OT Cyber FAT/SAT

Tests de cyber-résilience pour les Industrial Control Systems (FAT/SAT)

> OT SERVICES > OT Cyber FAT/SAT

OT Cyber FAT/SAT pour les Industrial Control Systems

En tant qu'opérateur ou propriétaire de systèmes de contrôle industriel (ICS), vous êtes responsable de la vérification des exigences de cybersécurité de ces systèmes. Pour un nouveau SCI, cette vérification doit faire partie du Factory Acceptance Test (FAT) et du Site Acceptance Test (SAT). Bureau Veritas Cybersecurity peut vous aider à effectuer une vérification indépendante.

Pourquoi choisir Cyber FAT/SAT ?
Comment nous vous accompagnons
Place dans le cycle de vie du projet
Comment fonctionne une Revue de conception et de sécurité ?
Déterminer la portée de la VA/PT pendant la FAT/SAT
Résultats de la cyber-EAT/SAT
Votre prochaine étape

Menaces pour la sécurité dans le domaine des technologies de l'information

Ransomware, malware : nos experts en sécurité voient émerger toutes sortes de menaces de sécurité dans l'OT, propagées par des acteurs malveillants qui profitent de la faiblesse de la posture de sécurité de l'OT. Ne pas mettre en œuvre des mesures de sécurité dès le départ peut s'avérer coûteux, voire dangereux.

Pourquoi choisir Cyber FAT/SAT ?

Entre la phase de conception et d'ingénierie et la phase d'exploitation et de maintenance, il y a d'autres phases importantes, comme la mise en œuvre et la mise en service. Entre ces deux phases, un test d'acceptation en usine et sur site est effectué pour vérifier que toutes les exigences de la conception sont satisfaites.

Un FAT a lieu dans les locaux du fournisseur avant que les systèmes achevés ne soient expédiés sur le site. Un FAT implique des tests approfondis de tous les composants pour vérifier la conformité avec la conception et les spécifications du projet, et pour vérifier si le système répond à toutes les exigences en matière de fonctionnalité et de performance. Les tests sont facilités par le fournisseur ou l'intégrateur de systèmes et exécutés par le propriétaire des actifs.

Un test d'acceptation sur site (SAT) est similaire, mais il a lieu sur le site du client et seulement après la mise en service/l'installation complète du système. Il permet de s'assurer que le système est installé dans un état de fonctionnement correct, fiable et sûr.

Bien que les exigences en matière de cyber sécurité fassent souvent partie des spécifications de conception, elles sont régulièrement négligées lors d'un FAT ou SAT conventionnel. Pour le propriétaire ou l'exploitant, il est souvent trop difficile de vérifier la nature complexe de tous ces contrôles de cybersécurité. De plus, on ne peut pas s'attendre à ce que le vendeur, l'intégrateur ou l'entrepreneur EPC vérifie de manière indépendante sa propre conception. Le Cyber FAT/SAT de Bureau Veritas Cybersecurity comble cette lacune : nous apportons notre soutien en tant que fournisseur de sécurité indépendant.

Le Cyber FAT/SAT (CFAT/CSAT) est une extension du FAT/ SAT conventionnel qui met l'accent sur la cyber sécurité. Il peut être planifié en parallèle ou après le FAT/SAT classique. Les objectifs sont similaires, mais l'accent est mis sur la sécurité digitale.

Comment nous vous accompagnons

Assurez-vous que les systèmes sont installés et configurés conformément aux spécifications de conception et aux accords contractuels ;
Vérifier la bonne configuration et le durcissement des actifs de la technologie de l'information ;
Testez rigoureusement si les contrôles de cyber sécurité fonctionnent efficacement ;
Détecter les problèmes de sécurité et y remédier avant que le système ne soit expédié sur site ou mis en service.

Bureau Veritas Cybersecurity peut effectuer ces contrôles de validation en utilisant deux approches ou une combinaison des deux. À savoir : en effectuant une revue de la conception et de la sécurité et/ou des tests de pénétration (VA/PT). Les deux options sont détaillées dans les sections ci-dessous.

Comment nos services de cybersécurité s'inscrivent-ils dans le cycle de vie du projet ?

Le cycle de vie d'un nouveau SCI commence par un cahier des charges établi par le propriétaire ou l'exploitant. Naturellement, ce cahier des charges décrit les principales fonctions de la nouvelle installation, mais il contient généralement aussi certaines exigences en matière de cyber sécurité. Celles-ci peuvent être basées sur la conformité avec les politiques de sécurité de l'entreprise, les normes industrielles (CEI 62443) ou les lois et réglementations applicables.

