Gestion des risques de sécurité dans les systèmes d’éclairage intelligents

EIN-46-Lighting-Osram-125.gif

 

EIN-46-Lighting-Osram-400.gif6 novembre 2019

Cet article de blogue est le premier d’une série d’initiation à la gestion des risques de sécurité dans les systèmes d’éclairage intelligents.

Les systèmes de contrôle automatique de bâtiment (Building Automation and Control Systems ou BACS) surveillent et contrôlent une gamme de systèmes tels que l’éclairage, le chauffage, la climatisation, etc. Les termes utilisés pour BACS sont répandus – système de gestion de bâtiment, système d’automatisation de bâtiment, bâtiment intelligent, etc., en fonction de la portée du système. Un système d’éclairage intelligent est un système de bâtiment qui fait partie intégrante d’un système BACS.

À un niveau fondamental, chaque type de BACS facilite la circulation de l’information ainsi que le contrôle automatisé via la connectivité. Ce flux d’informations est nécessaire pour réduire les coûts d’exploitation et fournir des informations de meilleure qualité et en temps utile sur une fonction ou un actif du bâtiment. Les BACS sont une forme de système d’information des entreprises (business information system ou BIS) et, comme tout autre système d’information, peuvent engendrer des menaces potentielles pour la sécurité et des risques pour l’entreprise.

Navigant Research a récemment analysé les implications d’une connectivité accrue et a conclu que les parties prenantes d’un bâtiment, telles que les professionnels de la gestion des installations, doivent adopter une approche proactive face aux menaces à la cybersécurité. Ils doivent déterminer les vulnérabilités et éduquer l’entreprise même si la sécurité n’est peut-être pas leur principale priorité. Commençons par quelques notions de base sur la sécurité des systèmes d’éclairage intelligents et définissons les besoins et les risques auxquels les gestionnaires d’installation et les opérateurs doivent prêter attention.

Approche à paliers multiples en matière de sécurité

L’éventail des menaces et des risques en matière de sécurité liés aux BACS est très large, avec des exemples comprenant un accès non autorisé, un déni de service à ceux qui devraient y avoir accès, la destruction physique d’appareils et la perte ou la manipulation de données. La sécurité des BACS doit comprendre une approche à paliers multiples incluant des fonctionnalités appliquées au niveau du périphérique, du réseau et du logiciel, ainsi que des contrôles de cybersécurité au niveau de l’organisation.

Il importe de comprendre comment le système prend en charge la sécurité et quelles tactiques de sécurité et stratégies d’atténuation des risques ont été mises en œuvre dans le système. Le système BACS devrait pouvoir limiter ou confiner l’impact d’un éventuel événement de cybersécurité.

Le client final doit développer et mettre en œuvre des procédures appropriées pour déterminer l’occurrence d’un événement de cybersécurité, prendre des mesures concernant l’incident détecté et restaurer les capacités et les services compromis par l’événement. Les fonctions de sécurité intégrées au système BACS peuvent l’aider à mieux exécuter ces aspects de son travail. Les procédures et les responsabilités du client final feront l’objet d’une publication ultérieure dans le cadre de cette série introductive sur la sécurité dans les systèmes d’éclairage intelligents.

La sécurité dès la conception

Lors du choix et de la mise en œuvre d’un système BACS sécurisé, les gestionnaires des installations doivent s’assurer de choisir un système prenant en charge leur approche de cybersécurité à niveaux multiples et qui puisse offrir les contrôles de sécurité techniques nécessaires afin d’atteindre le niveau de protection adéquat.

La sécurité ne peut être une réflexion après coup dans la conception du système.

Elle devrait faire partie intégrante de la conception et de la mise au point, et être intégrée aux logiciels et au matériel à un stade précoce du processus. Une variété de mesures de gestion de la sécurité, telles que le contrôle d’accès, l’authentification, la protection du système et des communications, ainsi que d’autres meilleures pratiques, devraient faire partie du processus de conception du système.

Cadre de cybersécurité et normes de sécurité

Pour mettre en œuvre un système de cybersécurité à plusieurs niveaux, il existe divers cadres et normes de sécurité bien établis pour aider les organisations à gérer leurs risques de cybersécurité, notamment:

  • NIST Cybersecurity Framework
  • NIST SP 800-53
  • IEC 62443
  • ISO 27000

Tirer parti des contrôles de sécurité NIST

Les systèmes et organisations fédéraux d’information américains ont des exigences strictes en matière de sécurité et de contrôle de la confidentialité et s’appuient fortement sur les travaux du NIST, l’Institut national des normes et de la technologie. Le NIST est un organisme fédéral unique qui fait progresser la science de la mesure, les normes et la technologie. Les contrôles de sécurité du NIST ont une organisation et une structure bien définies, et leurs aspects incluent la politique, la supervision, la supervision, les processus manuels, les actions des individus et les mécanismes automatisés mis en œuvre par les systèmes / dispositifs d’information. Le NIST fournit deux cadres – le cadre de cybersécurité du NIST et la publication spéciale NIST 800-53 – qui s’appuient l’un sur l’autre. Ces deux cadres sont largement adoptés par les organismes fédéraux des États-Unis, soit individuellement ou conjointement.

Cadre de cybersécurité du NIST

À un haut niveau, le cadre de cybersécurité du NIST est un outil essentiel qui peut être utilisé pour établir, évaluer et gérer les risques de cybersécurité. Conçu pour compléter les activités commerciales et de cybersécurité existantes, le NIST Cybersecurity Framework Core comporte cinq fonctions de sécurité:

• Identifier

• protéger

• détecter

• Répondre

• Récupérer

Chacune de ces 5 fonctions est associée à des groupes de résultats de cybersécurité. Par exemple, dans le cadre de la fonction de sécurité de base du cadre IDENTIFY, un système d’éclairage intelligent serait axé, par exemple, sur la gestion des identités et le contrôle d’accès. Un résultat technique ou de gestion spécifique de cette activité, à titre d’exemple, serait la définition des rôles et responsabilités organisationnels et leur correspondance avec les privilèges d’accès au système.

NIST SP800-53

Le SP 800-53 du NIST fournit des directives sur les contrôles de sécurité de base qui remplissent ces 5 fonctions de sécurité. Les directives répondent également aux exigences de sécurité minimales pour la norme FIPS 200 (Federal Information Processing Standards). Cette norme répartit les exigences de sécurité en différents domaines qui traitent des aspects techniques, opérationnels et de gestion de la protection des systèmes fédéraux de traitement de l’information, notamment:

• Contrôle d’accès

• Audit et imputabilité

• Gestion de la configuration

• Identification et authentification

• Protection du système et des communications

• Intégrité du système et de l’information

Normes supplémentaires

La norme CEI 62443 peut être utilisée comme un ensemble de normes alternatif au NIST dans les systèmes de contrôle industriels non fédéraux. Les normes définissent les contrôles de sécurité au niveau de l’organisation, du système et du périphérique.

Le système de gestion de l’éclairage ENCELIUM® EXTEND a été reconnu comme système sécurisé par la GSA (General Services Administration), une agence indépendante du gouvernement des États-Unis, et est actuellement utilisé pour l’éclairage intelligent des bâtiments gouvernementaux et commerciaux.

Cet article de blogue est le premier d’une série sur la gestion des risques de sécurité dans les systèmes d’éclairage intelligents. Nous aborderons les meilleures stratégies de contrôle de la sécurité et la gestion des menaces internes dans les prochains articles. Si vous êtes abonné au blogue Digital Systems, vous recevrez automatiquement une notification pour ces publications dans votre boîte de courriel.

Source: Osram

* Navigant Research, https://www.navigantresearch.com/reports/cybersecurity-will-define-market-leaders-in-the-intelligent-buildings-market

Related Articles


Monde en mouvement

  • CanREA accueille favorablement l’élargissement du nouvel approvisionnement en énergie de l’Ontario

    CanREA accueille favorablement l’élargissement du nouvel approvisionnement en énergie de l’Ontario

    20-décembre-2024 L’industrie de l’énergie renouvelable salue sa première occasion en près d’une décennie de proposer de nouveaux projets en Ontario. L’Association canadienne de l’énergie renouvelable (CanREA) accueille favorablement la directive ministérielle adressée par l’Ontario à la Société indépendante d’exploitation du réseau d’électricité (SIERE). Cette directive, qui donne le coup d’envoi à la très attendue deuxième demande de… Read More…

  • Bourses d’études 2024-2025 du 1er District de la FIOE

    Bourses d’études 2024-2025 du 1er District de la FIOE

    20-décembre-2024 Encore une fois, le premier district de la FIOE conjointement avec MWG Apparel, AIL et TD Assurance Meloche Monnex, est fier d’annoncer que dix (10) bourses d’études de 2000 $ chacune seront accessibles à tous les membres canadiens de la FIOE et à leurs familles qui sont inscrits à des cours en vue d’obtenir… Read More…


Formation et événements