Dans un monde où la connectivité est omniprésente, l’équipement de confiance est l’épine dorsale des environnements réseau sécuritaires. Mais à mesure que plus de fabricants et d’industries construisent et déploient des dispositifs intelligents d’Internet des objets industriels (IIoT), la sécurité et la sûreté des systèmes fournissant des opérations essentielles deviennent plus importantes et plus difficiles à gérer. Ces complexités sont dues, en partie, à l’absence d’une norme mondiale universellement acceptée en matière de cybersécurité et d’un schéma d’évaluation de la conformité conçus pour valider les produits connectés.
De nos jours, des pays partout dans le monde élaborent des exigences sans tenir compte de la conformité mondiale. Cet écart de conformité fait en sorte qu’il est difficile pour les fabricants de déterminer les normes auxquelles ils doivent se conformer et construire, en particulier lorsque les produits sont fabriqués et vendus partout dans le monde. Sachant cela, je crois que les partenaires de l’industrie et les organismes de normalisation doivent prendre des mesures proactives pour codifier les attentes en matière de sécurité et les meilleures pratiques pour les écosystèmes IIoT. Cela permettra de s’assurer que la sécurité est constamment intégrée aux produits et, en fin de compte, permettre aux entreprises d’économiser des milliards de dollars en conception de systèmes et en coûts de recouvrement après une cyberattaque.
Grâce à l’intégration des dispositifs IIoT dans les systèmes et les solutions existants, les infrastructures essentielles et autres réseaux de systèmes de contrôle industriels deviennent de plus en plus la cible de cyberattaques qui sont de plus en plus difficiles à atténuer. Aujourd’hui, la perte globale causée par le crime de cybersécurité est estimée à 600 milliards de dollars1, soit 0,8 % du PIB mondial. Plusieurs incidents survenus au cours des dernières années se sont manifestés par une série de graves atteintes à la sécurité qui ont attiré l’attention partout dans le monde, y compris l’« Industoyer » de 2015 ou le « Crash Override », un logiciel malveillant qui a entraîné une panne du réseau électrique ukrainien et des attaques massives de réseau de zombies Mirai en 2016, qui ont compromis les caméras de sécurité et les routeurs IdO afin de lancer plusieurs attaques par déni de service distribué.
Les caractéristiques uniques des technologies IIoT posent des défis techniques et économiques. Du point de vue technique, les dispositifs IIoT ont des capacités de calcul et de stockage limitées. Ils ne sont pas conçus pour prendre en charge des mesures de sécurité efficaces comme le chiffrement avancé ou la gestion des vulnérabilités et des correctifs. La solution à ce défi nécessite le développement d’algorithmes cryptographiques légers et de modèles commerciaux qui permettent des mises à niveau plus rapides des produits IIoT et la conception de systèmes pour prendre en charge les mises à niveau de micrologiciels en direct. À mon avis, la sécurité d’un réseau ou d’un système est seulement aussi forte que son maillon le plus faible. Les organisations doivent utiliser l’hygiène de base en matière de cybersécurité et analyser continuellement les menaces émergentes pour s’assurer que les systèmes se déploient en toute sécurité. De plus, les entreprises doivent dresser l’inventaire de tout ce qui est connecté à leurs réseaux et utiliser un modèle de confiance zéro. Cela nécessitera un partenariat et une collaboration avec des fournisseurs de confiance afin d’identifier les menaces.
Bien que les solutions que je mentionne soient réalisables, un manque de normes mondiales harmonisées de produits pour la sécurité de l’IIoT ralentit considérablement l’adoption et le déploiement de ces options. Des normes, des lignes directrices et des réglementations en matière de cybersécurité non coordonnées provenant de diverses entités partout dans le monde font en sorte que l’harmonisation des exigences universelles en matière de cybersécurité au niveau du système IIoT pour les fabricants est difficile, voire impossible. De nombreux pays et gouvernements locaux ainsi que de nombreuses régions développent leurs propres pratiques exemplaires et normes en matière de cybersécurité pour les dispositifs et les infrastructures essentielles de l’IIoT, ce qui entraîne un manque de parité. Dans de nombreux cas, ces organismes gouvernementaux ne possèdent pas l’expertise nécessaire pour prendre en compte les complexités des dispositifs IIoT et de leur application.
De plus, les normes et les exigences en matière de cybersécurité sont fortement fragmentées par région et par pays, car les gouvernements ont commencé à réglementer les technologies IIoT de façon très différente et parfois conflictuelle. Cela crée des défis pour les fabricants et les intégrateurs de systèmes qui tentent de construire et de déployer des services pour un marché mondial.
