Sécurité des installations – pour une protection impeccable de vos actifs

La sécurité de la centrale décrit la combinaison de la sécurité fonctionnelle et de la cybersécurité pour assurer une protection globale. L'accent est mis sur la protection informatique des installations industrielles contre les cyberattaques.

colorful round diamond on shiny bokeh background

Tout secteur industriel ou presque, traverse le cycle de la transformation digitale – la mégatendance du XXIe siècle ! Gains de productivité, plus de flexibilité, haut degré de satisfaction de la clientèle et élaboration de nouveaux business-modèles ne sont que quelques-unes des nombreuses nouvelles opportunités de réussite ainsi créées. Selon une étude Bitkom, plus de 90 % des entreprises allemandes considèrent la digitalisation comme une opportunité formidable. (Document : Digitale Transformation der Wirtschaft (2nd Edition) Berlin, 11 juillet 2017 ; page 14)

La transformation digitale

Bien sûr, il y a aussi quelques incertitudes. Le professionnalisme grandissant des cybercriminels, qui va de pair avec une constante augmentation des cyberattaques, constitue une préoccupation majeure dans le monde des affaires. Rien d’étonnant donc à ce qu’une étude représentative menée pendant l’été 2017 par le Bitkom (association allemande du digital) ait montré que plus de la moitié des entreprises allemandes avaient été victime d’une cyberattaque au cours des deux dernières années. 53 % des entreprises allemandes ont été victimes d’espionnage industriel, de sabotage ou de vol de données. Le préjudice annuel est de l’ordre de 55 milliards d’euros.

L’approche « shotgun »

Elle peut toucher toute grande ou moyenne entreprise de tout secteur économique. Il est bien évidemment très tentant pour les cybercriminels de cibler prioritairement leurs attaques sur des entreprises qui ne sont pas en mesure d’implémenter un concept sécurité aussi sophistiqué que celui d’une multinationale. Ceci dit, les grandes organisations ne sont pas à l’abri elles non plus car beaucoup de cyberattaques sont non pas ciblées mais menées à grande échelle (approche « shotgun »). « WannCry » en est un bel exemple. Cette campagne agressive de type ransomware (rançongiciel) étant devenue virale, il n’a pas été possible de prévoir où elle allait s’étendre.

Impact sur les infrastructures critiques (KRITIS)

Les infrastructures critiques (KRITIS) sont des organisations et installations d’importance sociétale majeure, dont une défaillance ou perturbation entrainerait des pénuries, des dysfonctionnements significatifs de l’ordre public ou d’autres conséquences dramatiques. (Source : BSI)

La disponibilité et la sécurité des systèmes informatiques sont de prime importance quand il s’agit des infrastructures critiques !

Un outil-clé pour la transformation digitale – la sécurité des installations

La sécurité des installations est la base requise pour l’exploitation des opportunités significatives et la maîtrise des défis inhérents à la digitalisation. En procédant ainsi, des processus innovants de business digital peuvent être développés de manière agile, flexible mais surtout SÛRE !

Le portfolio « sécurité installations » signé Yokogawa

Pour tout le monde ou presque, il est clair comme de l’eau de roche que la sécurité fonctionnelle (IEC 61511) est un « must » en matière de solutions d’automatisation instrumentée sûres ! Mais la cybersécurité – protection contre les cyberattaques – est tout aussi cruciale ! En matière de sécurité, il convient de faire le distinguo suivant : la sécurité fonctionnelle concerne la protection des personnes, des équipements et de l’environnement tandis que la cybersécurité porte sur la disponibilité, l’intégrité et la confidentialité des composantes IT – exactement dans l’ordre inverse en automatisation industrielle comparativement à l’IT ordinaire ! L’objectif est de protéger les systèmes informatiques des installations industrielles contre les cybermenaces. Une combinaison « sécurité fonctionnelle + cybersécurité » est requise pour l’obtention d’une protection holistique.

Le portfolio Yokogawa de sécurisation des installations est conforme aux normes et recommandations internationales comme l’International Electrotechnical Commission (IEC) 62443, ainsi qu’aux recommandations nationales du NAMUR (NE) 153 et 163  ou du German Federal Office for Information Security (BSI) – surtout concernant les infrastructures critiques (KRITIS).

Tout ceci est mis en concordance avec vos propres exigences en tant que point de départ pour l’élaboration d’un concept « sécurité installations » parfait.

IEC 62443

Cette norme est à la base d’une vision intégrée de la sécurité des installations, et porte sur tout le cycle de vie d’une solution d’automatisation. L’ensemble des installations et tous les composants de sécurité de celles-ci, doivent être protégés du risque d’intrusion afin de laisser les cybercriminels sans cible ! L’IEC 62443 porte aussi sur la protection des réseaux au sein de systèmes d’automatisation. Cette norme prescrit une partition du système (système formant un tout) en différentes zones « sécurité ». Des canaux sécurisés spécifiques sont définis entre ces zones et protégés par des pare-feux. Les exigences requises varient selon les niveaux de sécurité des différentes zones. Ce type de configuration se traduit par un système multicouches comportant différents dispositifs de défense (aussi appelée « défense en profondeur »). Les pare-feux sont renforcés selon le niveau de sécurité requis.

