Les entreprises devraient toujours se soucier des risques sécuritaires. En particulier, si une entreprise s’est engagée dans la transformation numérique, la gestion des risques inhérents devrait être planifiée comme faisant partie intégrante du processus.
Dans cette nouvelle ère, les risques de sécurité et de sûreté sont intrinsèquement liés. Les pirates informatiques ciblent de plus en plus les systèmes de commande industriels (ICS) afin de provoquer des perturbations ou d’endommager physiquement les produits ou les actifs de production, ou encore de voler la propriété intellectuelle. Les cyberattaques contre les ICS ont considérablement augmenté ces dernières années.
Compte tenu de cette nouvelle dynamique, les normes de sécurité et de sûreté partagent des approches similaires et référencent les risques que chacune présente pour l’autre. En effet, une faille de sécurité qui affecte les actifs physiques peut facilement s’avérer dommageable pour les équipements, le personnel et/ou l’environnement.
La planification de la sécurité commence avec l’implémentation des mesures de sécurité de base ou de cyberhygiène. Ce n’est pas facile à gérer mais c’est essentiel pour maintenir à termes la sécurité. Ceci implique de faire l’inventaire des actifs, du matériel et des logiciels présents sur le réseau d’entreprise, de contrôler les mises à jours et installations des logiciels, de gérer les mots de passe et de limiter les privilèges, et d’assurer la formation du personnel en vue d’identifier les tentatives d’hameçonnage (phishing).
Ceci signifie utiliser des équipements conçus en tenant compte des contraintes de sécurité, savoir identifier les vulnérabilités, gérer les correctifs et les sauvegardes. Cela inclue aussi la conception et la segmentation des réseaux, ainsi que le renouvellement des infrastructures vieillissantes.
Bon nombre de ces pratiques ont été mises en place depuis longtemps dans l’environnement IT, mais rarement dans l’environnement OT. Bien que la plupart des entreprises aient fait l’inventaire de leurs équipements informatiques, beaucoup moins disposent d’une liste exhaustive des niveaux de révision des automates et logiciels, ou d’un programme qui les tient informées des échéances de maintenance planifiées. D’une manière générale, le personnel d’ingénierie devrait travailler de concert avec le personnel informatique en vue d’assurer le maintien des bonnes pratiques de cyberhygiène au sein de l’entreprise, y compris pour les systèmes ICS.
Lorsque les équipements sont mis à niveau ou renouvelés, les risques de sécurité et de sûreté doivent être évalués et atténués de manière adéquate. Or, si le constructeur de machines doit accéder à votre machine, comment son accès sera-t-il limité ? Comment pourrez-vous vous assurer que la machine ne peut pas être manipulée sans nuire à la sécurité des opérateurs ? Comment protégerez-vous la propriété intellectuelle ?
Une cyberhygiène, une conception, des évaluations et une implémentation appropriées contribuent à assurer que vous puissiez bénéficier des avantages d’une Connected Enterprise sans compromettre la productivité, la rentabilité ou la réputation.
Contactez vos experts Rockwell Automation en cybersécurité et sûreté afin qu’ils vous aident à développer vos plans et stratégies de gestion du risque en entreprise.
