Ponemon 2021 État de la cybersécurité industrielle

Incidents de sécurité

Selon cette étude , 63 % des personnes interrogées ont indiqué que leur organisation avait connu au moins un incident de cybersécurité OT/ICS au cours des deux dernières années. Dans le même temps, les chercheurs ont noté que la fréquence et la gravité des cyber-attaques augmentent. Le coût moyen d'un tel incident est d'environ 3 millions de dollars. Ce calcul inclut les temps d'arrêt, le remplacement des équipements, les amendes et les coûts de main-d'œuvre du personnel chargé de la sécurité des technologies de l'information et des technologies de l'information.

Cette étude a également révélé d'autres statistiques. Par exemple, le temps moyen de détection d'un incident est de 170 jours. Après la détection, la gravité et l'impact doivent être analysés par des experts en sécurité, ce qui prend en moyenne 66 jours supplémentaires. Enfin, il faut 80 jours pour remédier à l'incident de cybersécurité, ce qui fait un total de 316 jours entre la détection initiale et la remédiation. Ce délai ne tient pas compte des activités supplémentaires postérieures à l'incident ni des mesures de préparation supplémentaires visant à prévenir des incidents similaires à l'avenir.

L'une des cyberattaques les plus répandues et les plus dévastatrices est le Ransomware. L'étude indique que 29 % des participants ont déclaré que leur organisation avait dû faire face à une telle attaque. Dans la moitié de ces cas, la rançon payée était supérieure à 500 000 dollars.

Maturité de la sécurité

Seuls 21 % des participants ont déclaré que la sécurité de leur programme de cyber sécurité OT/ICS avait atteint une pleine maturité, tandis qu'environ 50 % en sont encore à un stade précoce ou intermédiaire. Cela signifie que de nombreuses activités du programme de sécurité n'ont pas encore été planifiées ou déployées et que l'organisation pourrait ne pas maîtriser son risque de cyber sécurité. Dans une organisation mature, l'efficacité et l'efficience du programme de cyber sécurité sont mesurées en permanence et communiquées à la direction au plus haut niveau, en même temps que les risques de cyber sécurité actuels. Dans le même temps, la direction fournit un budget et des ressources suffisants pour assurer le fonctionnement du programme et réduire le risque cybernétique à un niveau acceptable.

Conclusions et recommandations

L'une des principales recommandations est de surmonter les différences culturelles et techniques entre les équipes IT et OT. Un résultat remarquable qui explique les obstacles actuels à l'investissement dans la sécurité OT/ICS illustre cela d'une manière intéressante, car les deux principaux résultats semblent être une contradiction. L'une affirme que la sécurité OT est gérée par le département d'ingénierie qui n'a pas d'expertise en matière de sécurité, tandis que l'autre affirme que la sécurité OT est gérée par le département informatique qui manque d'expertise en matière d'ingénierie.

Une organisation devrait avoir une stratégie de sécurité unifiée, tout en comprenant que les technologies de l'information et de la communication nécessitent une approche différente. Une équipe combinée est nécessaire pour informer les cadres supérieurs de l'état du programme de sécurité et des cyberrisques de l'organisation.

L'organisation doit s'assurer que les ressources et le budget alloués à la mise en œuvre et à l'amélioration de la cybersécurité sont suffisants. Cela commence par un inventaire détaillé de tous les dispositifs ICS connectés, tout au long de leur cycle de vie. Une deuxième recommandation est d'élaborer, de tenir à jour et de tester un plan d'intervention en cas d'incident cybernétique.

Roadmap pour la cybersécurité des OT

La mise en œuvre et l'amélioration continue de tout programme de cybersécurité prennent du temps. Il est important de commencer à cartographier les plus hautes priorités de l'entreprise avec les processus OT et enfin avec les assets ICS afin de déterminer les contrôles adéquats et leur priorité. Pour déterminer cette priorité, il convient d'utiliser des scénarios axés sur les menaces et les conséquences. Les scénarios axés sur les menaces sont raisonnés du point de vue d'un attaquant et cartographient les menaces possibles pour une organisation, qui peuvent être basées sur des rapports de renseignement sur les menaces ou des exercices de modélisation des menaces. Les scénarios axés sur les conséquences sont basés sur le pire impact possible qu'une organisation souhaite prévenir. Ces deux types de scénarios conduiront à un inventaire des contrôles existants, inadéquats ou manquants qui sont nécessaires pour atténuer tous ces scénarios. Il est maintenant temps de créer une roadmap, de planifier l'amélioration continue et de commencer à atténuer les plus grandes priorités.

Tout commence par une bonne compréhension de la posture de cybersécurité actuelle et de ses faiblesses potentielles. C'est également ce que reflètent les 60 % des participants à cette étude qui ont déclaré que leur priorité absolue en 2021 est d'améliorer celle-ci en réalisant des évaluations des écarts, des risques ou des vulnérabilités spécifiques aux OT/ICS.

Le portefeuille de Bureau Veritas Cybersecurity en matière de cybersécurité

Dans l'ensemble, ces recommandations correspondent parfaitement à notre portefeuille de cybersécurité, et plus particulièrement à la première catégorie "Audit and risk assessment".

Bureau Veritas Cybersecurity fournit une variété de services d'évaluation OT/ICS spécifiques et possède cette expérience dans de multiples marchés industriels (critiques), par exemple le pétrole et le gaz, l'énergie et les eaux (usées). Une analyse des lacunes permet d'identifier l'état actuel des contrôles de sécurité conformément à la norme IEC 62443-3-3. Dans le cadre d'une OT Risk Assessment, nous utilisons une approche axée sur les conséquences pour quantifier les risques de cybersécurité les plus élevés pour un environnement OT. Pour une approche axée sur les menaces, nous pouvons proposer des exercices de modélisation des menaces OT . Enfin, nous fournissons des évaluations de maturité cybersécurité basées sur les normes ISO27000 et IEC 62443-2-1 afin d'évaluer le niveau de maturité de l'entreprise à l'aide d'une approche holistique couvrant les personnes, les processus et la technologie dans les domaines de l'IT et de l'OT.

Une partie importante de tout programme de sécurité consiste à tester si tous les contrôles et processus d'atténuation conçus fonctionnent dans la pratique. C'est là que nous pouvons vous proposer l'un de nos services les plus appréciés, à savoir les tests de vulnérabilité et d'intrusion. Nous sommes parfaitement conscients des considérations spécifiques qui s'appliquent aux systèmes OT et nous avons l'expérience nécessaire pour planifier et réaliser ces tests en toute sécurité et savoir ce que nous pouvons faire ou ne pas faire. Bien sûr, toujours en étroite collaboration avec le propriétaire des assets. Il en va de même pour nos exercices de Red Teaming, où nous allons même plus loin en simulant une cyberattaque à grande échelle, testant non seulement les contrôles de sécurité techniques, mais aussi les capacités de détection et de réponse de l'organisation.

Toutes les assessments ont leur place sur la roadmap et sont utiles pour les entreprises qui se trouvent à un stade différent de leur programme de cybersécurité. Il s'agit également d'une boucle d'amélioration continue, où la technologie et les cybermenaces évoluent constamment. Nous serons heureux de vous inviter à une réunion préliminaire, avec notre équipe de vente et nos consultants en sécurité, afin que nous puissions déterminer ensemble la meilleure approche.

Notez que notre portefeuille complet de services de cybersécurité comprend également la formation et la certification en matière de sécurité. Pour plus d'informations sur ces sujets, veuillez consulter notre page sur le marché industriel.