Les organismes industriels et de normalisation doivent soutenir les schémas d’évaluation de la conformité appropriés pour aider à valider les exigences mondiales pour les produits et les systèmes afin de résoudre les complexités de la conformité aux exigences multiples de différents pays et différentes régions.
Je crois fermement que les organismes de normalisation peuvent mener l’élaboration de normes mondiales de cybersécurité de l’Internet industriel des objets (IIoT), y compris des schémas d’évaluation de la conformité appropriés. Les normes mondiales ouvriront également la voie à des partenariats commerciaux et universitaires; ces relations contribueront à bâtir un bassin de talents plus fort nécessaire pour répondre à la pénurie de main-d’œuvre qualifiée en cybersécurité et en particulier en IIoT.
Je crois fermement que les organismes de normalisation peuvent mener l’élaboration de normes mondiales de cybersécurité de l’Internet industriel des objets (IIoT), y compris des schémas d’évaluation de la conformité appropriés.
Le défi qui nous attend est de susciter un dialogue accru entre les organismes de normalisation en éduquant les fabricants, les fournisseurs et les consommateurs de l’IIoT sur les risques associés aux produits et aux solutions non sécurisés. Bien que je crois que les organismes de normalisation peuvent aider à orienter les conversations sur la cybersécurité, cette dernière est un effort de collaboration, et la collaboration prend du temps, surtout dans les secteurs plus lents à réagir aux progrès technologiques.
Alors que les industries commencent lentement à faire avancer la cybersécurité, les propriétaires d’entreprises et les gestionnaires d’installations peuvent prendre des mesures aujourd’hui pour réduire les risques de cybersécurité dans les systèmes et les réseaux :
Intégrer la cybersécurité dans la conception et le développement de produits
La sécurité est un processus continu. La complexité des produits, les scénarios et les technologies en matière de menaces évoluent, il est donc essentiel de mettre en place des protocoles pour chaque phase du cycle de vie du développement du produit, de la modélisation des menaces à l’analyse des exigences, en passant par la vérification et l’entretien continu. Ces procédures aident les organisations à repérer les menaces émergentes, à identifier les moyens de se défendre contre celles-ci et à aider les clients à maximiser l’efficacité, la fiabilité et la sécurité. Le processus de Cycle de développement sécuritaire (SDLC) d’Eaton est un excellent exemple d’un modèle où la sécurité est intégrée à chaque phase du développement de produit.
Mettre en œuvre les principes de prévention de base en matière de cybersécurité sur les réseaux
Les principes de prévention de base en matière de cybersécurité garantissent le maintien d’un inventaire à jour des actifs et permettent de savoir ce qui est connecté à un réseau. Ils doivent inclure les actifs physiques et les données, l’application de correctifs lorsque des vulnérabilités sont découvertes, l’assurance de politiques de contrôle d’accès solides et la surveillance continue des journaux et des systèmes pour détecter les comportements anormaux. Les organisations doivent également planifier une série de mises à jour en matière de cybersécurité en fonction de leurs évaluations du niveau de risque effectuées sur chaque correctif de sécurité.
Collaborer avec des organisations tierces compétentes
Le développement de procédures strictes à chaque étape du développement de produits aide à établir des critères mesurables de cybersécurité pour les produits et les systèmes connectés au réseau. Les partenariats avec des tiers de confiance peuvent aider les organisations à renforcer leurs pratiques exemplaires en matière de cybersécurité, car ces institutions créent souvent des lignes directrices largement acceptées dans la communauté internationale. Notre collaboration avec UL est un modèle fonctionnel, car Eaton teste désormais des produits avec intelligence ou une logique intégrée selon des aspects clés des normes UL 2900-1 et IEC 62443, qui exigent des protocoles de test obligatoires pour les vulnérabilités, les faiblesses logicielles et les logiciels malveillants.
Les fabricants ne peuvent plus se permettre d’opérer selon des normes de sécurité différentes. Les cybercriminels et les technologies qu’ils utilisent continuent d’évoluer et les différentes normes ne sont pas suffisamment uniformes pour lutter contre les plus récentes menaces.
Le moment est venu de mener une évaluation mondiale de la conformité en matière de cybersécurité dans tous les secteurs. Les industries et les organismes de normalisation du monde entier doivent accélérer le dialogue nécessaire pour relever les défis actuels en matière de cybersécurité et suivre le rythme des technologies changeantes avant qu’il ne soit trop tard pour rattraper le retard.
Références
1, 2 – Lau, Lynette (février 2018). Cybercrime « pandemic » may have cost the world $600 billion last year. (La pandémie de cybercriminalité a peut-être coûté 600 milliards de dollars au monde l’année dernière.) Extrait de : https://www.csis.org/analysis/economic-impact-cybercrime.
Envoyer un courriel