Vient ensuite la phase de conception et d'ingénierie. Là encore, la cybersécurité joue un rôle essentiel. Pour vous assurer que les exigences de sécurité sont intégrées au projet et ne sont pas une réflexion après coup, vous pouvez procéder à des évaluations des risques, à la modélisation des menaces et à des revues de conception.

Après cette étape, le système est prêt à être mis en œuvre. C'est là que le FAT et le SAT entrent en jeu. Le FAT/SAT ICS Cyber de Bureau Veritas Cybersecurity se concentre spécifiquement sur les étapes de vérification communes pendant la phase FAT/SAT régulière de chaque projet.

Plus tard dans le cycle de vie, pendant la phase d'exploitation et de maintenance, la cybersécurité devient une activité permanente. Cela permet d'accorder une attention continue aux processus de sécurité et à la posture de sécurité des actifs OT. Cela permet également de s'assurer que tous les risques digitaux restent acceptables. Les évaluations OT Risk Assessment, OT Site Assessment et OT Security Maturity Évaluation sont des outils importants pour déterminer ces risques.

Bureau Veritas Cybersecurity fournit tous les services mentionnés ci-dessus, spécifiquement adaptés à l'environnement OT et aux systèmes ICS, couvrant l'ensemble du cycle de vie du projet.

Fonctionnement d'une Revue de conception et de sécurité

Avec une Revue de conception et de sécurité, Bureau Veritas Cybersecurity peut vérifier que la conception et la configuration mises en œuvre sont conformes aux spécifications du projet. Si nécessaire, nous vérifions également la conformité aux normes industrielles telles que la norme IEC 62443.

L'architecture du réseau et sa configuration de sécurité sont examinées par rapport à l'architecture de référence du modèle Sécurisée, mais aussi par rapport aux meilleures pratiques de l'industrie telles que la micro segmentation et une conception zéro confiance. Bureau Veritas Cybersecurity examine également la configuration du réseau et du pare-feu, pour s'assurer que ces limites de segmentation sont efficaces.

Pour les actifs ICS individuels, tels que les postes de travail d'ingénierie (EWS), les interfaces homme-machine (HMI), les composants réseau et les contrôleurs industriels (par exemple DCS, PLC, RTU), nous examinons la posture de sécurité et vérifions qu'ils sont configurés conformément aux spécifications, aux meilleures pratiques et aux normes de l'industrie. Ces vérifications portent notamment sur le durcissement du système, les correctifs de sécurité, l'antivirus, les sauvegardes et les contrôles d'authentification et d'autorisation.

Le FAT serait le moment idéal pour effectuer les revues de conception et de sécurité. Cela laisserait plus de temps pour résoudre les éventuels problèmes de sécurité avant que l'équipement ne soit expédié sur le site. Si l'examen peut être effectué pendant le FAT, l'étendue de l'ASF peut être limitée. Dans ce cas, vous n'aurez qu'à retester les résultats antérieurs et à tester les équipements et les interfaces qui ne faisaient pas partie de la configuration du FAT.

Comment les évaluations des vulnérabilités et les tests d'intrusion (VA/PT) contribuent à renforcer la résilience.

Une évaluation des vulnérabilités et des tests de pénétration (VA/PT) pour les systèmes OT nécessite une approche spécialisée. Avec une évaluation des vulnérabilités, l'objectif est de trouver autant de vulnérabilités que possible en scannant et en examinant manuellement les systèmes, les périphériques réseau et les configurations des applications. En revanche, un test de pénétration est réalisé du point de vue d'un attaquant. Son objectif est d'exploiter ces vulnérabilités pour illustrer les conséquences de ces problèmes de sécurité sur la sécurité digitale de l'environnement. Les résultats de ces deux évaluations peuvent être utilisés pour résoudre les problèmes de sécurité potentiels avant que le système ne soit mis en production.

L'un des principaux avantages de la réalisation de ces tests dans le cadre du FAT et/ou du SAT est la possibilité d'effectuer des tests plus rigoureux. Il est communément admis que de nombreux systèmes ICS sont moins résistants aux analyses de vulnérabilité et qu'il est donc plus difficile d'effectuer ce type de tests lorsque le système est en production. Ces phases FAT et SAT sont donc le moment idéal pour effectuer une évaluation VA/PT approfondie. C'est également l'occasion idéale de vérifier si les contrôles défensifs et de surveillance ont été mis en œuvre de manière efficace.

