
- Lancer l’exécution d’un script Python à partir d’une macro VBA - lundi 9 septembre 2024
- Open Data : quoi de neuf ? - lundi 2 septembre 2024
- Auditsi cité dans le podcast Marketing du cabinet comptable - mercredi 21 août 2024
- IA générative : aide à la rédaction de prompts efficaces - samedi 17 août 2024
- S’initier à l’analyse de données et l’automatisation des tâches - dimanche 11 août 2024