Par Michael T. Lester
Les fabricants, les services publics et les opérateurs d’infrastructures critiques sont confrontés à des menaces de cybersécurité croissantes et plus sophistiquées. Les attaques évoluent constamment, car les logiciels malveillants banalisés et les technologies avancées offrent de nouvelles capacités d’attaque aux auteurs de menaces.
La motivation des cyberattaques est encore principalement le gain financier, mais les acteurs étatiques sont de plus en plus impliqués et il y a un nombre croissant d’attaques ciblant l’espace de contrôle industriel de la part de divers auteurs de menaces.
Une cybersécurité efficace nécessite de toujours s’informer sur les dernières menaces, d’effectuer un inventaire en temps réel des équipements, d’améliorer les capacités de détection des menaces, de s’assurer que les équipements et les appareils disposent des dernières mesures de défense, de corriger et de mettre à jour les systèmes et d’améliorer les capacités de réponse aux incidents. En outre, les politiques et procédures, le perfectionnement de la main-d’œuvre et la formation périodique sont tous des aspects clés de la cybersécurité qui devraient être déployés pour protéger les systèmes critiques en suivant une approche fondée sur les risques.
Pour les fabricants qui cherchent à exploiter le potentiel de l’Internet industriel des objets (IIoT), la cybersécurité est une préoccupation majeure. Le besoin d’une cybersécurité efficace est bien connu, mais le sujet n’est pas très bien compris au sein de l’industrie. La conception et la mise en œuvre de la technologie IIoT nécessitent de nouvelles compétences et une expertise en cybersécurité. De nouvelles solutions peuvent introduire de nouveaux vecteurs de menace si elles ne sont pas mises en œuvre et maintenues en toute sécurité.
Identifier les vulnérabilités
Au sein du secteur de la fabrication, les solutions conçues à des coûts d’investissement plus élevés provoquent une réticence à mettre à jour les systèmes et un rythme de remplacement lent. Les systèmes obsolètes qui ne sont pas corrigés ou bien protégés par une approche de défense en profondeur sont les plus vulnérables.
Pour les fabricants qui cherchent à exploiter le potentiel de l’Internet industriel des objets (IIoT), la cybersécurité est une préoccupation majeure
Les utilisateurs doivent hiérarchiser les actions qu’ils entreprendront en réponse aux menaces et attaques identifiées et créer une feuille de route de ces actions. Cela comprend la mise en œuvre et le test régulier de plans de réponse aux incidents et de sauvegarde/récupération pour toutes les personnes, processus et technologies de leur organisation au cours du cycle de vie de chacun. Même quelque chose d’aussi simple que la gestion des comptes d’utilisateurs doit prendre en compte le cycle de vie de chaque utilisateur, depuis sa première autorisation jusqu’à son départ de l’organisation.
Il existe un besoin croissant de collaboration entre les parties prenantes IT et OT pour mettre en œuvre de nouveaux systèmes et services qui permettent à une organisation d’effectuer sa transformation numérique. Lors de l’élaboration d’une stratégie de cybersécurité, les parties prenantes IT et OT doivent comprendre les points forts de chacun et déterminer comment atteindre les objectifs commerciaux tout en maintenant les plus hauts niveaux de sécurité.
Chaque expertise apporte quelque chose de différent, les parties prenantes IT ayant un processus hautement standardisé et OT ayant une solution plus technique. Les objectifs des deux parties prenantes doivent être examinés et les exigences établies pour éviter les lacunes et les risques pour les opérations. Les fournisseurs de solutions d’automatisation peuvent améliorer le déploiement sécurisé des systèmes en fournissant un portefeuille à plusieurs niveaux de contrôles, de procédures et de services de sécurité qui améliorent la sécurité du système et aident les utilisateurs finaux à hiérarchiser les évaluations de cybersécurité.
Les organisations doivent tenir compte de la cybersécurité lors de l’ingénierie et de la conception préliminaires d’un projet de système de contrôle-commande. Trop souvent, les défenses de cybersécurité sont ajoutées plus tard, ce qui est plus coûteux et rarement aussi efficace qu’une cybersécurité intégrée dans le projet. Ce concept est appelé « Shift Left ». La sécurité dès la conception, associée à une analyse appropriée des cyber-risques, devrait inclure un examen des fonctionnalités et des contrôles de sécurité pour garantir leur efficacité contre les cybermenaces en constante évolution.
Pour étayer la justification commerciale d’une initiative de cybersécurité, les évaluations peuvent être utilisées comme mesure de réduction des risques qui représente les progrès des cyberinitiatives mises en œuvre jusqu’à présent et la protection potentielle offerte par le déploiement de cyberprotections supplémentaires. Un bon moyen de justifier les capacités de cybersécurité peut être le concept du « Shift Left », où chaque euro dépensé en sécurité proactive équivaut à plus de 60 euros de sécurité réactive.
Si une attaque se produit, le meilleur moyen de se défendre consiste à avoir un plan de réponse aux incidents bien documenté et bien maîtrisé. En bref, se défendre contre une attaque n’est pas possible sans fonctionnalités de cybersécurité, des contrôles et un plan bien pensé.
Un problème culturel
Lorsque la cybersécurité ne fait pas partie de la culture d’une organisation, son personnel crée un cyber-risque important via des actions non intentionnelles qui entraînent des vulnérabilités. Une culture de cybersécurité généralisée réduit les risques liés aux menaces externes et internes. La formation du personnel sur les nouvelles technologies et la cybersécurité connexe contribue au développement d’une culture de cybersécurité.
En bref, se défendre contre une attaque n’est pas possible sans fonctionnalités de cybersécurité, des contrôles et un plan bien pensé
Il est essentiel de créer des opportunités de formation pour les employés afin d’accroître leurs compétences en matière de technologie et de cybersécurité. Le renforcement des compétences peut prendre du temps, mais former la main-d’œuvre à accepter consciemment sa responsabilité en matière de cybersécurité est un bon début. Si la cybersécurité n’est plus la responsabilité de quelqu’un d’autre, les gens poseront naturellement beaucoup plus de questions et travailleront avec ceux qui ont une expertise en la matière pour éviter les conséquences involontaires.
La cybersécurité nécessite plus que de la technologie. La cybersécurité nécessite un changement de comportement et de culture. Une compréhension profonde dans l’ensemble de l’organisation du « pourquoi » et du « comment » de la cybersécurité est essentielle pour entraîner un changement de comportement significatif. Il est donc important de créer une culture de cybersécurité qui englobe les personnes, les processus et la technologie.
Explorez les idées transformatrices, l’inspiration et les points de vue des leaders d’Emerson dans les domaines de l’automatisation industrielle, du confort de la maison et bien plus.
