Gestion des risques et des menaces de cybersécurité : Revenir aux principes fondamentaux

Chaque jour est marqué par la nouvelle d’une nouvelle cyberattaque. Au début de l’année, le piratage de SolarWinds a touché de grandes entreprises, dont Microsoft, Intel et Cisco ; l’attaque de Colonial Pipeline a perturbé l’approvisionnement en pétrole et en gaz en raison d’un arrêt opérationnel de précaution, les attaques de ransomware LockBit ont récemment frappé la société de conseil Accenture, et ainsi de suite. Les révélations de piratage informatique par des organisations criminelles indépendantes et des groupes soutenus par des États suscitent de plus en plus d’inquiétudes au sein des conseils d’administration des entreprises, des directions gouvernementales et des assemblées législatives.

Ces cyberattaques n’utilisent pas nécessairement de nouvelles techniques d’attaque, mais elles sont malheureusement de plus en plus importantes et de plus en plus fréquentes. Bien qu’aucune entreprise manufacturière ne puisse garantir qu’elle ne sera jamais touchée par une telle attaque, il existe des mesures fondamentales que les responsables des entreprises et de la cybersécurité peuvent prendre pour éliminer les cloisonnements, fonctionner de manière globale et mettre en œuvre les meilleures pratiques afin de réduire les risques liés à ce type de menaces.

Nous savons que le secteur est très préoccupé par ces questions et nous travaillons chaque jour avec nos clients pour les aider à créer une base solide et à minimiser le risque. Voici les conseils de base dont nous recommandons le plus souvent la mise en place à nos clients de l’industrie manufacturière.

S’engager dans la cartographie des opérations de l’entreprise
Les industriels doivent faire correspondre leurs systèmes d’entreprise et de fabrication à chaque fonction, flux de revenus ou mission. Cela permettra de comprendre et de s’approprier chaque processus et d’atteindre les objectifs de continuité et de résilience commerciale face aux cyberattaques, un peu comme les scénarios de gestion de crise des entreprises. En règle générale, la cartographie des opérations nécessite le soutien de la direction pour que les parties prenantes interfonctionnelles, y compris les opérations de fabrication, la cybersécurité des usines, la sécurité informatique, les systèmes de fabrication et les systèmes d’entreprise, y prennent part. Il peut s’agir d’une tâche considérable, alors soyez prêt à apprendre beaucoup et à solliciter des conseils qui vous aideront à mettre en œuvre l’approche du cadre de travail.

Analyse approfondie des menaces
Les industriels doivent également procéder à une analyse approfondie des menaces. Dans le cadre de ce processus, la meilleure pratique consiste à examiner les matrices MITRE ATT&CK, en particulier la matrice MITRE ICS ATT&CK récemment élaborée, qui repose sur une base de connaissances globale des tactiques et techniques utilisées par les pirates dans le cadre d’attaques réelles.

Évaluer la protection de cybersécurité
Il est important de déterminer et d’évaluer les contrôles et les opérations actuellement en place au moyen d’une évaluation ou d’un audit de la cybersécurité. Cela doit inclure l’évaluation de trois principaux piliers : les personnes, les processus et la technologie, en mettant l’accent sur les personnes et l’amélioration des compétences pour les nouvelles technologies et les nouveaux processus. La technologie est efficace, mais la réussite repose sur les personnes. Pour l’évaluation, il est préférable de travailler avec un fournisseur de systèmes d’automatisation, comme Emerson, qui possède une certaine expertise dans ce domaine et qui connaît bien les systèmes de contrôle industriel et les opérations.

Développer une stratégie de défense
Sur la base des enseignements tirés de l’analyse des menaces et de l’évaluation de la cybersécurité, les entreprises doivent élaborer une stratégie de défense en profondeur afin de remédier aux lacunes et d’atténuer les risques dans toutes les opérations susceptibles d’être affectées par des cyberattaques directes ou indirectes ou par la perte de capacités opérationnelles. Cette stratégie doit comprendre une hiérarchisation des lacunes ou des menaces en fonction des risques afin que les risques les plus élevés soient traités en premier, garantissant ainsi la résilience des contrôles.

En évaluant ces trois mêmes piliers que sont les personnes, les processus et la technologie, nous constatons souvent que les clients jugent utile de rechercher des ressources externes, de former ou d’améliorer les compétences de leur personnel, ou de modifier certains processus, contrôles technologiques, systèmes ou architectures afin de garantir une défense solide. Le plan d’action doit également être en phase avec les plans de continuité des activités et de récupération d’urgence de l’entreprise, tout comme une panne opérationnelle due à des systèmes défaillants ou à du matériel défectueux, les plans de réponse aux cyberattaques nécessitent des processus définis et actifs avec des objectifs axés sur l’endiguement et les délais de récupération.

Cette stratégie de défense doit inclure la planification pour les pires cas de figure. Pour les installations de production, par exemple, il est essentiel de disposer d’un plan de sauvegarde clair en cas de défaillance des systèmes informatiques, ainsi que de copies imprimées des commandes, des étiquettes et des contacts, afin que les opérations manuelles puissent se poursuivre en cas d’indisponibilité des ordinateurs. Cela ne sera peut-être pas possible dans chaque cas de figure, mais le fait de disposer de plans de sauvegarde et de continuité fréquemment révisés mettra les entreprises dans la meilleure position pour rester opérationnelles, même en cas de cyberattaque.

Révision et mise à jour régulières pour l’efficacité 
Une fois la stratégie de défense approfondie mise en place, elle doit être testée et réexaminée de manière méthodique, ciblée et régulière afin d’assurer son efficacité et de ne pas mettre en péril les opérations en cours ou d’introduire d’autres risques. Les rôles, les responsabilités et les formations des employés doivent être actualisés lors de la mise en œuvre de toute nouvelle pratique ou technologie.

Les industriels doivent prendre des mesures dès maintenant pour comprendre l’ampleur et les types de cybermenaces auxquelles leurs entreprises sont confrontées. Les menaces et les cyberattaques sont réelles et se développent à un rythme soutenu. Les industriels et toutes les entreprises devraient accorder la priorité à la cybersécurité afin de s’assurer que des opérations et des contrôles proactifs et défensifs appropriés sont en place pour protéger les données, les procédés et les opérations commerciales importants. Il est conseillé aux chefs d’entreprise de contacter leurs responsables de la cybersécurité pour savoir ce dont ils ont réellement besoin pour réussir, puis d’établir l’urgence et le soutien du conseil d’administration afin d’évaluer, de comprendre et de gérer ces risques.