Pourquoi la cybersécurité doit faire partie de votre plan de sécurité
Steve Ludwig
9 mai 2020
Les dangers que les cybermenaces font peser sur la propriété intellectuelle, les dossiers des clients et la productivité sont bien connus, mais on discute moins des implications de ces menaces pour la sécurité. Une cyberattaque sur votre système de contrôle industriel (SCI) peut endommager les actifs physiques, compromettre les recettes, blesser les travailleurs ou causer de graves dommages à l’environnement.
Si vous êtes sur la voie d’une transformation numérique – qu’il s’agisse d’un processus géré ou d’une évolution lente – la gestion des risques inhérents à la sûreté et à la sécurité devrait en faire partie intégrante.
Une approche de sécurité bien conçue améliore la collecte, l’analyse et la livraison des informations. Il minimise les interruptions et les frustrations liées à la sécurité. Et cela aidera à protéger votre entreprise.
Connaissez vos risques
Aujourd’hui, les normes de sécurité et de sûreté reconnaissent déjà le lien entre la sûreté et les risques pour la sécurité.
La norme de cybersécurité ISA / IEC 62443-1-1 mentionne que les violations de sécurité peuvent avoir des conséquences au-delà des informations compromises. La norme stipule: «Les pertes potentielles en vies humaines ou en production, les dommages environnementaux, les violations de la réglementation et la compromission de la sécurité opérationnelle sont des conséquences bien plus graves. Ceux-ci peuvent avoir des ramifications au-delà de l’organisation ciblée; ils peuvent gravement endommager l’infrastructure de la région ou de la nation hôte. »
La norme de sécurité CEI 61508-1 spécifie que les dangers associés à l’équipement et aux systèmes de commande doivent être déterminés dans toutes les circonstances raisonnablement prévisibles. La norme stipule: «Cela doit inclure tous les problèmes de facteur humain pertinents et accorder une attention particulière aux modes de fonctionnement anormaux ou peu fréquents de l’équipement commandé. Si l’analyse des dangers détermine qu’une action malveillante ou non autorisée, constituant une menace pour la sécurité, est raisonnablement prévisible, alors une analyse des menaces pour la sécurité doit être effectuée. »
La sécurité aborde les problèmes en se basant sur la gestion des risques, en tirant parti d’une évaluation continue et d’une référence pour garantir que vous parvenez à un seuil de risque. Votre niveau de risque acceptable variera selon l’industrie et les résultats potentiels.
En sachant que la plupart des attaques de cybersécurité reposent sur le fait que l’attaquant trouve simplement une cible vulnérable ( plutôt que de cibler spécifiquement un secteur d’industrie ou la proéminence de la cible ), une attaque de cybersécurité est une circonstance prévisible dans pratiquement toutes les industries. L’évaluation de vos risques de cybersécurité, la détermination de votre niveau de risque acceptable et l’atténuation des risques identifiés à un niveau acceptable sont désormais les étapes de base «raisonnables» pour aider à protéger les personnes contre les abus prévisibles et les actions malveillantes ou non autorisées.
Comme pour la sécurité en général, ignorer la cybersécurité et les risques associés repose sur la croyance erronée que “si je ne connais pas le risque, je ne pourrai pas être tenu responsable”. Ce n’est pas une attitude acceptable, éthiquement ou à des fins de conformité, en particulier lorsque des vies sont en jeu.
Abordons ensemble les risques
Certains ont utilisé les risques que les technologies connectées peuvent introduire comme argument contre la modernisation. Mais, il est important de reconnaître que ne rien faire n’est pas une solution. Prolonger le maintien de systèmes hérités vous prive non seulement de précieuses informations et d’autres avantages de l’IdO, mais ces systèmes manquent souvent des mesures de sécurité des systèmes contemporains, ce qui les rend plus vulnérables plutôt que moins.
La meilleure approche consiste à tirer le meilleur parti de la transformation numérique, tout en contribuant à protéger la sûreté et la sécurité dans le cadre du processus. En faisant cela, gardez à l’esprit certains éléments clés.
Par exemple, de nombreuses pratiques de sécurité sont utilisées depuis longtemps dans le monde informatique, mais elles sont nouvelles dans le monde des objects connectés. Et, bien que la plupart des étapes d’atténuation soient similaires en comparaison, elles sont appliquées très différemment au bureau qu’au niveau de l’usine.
Dans un environnement manufacturier, les risques de cybersécurité et de sécurité devraient à la fois faire partie de la gestion des risques et du processus de gestion du changement. Et les professionnels en santé et sécurité devraient être impliqués dans la gestion des processus et le respect des normes et des lois.
C’est une nouvelle ère dans l’industrie. Les avantages de l’Industrie 4.0 l’emportent certainement sur les risques accrus. Et en comprenant les risques et en les atténuant dans le cadre de vos initiatives numériques, vous pouvez amplifier ce qui est possible dans vos opérations tout en aidant à protéger ce qui compte le plus pour vous.
En savoir plus sur la sécurité industrielle.
Rockwell Automation est un membre fondateur de l’ISA Global Cybersecurity Alliance et a reçu plusieurs certifications ISA / IEC 62443.