Risques liés à la sécurité des technologies de l'information : Comment les évaluer et les traiter ?


OT security risks webinar

Le 4 juin 2020, nous avons organisé notre webinaire "OT Security Risks : Comment évaluer et traiter ? ", au cours duquel nos experts en sécurité André Slingerland et Mentor Emurlai ont discuté du paysage de la sécurité OT (technologie opérationnelle) et ont mis en évidence les 10 principales leçons tirées de l'OT Risk Assessment. Les participants ont posé de bonnes questions, que nous avons résumées ci-dessous sous forme de questions-réponses.

Si vous avez d'autres questions, veuillez contacter cybersecurity@bureauveritas.com.

Curieux de découvrir nos autres webinaires ? Visitez : https://cybersecurity.bureauveritas.com/webinars


QandA


Si vous avez encore des questions, veuillez contacter cybersecurity@bureauveritas.com.


Notre organisation possède plusieurs usines, comment gérez-vous cette situation lors de l'évaluation des risques ?

Dans l'idéal, chaque usine est évaluée séparément, mais en règle générale, l'évaluation de plusieurs usines prend plus de temps. Dans certains cas, plusieurs usines différentes sont dirigées et gérées de manière centralisée. À tout moment, les détails et les spécificités de l'approche sont discutés avec le client. Une partie de l'OT Risk Assessment consiste en une visite des unités de traitement et des zones en fonction de leur criticité. Par exemple, nous aimerions voir les règles de pare-feu, les diagrammes, les PFD et les PHA, les postes de travail et la configuration, etc.


Secura utilise-t-elle les contrôles IEC62443 pour l'audit et existe-t-il une correspondance avec les contrôles BIO (baseline informationsecurity overheid) ?

Les risques identifiés lors de l'évaluation des risques peuvent être liés à chacune des exigences fondamentales de la norme IEC 62443 et aux contrôles spécifiques de la norme IEC 62443. Comme pour la norme IEC 62443, une correspondance peut être établie avec les contrôles de l'IOB si le client le demande. En outre, des correspondances similaires peuvent être établies avec les contrôles du cadre de cybersécurité du NIST.


Comment les dispositifs propriétaires sont-ils contrôlés pour vérifier l'état de la mise à jour du logiciel ?

Dans l'assessment Risk, nous avons un domaine séparé qui est la visibilité et le contrôle ICS. Nous y vérifions si l'inventaire des assets est complet. L'inventaire des assets doit préciser des éléments d'information tels que l'emplacement physique des assets, les interfaces de connectivité exposées, la criticité des assets, l'état de la mise à jour des logiciels, etc. Nous procédons également à plusieurs échantillonnages pour vérifier si les dispositifs (propriétaires) sont à jour et s'ils sont vulnérables.

Pouvez-vous nous donner une estimation de la durée d'une évaluation des risques et de son fonctionnement ?

Une évaluation des risques dépend en grande partie de la taille du site à évaluer. Un petit site peut prendre de 1 à 2 jours, tandis qu'un site plus important peut prendre de 3 à 5 jours. La méthode consiste à définir, avec le client, le champ d'application de l'évaluation, y compris la manière dont la visite sera effectuée sur le site et le personnel clé qui sera interrogé. En général, l'assessment des risques se concentre sur les sous-systèmes et les réseaux critiques.

Comment procédez-vous à l'évaluation des risques liés aux bâtiments ?

Nous procédons de la même manière que pour n'importe quel autre site. La méthodologie que nous suivons pour réaliser les évaluations des risques permet d'évaluer différents types de sites/bâtiments. Certains domaines peuvent être plus ou moins pertinents.

Pouvez-vous nous donner un exemple intéressant de cybermenace inattendue ?

Il y a plusieurs cybermenaces intéressantes à énumérer, car elles dépendent principalement du site qui fait l'objet de l'assessment. Par exemple, un grand site était partagé entre plusieurs entreprises rivales, ce qui a entraîné des menaces supplémentaires qui n'auraient normalement pas existé si le site n'avait pas été partagé. Dans ce cas, si vous n'avez pas pris les mesures adéquates, l'entreprise peut être exposée à des menaces émanant de tiers, par exemple des sous-traitants pour lesquels il est difficile de distinguer qui est qui, à des interfaces exposées à l'extérieur qui donnent un accès direct au réseau, ce qui facilite l'infiltration de logiciels malveillants via des supports amovibles et du matériel externe, et à la possibilité d'utiliser des dispositifs malveillants qui passent inaperçus.

Pouvez-vous nous donner un exemple intéressant de cybermenace inattendue ?

Les preuves d'entrée sont recueillies de préférence au préalable auprès du client. Il peut s'agir de plusieurs documents tels que des diagrammes de réseau, un plan de masse, une liste ou au moins le nombre total d'actifs et de processus critiques, une copie de laboratoire des actifs critiques (contrôleur de sécurité) et d'autres informations pertinentes. En général, des informations couvrant tous les niveaux de Purdue sont souhaitées. Au cours de l'OT Risk Assessment elle-même, des éléments d'information supplémentaires peuvent être recueillis, par exemple le trafic réseau passif est collecté à partir de commutateurs dotés de capacités de mise en miroir des ports (par le client uniquement). Il n'y a donc pas de balayage actif.


Si vous avez d'autres questions, Contactez-nous à l'adresse cybersecurity@bureauveritas.com.