L’ISO a publié le 17 juillet dernier l’ISO 27019 relative à la sécurité pour les systèmes de contrôle des procédés spécifiques à l’industrie de l’énergie.
Cette nouvelle norme s’inscrit à la suite de publications de guide ou de référentiels en matière de sécurité des SI industriels. Qu’ils proviennent d’agences gouvernementales (NSA, BSI, ANSSI, ENISA), de différentes organisations sectorielles (AIEA, NERC…) ou d’organismes de normalisation et de standardisation nationaux ou internationaux (NIST, IEC, ISO), la plupart de ces documents s’adressent aux personnes en prise directe avec les systèmes industriels. Leur compréhension s’avère ainsi souvent difficile pour les RSSI ou DSI qui voient les réseaux industriels arriver dans leur périmètre.
Tous ces acteurs s’accordent néanmoins sur une chose : une démarche volontaire de sécurisation des SI industriels est indispensable. La norme 27019 est-elle le bon outil pour cela ? Que faut-il en retenir ?
ISO 27019 : la petite sœur de l’ISO 27002 pour le secteur de l’énergie
Cette norme se présente comme un complément à l’ISO 27002. Le document reprend la structure de ce guide de bonnes pratiques tout en y intégrant les spécificités des SI industriels, notamment par l’ajout de nouvelles sections.
L’ISO 27019 complète et donne des précisions quant à la mise en œuvre de mesures de sécurité dans le contexte particulier des systèmes industriels du secteur de l’énergie. Cependant, les informations qu’elle apporte s’appliquent à d’autres secteurs, dès lors que cohabitent SI bureautique et SI industriel.
Il s’agit donc d’une base de départ particulièrement utile pour un RSSI à qui revient la responsabilité de la sécurité sur le périmètre du système d’information industriel et qui ne sait pas par où commencer. Déjà familier des standards de la famille ISO 27000, il n’aura aucun mal à utiliser ce guide complémentaire.
Un concentré de sécurité pour les SI Industriels
En se focalisant uniquement sur les spécificités des SI industriels, l’ISO 27019 tente d’aller à l’essentiel. Parmi les mesures de sécurité qu’elle propose, nous pouvons relever les points suivants.
Les exigences d’inventaires sont précises et incluent des exemples d’actifs de type industriel (plans des réseaux de distributions, données de mesures et télémesures, données de paramétrage des équipements, SCADA, logiciel de gestion et d’optimisation de l’énergie, système de planification, automates, RTU, équipements de protection incendie et sismique, IED, capteurs…).
Le document rappelle à plusieurs reprises à quel point il est essentiel de veiller à l’identification des risques relatifs à l’écosystème industriel. Les intégrateurs, fournisseurs et personnels de maintenance, l’interconnexion avec des systèmes tiers, la difficulté de protéger des équipements situés dans des lieux difficiles d’accès ou inoccupés, des lieux publics, ou encore des locaux de tiers sont mentionnés.
Les principes de cloisonnement sont largement abordés. Ils reposent sur les concepts de zones et de conduits mis en avant dans l’IEC 62443. Il s’agit alors d’envisager des zones plus ou moins étanches en fonction des niveaux de criticité de chaque pan du SI industriel et du SI de gestion.
L’ISO 27019 souligne également les risques provenant des systèmes dits « historiques », potentiellement très vulnérables car rarement – voire jamais – tenus à jour. Il faut les identifier, en avoir une cartographie précise pour ensuite assurer une supervision et des contrôles adaptés, voire envisager d’en isoler certains.
En termes d’évolution du SI industriel, le recours à des simulateurs et des environnements dédiés de développements est recommandé sans pour autant être une obligation suivant le contexte. La mise en place de mesures particulières pour protéger les codes automates est également mentionnée.
Enfin, le fait de prendre en compte les aspects sécurité dans les contrats avec les tiers est précisé, en particulier avec les opérateurs télécoms : mesures de gestion de crises et de communication d’urgence en cas de blackout, anticipation du risque de surcharge…
Cette liste n’est certes pas exhaustive mais donne un premier aperçu de la déclinaison des mesures de l’ISO 27002 dans un contexte industriel. Une lecture détaillée est nécessaire pour appréhender ce sujet dans son ensemble.
Au-delà de la sécurité, la nécessité d’intégrer les responsables sureté aux réflexions
Des mesures additionnelles concernent la problématique de « sûreté ». Tant au niveau d’un site et des bâtiments (localisation de salles, risque de séismes, inondation, manipulation de matières dangereuse, incendies…) qu’au niveau des installations (isolation et protection des systèmes de sureté, interdiction d’accès à distance, journalisation…), il est nécessaire pour le RSSI de travailler conjointement avec les équipes sureté en place. Il s’agit d’un facteur clé de succès de la sécurisation des SI Industriels.
Alors, l’ISO 27019 peut-elle vraiment aider ?
Les initiatives de l’ISO se veulent être des consensus. L’ISO 27019 permettra surtout de se poser les bonnes questions et de dresser un premier bilan de l’alignement de son SI industriel vis-à-vis de la norme. Toutes les réponses ne s’y trouvent certes pas, mais les questions soulevées incitent les RSSI et l’ensemble des responsables des SI industriels à réfléchir ensemble pour concevoir la sécurité des SI Industriels de demain.
Si l’ISO 27002 est devenue LA référence en matière de sécurité des SI d’entreprise, il est encore trop tôt pour se prononcer vis-à-vis de l’ISO 27019. De prochaines évolutions sont déjà à prévoir tout simplement parce que la structure adoptée est en ligne avec la version 2005 de l’ISO 27002. Une nouvelle version de l’ISO 27002 est attendue prochainement et sa structure a été entièrement revue.
Dans tous les cas, l’ISO 27019 est certainement le moyen le plus simple pour les RSSI d’aborder les spécificités des systèmes industriels !