OT Risk Assessment

> Services pour améliorer vos processus > OT Risk Assessment

Sécuriser votre environnement OT

À l'heure où la fréquence des cyberattaques contre les Operational Technology (OT) augmente, il est plus important que jamais de sécuriser l'environnement OT de votre organisation. Les adversaires utilisent diverses méthodes pour infiltrer les réseaux et causer toutes sortes de dommages financiers : soit directement en arrêtant ou en ralentissant la production, soit indirectement en volant et en vendant les secrets commerciaux de votre organisation.

Pour réduire les risques de cyberattaque, il convient d'identifier et de mettre en œuvre les contre-mesures possibles. Le fait de ne pas mettre en œuvre ces contre-mesures, ou de les mettre en œuvre de manière incorrecte, constitue un risque pour votre organisation.

En savoir plus sur OT Risk Assessment

  1. Pourquoi procéder à une Risk Assessment ?
  2. Pourquoi une OT Risk Assessment est-elle nécessaire ?
  3. En quoi consiste une OT Risk Assessment ?
  4. La méthodologie QAROT
  5. Les résultats d'une assessment

Pourquoi procéder à une "Risk Assessment" ?

Une évaluation des cyberrisques permet de déterminer de manière structurelle les cyberrisques présents dans votre environnement. Il n'est possible de comprendre l'efficacité des contre-mesures (existantes) qu'après avoir explicitement identifié ces risques. Il est alors possible de réfléchir à de nouvelles contre-mesures, si elles sont nécessaires, et à leur efficacité potentielle.

En outre, l'évaluation de la gravité des risques identifiés permet de décider des contre-mesures et de les classer par ordre de priorité, et de décider en connaissance de cause si les coûts de leur mise en œuvre sont en rapport avec les conséquences potentielles. En outre, une évaluation des risques permet d'obtenir une vue d'ensemble des forces et des faiblesses de votre organisation. Cette vue d'ensemble peut, à son tour, être utilisée pour améliorer la préparation en cas de cyberattaque ou pour prévenir une cyberattaque en remédiant aux faiblesses identifiées.

Pourquoi une OT Risk Assessment adaptée est-elle nécessaire ?

Contrairement aux technologies de l'information, les risques dans les environnements OT n'affectent pas seulement la confidentialité, l'intégrité et la disponibilité des données ou des processus, mais peuvent également avoir une incidence sur la fiabilité, les performances et la sécurité des installations. En outre, les différents types de Industrial Control Systems (ICS), tels que les PLC, les DCS et les systèmes SCADA, requièrent une attention particulière car ils constituent l'épine dorsale de tout environnement OT. Pour évaluer correctement les risques et proposer des contre-mesures dans ces environnements, il convient de tenir compte de ces différences.

En quoi consiste une OT Risk Assessment ?

Bureau Veritas Cybersecurity utilise sa propre méthodologie d'évaluation des risques basée sur les assets, appelée "Quantitatively Assessing Risk in Operational Technology" (QAROT). Cette méthodologie est conforme à la norme IEC 62443-3-2 et intègre les points forts de la norme ATTandCK de MITRE pour les ICS et de la norme ISO 31010. La combinaison de ces normes nous permet d'effectuer des assessments de risques qui vont au-delà de la simple conformité. En collaboration avec nos clients, nous définissons les niveaux de sécurité cibles requis par la norme CEI 62443-3-2, sur lesquels nous basons systématiquement les objectifs de l'assessment.

QAROT intègre d'autres normes de la famille IEC 62443, telles que -3-3 et -4-2, afin de fournir des conseils cohérents et exploitables basés sur les exigences de sécurité fondamentales que ces normes décrivent. En outre, QAROT utilise la base de données des cyberattaques technologiques opérationnelles (OTCAD) de Bureau Veritas Cybersecurity, accessible au public, lorsqu'il s'agit d'établir la gravité des risques identifiés.

