Comment nous l’avons vu dans un précédent article, les SI industriels comportent des spécificités indispensables à prendre en compte avant de démarrer une démarche de sécurisation.
Initier la démarche de sécurisation
Avant d’entreprendre de grands chantiers de sécurité, il est important de savoir d’où l’on part. Le SII est-il vulnérable ? Dans quelle mesure est-il ouvert sur l’extérieur ? Quel est son véritable niveau d’exposition face aux nouvelles menaces ?
Trois approches différentes permettent de répondre à ces questions. L’audit « flash » sur les sites les plus sensibles ou ayant connu un incident récent, permet d’identifier rapidement les vulnérabilités et les zones non protégées. L’analyse de risques d’un processus industriel permet de son côté d’estimer les impacts financiers, humains et environnementaux en cas d’incident. Un bilan de conformité consiste quant à lui à demander à chaque site industriel d’évaluer son niveau de sécurité sur la base d’un questionnaire. Si cette dernière approche est moins concrète et fiable, elle permet d’avoir une vision globale plus rapidement. Il n’y a pas de chemin type : les trois approches peuvent être utilisées ou combinées. Elles doivent aussi être l’occasion de mobiliser la direction générale et les directions métiers dont l’engagement et l’implication dans la durée sont nécessaires.
Mettre en place une filière sécurité des SI industriels
La mise en place d’une gouvernance globale de la sécurité des SII est essentielle pour augmenter le niveau de sécurité dans la durée. Cela passe par la nomination d’un Responsable de la sécurité des SII chargé de la définir, de la mettre en œuvre et de l’animer. Qu’il vienne du Métier, du monde de la DSI, de la sécurité SI ou du monde industriel (automatisme, sûreté, etc.), il doit être capable de jouer le rôle de facilitateur entre ces différentes sphères. La connaissance du métier industriel et les qualités humaines sont donc à privilégier lors de son identification plutôt qu’une expertise en sécurité. Son rattachement peut être à étudier en fonction du contexte de l’entreprise : s’il est courant qu’il fasse partie des équipes sécurité SI, il est parfois directement rattaché aux Métiers concernés.
Le Responsable de la sécurité des SII pourra s’appuyer sur un réseau de correspondants qui se feront le relais de la stratégie et des actions sur les différents sites industriels. Il développera également des relations étroites avec des acteurs incontournables du SII :
- les chefs de projets industriels, avec lesquels il faudra s’assurer que la sécurité est prise en compte dès la conception ;
- les responsables de la sûreté, avec lesquels il mettra en œuvre une démarche commune de gestion des risques industriels ;
- les responsables de l’exploitation et la maintenance, pour s’assurer de la bonne exécution des processus de maintien en condition opérationnelle et de sécurité du SII ;
-
les responsables des achats, pour diffuser les bonnes pratiques en matière des exigences de sécurité dans toutes relations avec les tiers et dans les contrats avec les fournisseurs ;
-
la DSI et le RSSI pour s’interfacer avec le SI classique et capitaliser sur les bonnes pratiques.
Intégrer la sécurité dès la conception
Concevoir une usine, un site industriel ou un équipement embarqué s’accompagne la plupart du temps d’études de sûreté. Il faut tirer partide cette culture déjà bien ancrée pour y insérer les études de sécurité du SI Industriel qui seront centrées sur les risques de cybersécurité.
Attention toutefois à rester vigilant et ne pas se focaliser uniquement sur le procédé industriel lui-même. L’environnement proche ou éloigné du SII est également à étudier pour chaque projet : dans quelles conditions les interventions de tiers pour la télégestion et la télémaintenance seront réalisées ? Le fournisseur s’applique-t-il lui-même des exigences de sécurité lorsqu’il développe les solutions industrielles ?
Traiter les urgences sans négliger la sécurisation à moyen terme
Les particularités des SII poussent souvent les entreprises à allier des solutions palliatives à court terme, et à saisir l’opportunité de faire des modifications en profondeur quand elle se présente : arrêt de production, renouvellement de l’outil industriel, changement de fournisseur, etc.
C’est particulièrement vrai pour la mise en œuvre du cloisonnement et de la segmentation des réseaux : si on peut isoler le SI de gestion, les changements sur les réseaux de production sont plus complexes à organiser !
La refonte des accès distants est également à intégrer dans cette réflexion. Elle nécessite de revoir les contrats établis sur plusieurs années, dont la renégociation des modalités d’intervention, de télégestion et de télémaintenance est peu fréquente. En parallèle, une fois les vulnérabilités sur le système identifiées, il faut être en capacité de les corriger.
Appliquer les correctifs n’est parfois pas envisageable et remplacer les équipements par d’autres plus récents offrant les dernières fonctions de sécurité présente un coût non négligeable, tant en termes financiers qu’en perte d’exploitation potentielle sur des systèmes où la disponibilité est cruciale.
Conscient des vulnérabilités des SII, il est crucial de mettre en place sur l’installation industrielle des dispositifs de surveillance afin de détecter et de réagir face aux incidents. L’intégration du SII au SOC ou au CERT de l’entreprise peut être envisagée dans une stratégie de réaction globale.