INFOSEC

Pourquoi la sécurité de l’information est-elle essentielle à la fabrication ?

READ MORE

Une menace continue et croissante

Les attaques continues des cybercriminels représentent un risque accru pour chaque organisation manufacturière. Avec l’industrie 4.0 et la croissance significative de l’Internet industriel des objets (IIoT), les cyberattaques sont devenues presque quotidiennes.

Pas seulement quelques rares cas dans les salles sombres ou les États-nations

Ces attaques n’affectent pas seulement l’entreprise ciblée, mais aussi leurs partenaires commerciaux, leurs fournisseurs et leurs clients.

Dans le monde hyperconnecté d’aujourd’hui, ce n’est plus une chaîne d’approvisionnement, nous sommes tous dans un réseau d’approvisionnement numérique. La cybersécurité et la sécurité de l’information intéressaient seulement quelques personnes dans des salles de serveurs sombres ou des États-nations. Plus maintenant.

Objectifs plus souples, gains plus importants

Il y a des années, lorsque le ver Stuxnet a affecté le programme nucléaire iranien, beaucoup ont dit : « Bien sûr, les États voyous et les acteurs nationaux s’engageront dans ce genre d’activité – il s’agit d’une cyberguerre. »

Les acteurs-nations restent très actifs et se concentrent sur des objectifs de grande valeur et très visibles.

Pendant ce temps, la plupart des gens ont ignoré les implications plus larges des attaques contre les systèmes de contrôle industriel, également connus sous le nom de contrôle de supervision et d’acquisition de données (SCADA), l’épine dorsale des opérations industrielles.

Les cybercriminels utilisent les mêmes outils et méthodes que les États-nations, mais se concentrent sur des cibles plus douces pour garantir des paiements plus importants et plus rapides grâce à des demandes de rançongiciels paralysants.

La fabrication est une « infrastructure critique »

Dans de nombreux pays, plusieurs industries sont considérées comme si vitales pour la sécurité nationale qu’elles sont considérées comme des « infrastructures critiques », ce qui signifie qu’il y aurait un préjudice considérable pour le pays et la société si ces industries étaient attaquées.

L’UE et les États-Unis ont identifié la fabrication en tant qu’infrastructure critique et que la nature inhérente des chaînes d’approvisionnement mondiales et numériques du secteur constituait une menace importante pour la sécurité.

Le cas aux États-Unis

Bien que les États-Unis ne disposent d’aucune exigence fédérale couvrant l’industrie manufacturière, plusieurs réglementations s’attaquent à l’obligation d’une organisation de garantir la cybersécurité et la résilience en matière de sécurité de l’information.

Suite à plusieurs attaques contre des infrastructures critiques en 2021, l’Agence américaine pour la cybersécurité et l’infrastructure (CISA) a publié une alerte (AA21-287A) sur les cybermenaces sur les systèmes d’eau et d’eaux usées.

En 2021, il y a eu trois cas en Californie, au Maine et au Nevada où des infrastructures critiques ont été la cible d’attaques ransomware importantes.

Techniques d’infiltration courantes

Comme le souligne l’Alerte, dans certains cas, le point d’entrée d’une attaque est une campagne de « spear-phishing » visant à leurrer un employé à ouvrir un e-mail avec une charge utile qui infecte non seulement l’ordinateur portable/PC de l’utilisateur, mais aussi le réseau plus large de dispositifs connectés. Dans d’autres cas, l’attaque est via les services cloud que la plupart des entreprises manufacturières utilisent.

Concentrez-vous sur votre SaaS

Pensez à tous les logiciels en tant que service (SaaS) que votre organisation utilise. Ils sont des cibles pour ce type de cyberattaque. Par exemple, le système d’étalonnage de votre organisation peut ne pas être hébergé sur vos serveurs, mais se trouve sur un serveur au centre de données que votre fournisseur de logiciels d’étalonnage ne contrôle même pas. Dans le cas de la solution SaaS d’étalonnage, quatre, cinq ou même plus (sous-) fournisseurs peuvent être impliqués, et probablement à différents endroits.

Garantir des chaînes d’approvisionnement résistantes et résilientes

En réalité, tous ces éléments font partie de votre chaîne d’approvisionnement. La « sécurité de la chaîne d’approvisionnement » n’est pas seulement une expression à la mode, elle est impérative, et bien que vous pensez que cela concerne les défis liés à l’obtention de pièces par les fournisseurs, cela inclut la garantie que votre chaîne d’approvisionnement mondiale est résistante et résiliente aux cyberattaques, afin de protéger vos informations, vos parties prenantes et, en fin de compte, votre organisation.

Voici quelques domaines liés à la sécurité de l’information que chaque organisation manufacturière doit prendre en compte :

  • Comment votre propriété intellectuelle et celle de vos clients et autres partenaires commerciaux sont-elles protégées ?
  • Que se passerait-il si les données/informations sous votre contrôle étaient manipulées (par exemple, les spécifications techniques sont modifiées, telles que les quantités de commande)?
  • Que se passerait-il pour la sécurité de vos employés si les protections (par exemple les rideaux de lumière) autour de vos machines automatiques sont désactivées ?
  • Que se passerait-il si vous programniez les produits pour vos clients avec un firmware incorrect (manipulé) ?
  • Quelle est la quantité d’une cible potentielle (ou d’un point d’accès à une cible – par exemple vos clients) pour un État-nation ?
  • Que se passerait-il si votre chaîne d’approvisionnement était cyberattaquée ? Combien de temps votre organisation peut-elle survivre sans pièces ou composants critiques ?

 

La plupart des entreprises manufacturières dépendent d’une chaîne d’approvisionnement mondiale (ou même d’un réseau d’approvisionnement) mais les risques de la chaîne d’approvisionnement sont souvent « oubliés » ou « ignorés ». Si l’un des fournisseurs est affecté par une cyberattaque, toute la base de clients en amont sera touchée.

Cybersécurité dans l’ensemble des chaînes d’approvisionnement

Traditionnellement, l’évaluation des fournisseurs se concentre sur les aspects financiers et qualité, mais ces dernières années, de plus en plus d’industries reconnaissent l’importance de la cybersécurité tout au long de la chaîne d’approvisionnement. Par exemple, le ministère américain de la Défense (DoD) a mis en place le programme de certification des modèles de maturité de la cybersécurité (CMMC) afin de garantir que tous les fournisseurs de la base industrielle de la défense ont un solide système d’hygiène de l’information en place.

À titre d’exemple, depuis plusieurs années, les constructeurs automobiles allemands ont exigé que leurs fournisseurs soient évalués par l’Échange fiable d’évaluation de la sécurité des informations (TISAX®).

CmMC et TISAX® exigent des organisations qu’elles protègent les informations de leurs clients à des niveaux spécifiques. Bien que les deux se concentrent sur un secteur industriel spécifique, ils ont un effet souhaité similaire. CMMC et TISAX® (et de nombreux autres cadres de sécurité de l’information spécifiques à l’industrie) peuvent être facilement cartographiés à la norme ISO/CEI 27001.

Alors, quelle est la solution ?

Bien qu’il n’existe pas de solution unique, encore moins une solution miracle, les organisations sont tenues d’en faire plus pour se protéger elles-mêmes et leurs partenaires commerciaux. Le temps où les entreprises pouvaient jouer la victime innocente et blâmer les mauvais acteurs est terminé. Plus personne n’accepte ces excuses.

En cas d’événements ou d’atteintes à la cybersécurité exposant des informations personnellement identifiables (IIP), des pénalités sévères peuvent être imposées. En vertu du Règlement général de l’UE sur la protection des données (RNB), ces pénalités peuvent être de 4 % des recettes annuelles mondiales de l’organisation. Aux États-Unis, la violation de la Loi californienne sur la protection des consommateurs peut coûter à une organisation jusqu’à 7 500 USD par enregistrement exposé. Étant donné que ces types de violations ont en moyenne environ 25 000 dossiers divulgués, ce qui peut s’ajouter à plus de 187 millions usd, de plus en plus d’organisations se rendent compte que leurs l’infrastructure a besoin d’être protégée car elle est de plus en plus vulnérable aux cyberattaques.

Mais quelles sont ces protections et comment une organisation peut-elle les instituer ? La sécurité doit être revue et gérée en fonction d’un paysage de menaces en constante évolution. Cela nécessite une compréhension de l’environnement et du contexte dans lequel l’organisation opère, suivie d’une évaluation des risques régulièrement mise à jour. Ces deux étapes cruciales sont également les exigences de base d’un système de gestion basé sur la norme ISO/CEI 27001 – la norme internationalement reconnue pour un système de gestion de la sécurité de l’information (ISMS).

Afin de rester pertinentes, les normes ISO sont régulièrement revues et révisées pour faire face aux évolutions de l’industrie. Par exemple, la norme ISO/CEI 27002 aborde désormais les problèmes souvent constatés dans la fabrication et dans d’autres secteurs, tels que le « masquage des données », la « sécurité de l’information pour l’utilisation des services cloud » et le « filtrage web ».

L’importance de la norme ISO/CEI 27001

La norme ISO/CEI 27001 a été adoptée par des dizaines de milliers d’organisations pour s’assurer qu’elles mettent en œuvre et suivent les meilleures pratiques mondialement reconnues et établissent un système de gouvernance solide. De nombreuses raisons expliquent pourquoi tant d’organisations ont adopté et obtenu la certification officielle ISO/CEI 27001 :

  • La norme est écrite de sorte qu’elle s’applique à toutes les organisations – il n’y a aucune exigence spécifique de l’industrie ou de la taille.
  • La norme est agnostique en matière de technologie – peu importe l’environnement technologique que vous avez.
  • Parce qu’il s’agit d’une norme de système de gestion, elle s’harmonise bien avec d’autres normes mondialement reconnues telles que la norme ISO/CEI 27701 (gestion de la confidentialité), la norme ISO 22301 (continuité des affaires), la norme ISO 9001 (qualité), la norme ISO 14001 (environnement) et la norme ISO 45001 (santé au travail). Cet alignement permet aux entreprises de mettre en œuvre les exigences de plusieurs de ces normes au sein de leur organisation avec un effort minimal tout en bénéficiant des effets de synergie. Il existe également un lien très étroit entre plusieurs de ces normes, par exemple ISO/CEI 27002, qui disposent de contrôles spécifiques concernant la « préparation des TIC pour la continuité des affaires », ce qui les relie à la norme ISO 22301.
  • La certification externe et indépendante par un tiers garantit aux parties intéressées que l’organisation a mis en œuvre un ISMS solide.
Comment pouvons-nous vous aider ?

Alors que certaines organisations utilisent la norme ISO/CEI 27001 comme « directive » pour voir à quoi ressemble la « bonne apparence » et mettre en œuvre les meilleures pratiques, les avantages réels de la norme proviennent du fait qu’elle peut être utilisée (et est principalement utilisée) pour la fondation de la certification officielle.

Bien que la mise en œuvre d’un système de gestion sans obtenir une certification officielle soit possible, cela ne tient pas compte de la démonstration aux parties externes (clients, actionnaires, fournisseurs et régulateurs, etc.) que l’organisation prend très au sérieux la sécurité de l’information et la résilience de l’information.

Dans de nombreuses industries, la certification officielle des ISMS d’une organisation est une exigence contractuelle et, même si ce n’est pas une exigence aujourd’hui, elle pourrait l’être à l’avenir. Qu’il s’agisse d’une exigence maintenant ou à l’avenir, la certification formelle assure vos partenaires commerciaux et augmente la fiabilité de l’organisation, ce qui est particulièrement important lorsqu’il s’agit de traiter avec des partenaires commerciaux internationaux.

Fabriquez de meilleurs InfoSec, protégez vos informations vitales. Pour en savoir plus Ici.

POUR PLUS D’INFORMATIONS, VEUILLEZ NOUS CONTACTER.

Video
Share

Your name

Your e-mail

Name receiver

E-mail address receiver

Your message

Send

Contact

Privacy Policy

Send

Sign up