La méthodologie QAROT

QAROT utilise une approche descendante pour identifier et évaluer les risques: il déduit les contre-mesures applicables en tenant compte de tous les assets dans un environnement OT. Ces contre-mesures sont basées sur ATTandCK pour ICS et sont combinées avec IEC 62443-3-3 et -4-2 pour évaluer objectivement leur mise en œuvre et leur efficacité au sein du système considéré. Cette combinaison permet à Bureau Veritas Cybersecurity d'identifier structurellement les lacunes potentielles et les risques qu'elles représentent.

L'assessment commence par la création d'un diagramme de zones et de conduits basé sur les plans du réseau et l'inventaire des assets de l'organisation. Le contenu du diagramme est discuté avec le client lors d'un atelier afin de s'assurer qu'il représente correctement l'environnement évalué. Au cours d'ateliers consécutifs, nous déterminons avec notre client l' impact des objectifs possibles de l'adversaire et nous établissons les niveaux de sécurité atteints par les contre-mesures existantes basées sur les assets et les zones/conduits.

Le résultat d'une OT Risk Assessment

Pour chacune des lacunes identifiées au cours de ces ateliers, Bureau Veritas Cybersecurity fournira des conseils adaptés et exploitables sur la manière d'y remédier. Grâce aux calculs exclusifs de QAROT, les risques identifiés sont notés et classés quantitativement, ce qui facilite la comparaison et l'établissement des priorités. De plus, en utilisant les exigences fondamentales de la norme IEC 62443, les mesures d'atténuation suffisamment mises en œuvre sont catégorisées afin que le client puisse rapidement voir la conformité dans les différents domaines de la cybersécurité. Nous fournissons ces aperçus, les risques identifiés, y compris nos recommandations, et un plan de suivi dans un rapport que nous présenterons lors d'une réunion de clôture.

Intéressé par une OT Risk Assessment dans votre entreprise ?

Vous souhaitez en savoir plus sur l'OT Risk Assessment de Bureau Veritas Cybersecurity ? Veuillez remplir le formulaire ci-dessous et nous vous contacterons dans un délai d'un jour ouvrable.

USP

Série de normes IEC 62443

Général

62443-1-1 Concept et modèles

Définit la terminologie, les concepts et les modèles de sécurité des Industrial Control Systems (IACS), qui sont utilisés tout au long de la série. En particulier, les sept exigences fondamentales (EF) sont définies.

62443-1-2 Glossaire principal des termes et abréviations

Inclut la définition des termes et acronymes utilisés dans les normes IEC 62443.

62443-1-3 Mesures de conformité de la sécurité des systèmes

Le présent document définit les mesures de conformité à la cybersécurité des systèmes hautement prioritaires pour un système industriel d'automatisation et de contrôle.

Politiques et procédures

62443-2-1 Établissement d'un programme de sécurité du SIGC

La présente norme précise les exigences du programme de sécurité du propriétaire des assets pour un SIGC et fournit des orientations sur la manière d'élaborer et de faire évoluer le programme de sécurité. Les éléments du programme de sécurité d'un SIGC décrits dans la présente norme définissent les capacités de sécurité requises qui s'appliquent à l'exploitation sécurisée d'un SIGC et sont principalement des politiques, des procédures, des pratiques et des éléments liés au personnel.

62443-2-2 IACS Niveaux de protection

Spécification d'un cadre et d'une méthodologie pour l'évaluation de la protection d'un SIGC sur la base de la notion de niveau de sécurité (technique) et de la maturité des processus qui y sont liés. Le concept de niveau de protection est une cote de sécurité de la combinaison des mesures techniques et organisationnelles et définit un indicateur de l'exhaustivité du programme de sécurité.

62443-2-3 Gestion des correctifs dans l'environnement du SIGC

Définit la gestion des correctifs dans l'environnement du SIGC. Plus précisément, il fournit un format défini pour l'échange d'informations sur les correctifs de sécurité entre les propriétaires d'assets et les fournisseurs de produits.

62443-2-4 Exigences applicables aux fournisseurs de services SIGC

Spécifie les exigences relatives aux capacités de sécurité des fournisseurs de services IACS qu'ils peuvent offrir au propriétaire d'actifs lors des activités d'intégration et de maintenance d'une solution d'automatisation.

62443-2-5 Guide de mise en œuvre pour les propriétaires d'assets du SIGC

Fournir des orientations aux assets owners pour la mise en œuvre d'un système de cyber security Management (CSMS) dans un IACS.

Système

62443-3-1 Technologies de sécurité pour les IACS

Fournit une évaluation actuelle des différents outils de cybersécurité, des contre-mesures d'atténuation et des technologies qui peuvent s'appliquer efficacement aux IACS modernes basés sur l'électronique.

62443-3-2 Risk Assessment et conception de systèmes de sécurité

Établit les exigences en matière d'assessment des risques et divise un SIGC en zones et en conduits. Elle comprend également les exigences relatives à l'évaluation détaillée des risques de chaque zone et conduit, et à l'attribution d'objectifs de niveau de sécurité (SL-T) en fonction de la menace et du risque.

62443-3-3 Exigences et niveaux de sécurité des systèmes

Fournit les exigences techniques détaillées des systèmes de contrôle (SR) associées aux sept exigences fondamentales (FR), y compris la définition des exigences relatives aux niveaux de sécurité des capacités des systèmes de contrôle.

Composants

62443-4-1 Exigences relatives au cycle de vie du développement de produits sécurisés

Spécifie les exigences de processus pour le développement sécurisé de produits utilisés dans l'automatisation industrielle et les systèmes de contrôle. Elle définit un cycle de vie de développement sécurisé afin de développer et de maintenir des produits sécurisés.

62443-4-2 Exigences de sécurité technique pour les composants du SIGC

Spécifié les exigences techniques en matière de cyber sécurité pour les composants, tels que les dispositifs embarqués, les composants réseau, les composants hôtes et les applications logicielles.

Services connexes

Revue de conception

Secura Design Review IT systems

Découvrez la Revue de conception de Bureau Veritas Cybersecurity, qui identifie de manière proactive les améliorations de sécurité dans vos conceptions informatiques afin de prévenir les violations de données et de garantir l'alignement sur les meilleures pratiques.

Formation à la modélisation des menaces

In company training course or open to public

Dans la formation Modélisation des menaces, vous apprendrez à obtenir une vue d'ensemble des risques potentiels à l'aide de la méthodologie STRIDE. Cette méthode fonctionne aussi bien pour les systèmes existants que pour les nouvelles conceptions.

Évaluation des vulnérabilités / test d'intrusion (VAPT)

VAPT banner

L'évaluation des vulnérabilités et les tests d'intrusion, ou pentusion, sont des moyens de découvrir les points faibles de la sécurité de votre site web, de votre application ou de votre infrastructure. Laissez les experts en cybersécurité de Bureau Veritas Cybersecurity vous aider.

Pourquoi choisir Bureau Veritas Cybersecurity


Bureau Veritas Cybersecurity est votre expert partner en cybersécurité. Nous aidons les organisations à identifier les risques, à renforcer leurs défenses et à se conformer aux normes et réglementations en matière de cybersécurité. Nos services couvrent les personnes, les processus et la technologie, allant de la formation à la sensibilisation et à l'ingénierie sociale aux conseils en matière de sécurité, de conformité et de tests d'intrusion.

Nous intervenons dans les environnements IT, OT et IoT, et accompagnons aussi bien les systèmes numériques que les produits connectés. Avec plus de 300 professionnels de la cybersécurité à travers le monde, nous combinons une expertise technique approfondie et une présence mondiale. Bureau Veritas Cybersecurity fait partie du Bureau Veritas Group, leader mondial de l'inspection, de la certification et des services aux entreprises.