Établissement du champ d'application de la VA/PT pendant le FAT/SAT

L'étendue de cette évaluation dépend des plans FAT et SAT existants. En général, il est impossible de mettre en place et de tester l'ensemble du système d'OT au cours d'un FAT. Les instruments de terrain, les machines lourdes, les progiciels de tiers, les systèmes existants et les connexions au réseau de l'entreprise ne font généralement pas partie du FAT. Il en va de même pour les connexions IoT potentielles, les applications cloud des fournisseurs, l'accès à distance sécurisé ou d'autres formes de connectivité entre les systèmes connectés au réseau informatique ou à internet. C'est pourquoi l'accent, pendant le FAT, est souvent mis sur les analyses de vulnérabilité et les tests d'intrusion des actifs applicables résidant dans les niveaux 1, 2 et 3 du FAT. Au cours du SAT, ces analyses peuvent être étendues à toutes les interfaces externes et inclure les actifs du niveau 0, la zone démilitarisée IT/OT et le réseau informatique de l'entreprise. Enfin, tout problème qui ne peut être résolu immédiatement dans le cadre du FAT peut faire l'objet d'un nouveau test pendant le SAT.

Résultat du Cyber FAT/SAT

Bureau Veritas Cybersecurity s'aligne si possible sur le processus FAT/SAT existant. Nous ajoutons nos conclusions à la liste des points à corriger. En fonction de la priorité, ces problèmes pourraient être résolus par le fournisseur et testés à nouveau pendant le FAT/SAT, tandis que Bureau Veritas Cybersecurity pourrait apporter son soutien en fournissant des recommandations.

Contactez-moi au sujet de l'OT Cyber FAT/SAT

Vous souhaitez en savoir plus sur l'OT Cyber FAT/SAT ? Veuillez remplir le formulaire ci-dessous et nous vous contacterons dans un délai d'un jour ouvrable.

Prénom

Nom de famille

Entreprise / Organisation

Numéro de téléphone

Pays

Comment pouvons-nous vous aider ?

J'autorise le traitement de mes données conformément à la politique de confidentialité et j'accepte les conditions générales.

J'accepte que Bureau Veritas Cybersecurity utilise ces données pour me fournir des informations supplémentaires sur ses services, événements ou sujets susceptibles de m'intéresser.

Services associés

Site Assessment

Découvrez nos services OT Site Assessment et protégez vos systèmes de contrôle industriel (ICS) des cybermenaces. Comprenez les risques et découvrez les améliorations à apporter conformément aux exigences de la norme IEC 62443. Sécurisez vos opérations dès aujourd'hui avec Bureau Veritas Cybersecurity.

Modélisation des menaces pour les Industrial Control Systems

Découvrez les cybermenaces potentielles pour vos Industrial Control Systems grâce au service de Modélisation des menaces de Secura, afin de mettre en œuvre de manière proactive des mesures de sécurité efficaces.

VAPT industrielle

VAPT, Évaluation des vulnérabilités / tests d'intrusion, permet de connaître la cyber-résilience de vos réseaux informatiques et OT. Les tests de cybersécurité dans les environnements industriels nécessitent une approche spécialisée en raison des différents risques et modèles de menaces au sein de l'OT. Nous le savons. Découvrez les différentes approches de VAPT dans le domaine de la technologie de l'information.

Services associés

Site Assessment

Modélisation des menaces pour les Industrial Control Systems

VAPT industrielle

Pourquoi choisir Bureau Veritas Cybersecurity

Bureau Veritas Cybersecurity est votre expert partner en cybersécurité. Nous aidons les organisations à identifier les risques, à renforcer leurs défenses et à se conformer aux normes et réglementations en matière de cybersécurité. Nos services couvrent les personnes, les processus et la technologie, allant de la formation à la sensibilisation et à l'ingénierie sociale aux conseils en matière de sécurité, de conformité et de tests d'intrusion.

Nous intervenons dans les environnements IT, OT et IoT, et accompagnons aussi bien les systèmes numériques que les produits connectés. Avec plus de 300 professionnels de la cybersécurité à travers le monde, nous combinons une expertise technique approfondie et une présence mondiale. Bureau Veritas Cybersecurity fait partie du Bureau Veritas Group, leader mondial de l'inspection, de la certification et des services aux entreprises.