Défense en profondeur

La “Défense en profondeur” est le placement coordonné de multiples dispositifs de sécurité servant à protéger les bases de données de l’entreprise. Cette stratégie découle du principe militaire selon lequel il est plus difficile pour l’ennemi de vaincre un système de défense complexe, à facettes multiples. Les stratégies de défense en profondeur incluent généralement des composantes telles que : logiciels antivirus, pare-feux, programmes anti spyware, système de mots de passe multiniveaux, détecteurs d’intrusion et systèmes de reconnaissance biométrique. Combinée aux contre-mesures côté IT, la protection physique des installations de l’entreprise sécurise davantage les informations business critiques (contre le vol ou la destruction), en coordination avec un programme de formation continue complet et s’adressant à tous les employés.

Les prestations Yokogawa de sécurité durant tout le cycle de vie

NE 163 – Evaluation des risques de sécurité relatifs aux SIS (Systèmes Instrumentés de Sécurité)

Cette recommandation de Namur est une méthode pratique, et disruptive à minima, pour évaluer les risques IT et donc le maintien de la disponibilité des installations. L’évaluation des risques de sécurité constitue un point de départ pour une amélioration de la résistance des systèmes instrumentés de sécurité instrumentés à des menaces IT. Tous les points faibles existants sont identifiés et des améliorations spécifiques sont suggérées.

La méthode décrite ici (basée sur ISO/IEC 27005 et IEC 62443 3-2) vérifie l’adéquation des dispositifs de sécurité appliqués, dont surtout ceux définis dans IEC 61511-1, VDI/VDE 2180, VDI/VDE 2182, IEC 62443et le BSI ICS Security Compendium.

L’ IEC 62443 – qui est le canon international– repose sur quatre piliers-clés découlant du concept de cybersécurité : Général + Politiques & Procédures + Management Cybersécurité (Sécurité Système + Sécurité Composants).

En conformité avec l’IEC 62443, nous commençons par effectuer avec vous les étapes suivantes :

  1. Évaluation & Analyse
  2. Conception & implémentation
  3. Support opérationnel
  4. Support de validation

Ces mesures sont importantes pour la conformité aux normes industrielles internationales (IEC 62443) et obtenir au final la certification. L’énorme avantage pour vous d’adopter cette approche est que nous établissons la conformité sécurité au sein de votre entreprise. Vous bénéficiez de processus clairs, sur lesquels vous pouvez agir pour adapter votre business à la digitalisation. Profitez de cet avantage compétitif !

Les prestations Yokogawa de sécurité durant tout le cycle de vie

La sécurité des installations est un sujet qui concerne toute l’entreprise.
Vous avancez à tâtons dans le noir ? Profitez de notre riche expertise en automatisation ! Nous serions ravis de vous indiquer comment vous pouvez réaliser un concept sécurité 360° utilisant des technologies appropriées, conforme aux normes internationales et développant simultanément le sens de la sécurité au sein de votre entreprise, de manière à ce que toute votre organisation soit protégée de manière optimale contre les menaces internes et externes.

Note latérale : La base légale européenne – le « Règlement général sur la protection des données (RGPD) »

Quelques mots sur le RGPD :

Nous avons une vision holistique de la sécurité. Cela signifie que nous suivons aussi de très près les développements juridiques actuels et, comme il se doit, les intégrons dans notre concept. Sur ce point, il nous semble utile de vous dire quelques mots de la RGPD :

La Règlement général sur la protection des données (RGPD) est la nouvelle réglementation européenne sur la protection des données, entrée en vigueur le 25 mai 2018. Elle permet aux citoyens et aux résidents un meilleur contrôle de leur données personnelles, crée de la transparence concernant l’utilisation de celles-ci et définit les dispositifs et contrôles de sécurité pour les protéger. Avec seulement 88 pages, il s’agit d’un document certes peu volumineux pour une réglementation européenne mais qui simplifie grandement l’environnement réglementaire des affaires au sein de l’UE. Ce document s’applique non seulement aux entreprises européennes mais aussi aux organisations basées hors de l’UE : Facebook, Alibaba & Co. va devoir se mettre en conformité avec cette réglementation générale si elle entend collecter ou traiter des données sur des personnes installées dans l’UE. Ne pas se conformer à la RGPD pourrait entraîner des amendes représentant 4 % du chiffre d’affaires mondial ou 20 millions d’euros (chiffre retenu : le plus élevé des deux).

Questions clés – quelles données personnelles traitez-vous actuellement ?

  • Bases de données clients
  • Formulaires de feed-back
  • Courriels
  • Photos
  • Vidéos de surveillance
  • Bases de données HR
  • Log files (historiques)
  • Back-ups/archives
  • Dans quel but ces données sont-elles stockées ?
  • Où sont-elles stockées ?
  • Pendant combien de temps sont-elles stockées ?
  • Données personnelles utilisées à des fins de marketing – concours/cartes de Noël/newsletters

Pour en savoir plus sur la sécurité, cliquez ici. Bonne navigation !


Les infrastructures critiques : c’est quoi au juste ? (Partie 2)

Les infrastructures critiques : c’est quoi au juste ? (Partie 1)

Design thinking: entrer dans la numérisation avec l’utilisateur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut