Gestion des risques de sécurité dans les systèmes d’éclairage intelligents
6 novembre 2019
Cet article de blogue est le premier d’une série d’initiation à la gestion des risques de sécurité dans les systèmes d’éclairage intelligents.
Les systèmes de contrôle automatique de bâtiment (Building Automation and Control Systems ou BACS) surveillent et contrôlent une gamme de systèmes tels que l’éclairage, le chauffage, la climatisation, etc. Les termes utilisés pour BACS sont répandus – système de gestion de bâtiment, système d’automatisation de bâtiment, bâtiment intelligent, etc., en fonction de la portée du système. Un système d’éclairage intelligent est un système de bâtiment qui fait partie intégrante d’un système BACS.
À un niveau fondamental, chaque type de BACS facilite la circulation de l’information ainsi que le contrôle automatisé via la connectivité. Ce flux d’informations est nécessaire pour réduire les coûts d’exploitation et fournir des informations de meilleure qualité et en temps utile sur une fonction ou un actif du bâtiment. Les BACS sont une forme de système d’information des entreprises (business information system ou BIS) et, comme tout autre système d’information, peuvent engendrer des menaces potentielles pour la sécurité et des risques pour l’entreprise.
Navigant Research a récemment analysé les implications d’une connectivité accrue et a conclu que les parties prenantes d’un bâtiment, telles que les professionnels de la gestion des installations, doivent adopter une approche proactive face aux menaces à la cybersécurité. Ils doivent déterminer les vulnérabilités et éduquer l’entreprise même si la sécurité n’est peut-être pas leur principale priorité. Commençons par quelques notions de base sur la sécurité des systèmes d’éclairage intelligents et définissons les besoins et les risques auxquels les gestionnaires d’installation et les opérateurs doivent prêter attention.
Approche à paliers multiples en matière de sécurité
L’éventail des menaces et des risques en matière de sécurité liés aux BACS est très large, avec des exemples comprenant un accès non autorisé, un déni de service à ceux qui devraient y avoir accès, la destruction physique d’appareils et la perte ou la manipulation de données. La sécurité des BACS doit comprendre une approche à paliers multiples incluant des fonctionnalités appliquées au niveau du périphérique, du réseau et du logiciel, ainsi que des contrôles de cybersécurité au niveau de l’organisation.
Il importe de comprendre comment le système prend en charge la sécurité et quelles tactiques de sécurité et stratégies d’atténuation des risques ont été mises en œuvre dans le système. Le système BACS devrait pouvoir limiter ou confiner l’impact d’un éventuel événement de cybersécurité.
Le client final doit développer et mettre en œuvre des procédures appropriées pour déterminer l’occurrence d’un événement de cybersécurité, prendre des mesures concernant l’incident détecté et restaurer les capacités et les services compromis par l’événement. Les fonctions de sécurité intégrées au système BACS peuvent l’aider à mieux exécuter ces aspects de son travail. Les procédures et les responsabilités du client final feront l’objet d’une publication ultérieure dans le cadre de cette série introductive sur la sécurité dans les systèmes d’éclairage intelligents.
La sécurité dès la conception
Lors du choix et de la mise en œuvre d’un système BACS sécurisé, les gestionnaires des installations doivent s’assurer de choisir un système prenant en charge leur approche de cybersécurité à niveaux multiples et qui puisse offrir les contrôles de sécurité techniques nécessaires afin d’atteindre le niveau de protection adéquat.
La sécurité ne peut être une réflexion après coup dans la conception du système.
Elle devrait faire partie intégrante de la conception et de la mise au point, et être intégrée aux logiciels et au matériel à un stade précoce du processus. Une variété de mesures de gestion de la sécurité, telles que le contrôle d’accès, l’authentification, la protection du système et des communications, ainsi que d’autres meilleures pratiques, devraient faire partie du processus de conception du système.
Cadre de cybersécurité et normes de sécurité
Pour mettre en œuvre un système de cybersécurité à plusieurs niveaux, il existe divers cadres et normes de sécurité bien établis pour aider les organisations à gérer leurs risques de cybersécurité, notamment:
- • NIST Cybersecurity Framework
- • NIST SP 800-53
- • IEC 62443
- • ISO 27000
Tirer parti des contrôles de sécurité NIST
Les systèmes et organisations fédéraux d’information américains ont des exigences strictes en matière de sécurité et de contrôle de la confidentialité et s’appuient fortement sur les travaux du NIST, l’Institut national des normes et de la technologie. Le NIST est un organisme fédéral unique qui fait progresser la science de la mesure, les normes et la technologie. Les contrôles de sécurité du NIST ont une organisation et une structure bien définies, et leurs aspects incluent la politique, la supervision, la supervision, les processus manuels, les actions des individus et les mécanismes automatisés mis en œuvre par les systèmes / dispositifs d’information. Le NIST fournit deux cadres – le cadre de cybersécurité du NIST et la publication spéciale NIST 800-53 – qui s’appuient l’un sur l’autre. Ces deux cadres sont largement adoptés par les organismes fédéraux des États-Unis, soit individuellement ou conjointement.
Cadre de cybersécurité du NIST
À un haut niveau, le cadre de cybersécurité du NIST est un outil essentiel qui peut être utilisé pour établir, évaluer et gérer les risques de cybersécurité. Conçu pour compléter les activités commerciales et de cybersécurité existantes, le NIST Cybersecurity Framework Core comporte cinq fonctions de sécurité:
• Identifier
• protéger
• détecter
• Répondre
• Récupérer
Chacune de ces 5 fonctions est associée à des groupes de résultats de cybersécurité. Par exemple, dans le cadre de la fonction de sécurité de base du cadre IDENTIFY, un système d’éclairage intelligent serait axé, par exemple, sur la gestion des identités et le contrôle d’accès. Un résultat technique ou de gestion spécifique de cette activité, à titre d’exemple, serait la définition des rôles et responsabilités organisationnels et leur correspondance avec les privilèges d’accès au système.
NIST SP800-53
Le SP 800-53 du NIST fournit des directives sur les contrôles de sécurité de base qui remplissent ces 5 fonctions de sécurité. Les directives répondent également aux exigences de sécurité minimales pour la norme FIPS 200 (Federal Information Processing Standards). Cette norme répartit les exigences de sécurité en différents domaines qui traitent des aspects techniques, opérationnels et de gestion de la protection des systèmes fédéraux de traitement de l’information, notamment:
• Contrôle d’accès
• Audit et imputabilité
• Gestion de la configuration
• Identification et authentification
• Protection du système et des communications
• Intégrité du système et de l’information
Normes supplémentaires
La norme CEI 62443 peut être utilisée comme un ensemble de normes alternatif au NIST dans les systèmes de contrôle industriels non fédéraux. Les normes définissent les contrôles de sécurité au niveau de l’organisation, du système et du périphérique.
Le système de gestion de l’éclairage ENCELIUM® EXTEND a été reconnu comme système sécurisé par la GSA (General Services Administration), une agence indépendante du gouvernement des États-Unis, et est actuellement utilisé pour l’éclairage intelligent des bâtiments gouvernementaux et commerciaux.
Cet article de blogue est le premier d’une série sur la gestion des risques de sécurité dans les systèmes d’éclairage intelligents. Nous aborderons les meilleures stratégies de contrôle de la sécurité et la gestion des menaces internes dans les prochains articles. Si vous êtes abonné au blogue Digital Systems, vous recevrez automatiquement une notification pour ces publications dans votre boîte de courriel.
Source: Osram
* Navigant Research, https://www.navigantresearch.com/reports/cybersecurity-will-define-market-leaders-in-the-intelligent-buildings-market