Depuis le 7 mai 2019, la liste des municipalités infectées, puis paralysées par un logiciel malveillant ne cesse de s’allonger. Après Baltimore et Riviera Beach, le virus informatique a frappé les villes de Zaventem (Belgique) et de Sarrebourg (France). À l’origine de ces attaques, la faille humaine.

À force de devenir «smart», les villes sont-elles armées contre les cyberattaques? La question peut paraître provocatrice, mais elle est légitime. Depuis le 7 mai 2019, la liste des municipalités infectées, puis paralysées par un logiciel malveillant ne cesse de s’allonger. Au point que les experts en sécurité informatique parlent d’épidémie. C’est à Baltimore que lefoyer infectieux est localisé pour la première fois. Au début du mois de mai donc, la ville de la côte est des Etats-Unis apprend sa contamination par un virus informatiquequi paralyse plus de 10’000 ordinateurs municipaux pendant plusieurs semaines. 

Plus de 18 millions de dommages

Baptisé «Robin des Bois», ce virus est capable d’extorquer les utilisateurs en bloquant partiellement leur ordinateur ou smartphone. Il s’appuie sur un outil (Eternal Blue) développé par l’Agence de renseignements américaine (NSA) permettant d’exploiter une faille des systèmes d’exploitation Windows XP et Vista. Mais à quelle fin avec quelles conséquences? À Baltimore, ce sont ainsi plusieurs milliers d’ordinateurs municipaux qui ont été bloqués. Tous contenaient des informations sensibles pour le bon fonctionnement et la sécurité de la ville: messagerie électronique des employés de la mairie, fichiers de travail, données liées aux caméras de surveillance. Selon Henry Raymond, le directeur des finances de la ville, les dommages s’élèvent à plus de 18 millions de dollars. 

La faille humaine

Les cybercriminels identifiés derrière le groupuscule Shadow Brokers ont exigé une rançon de 13 bitcoins – environ 140’000 dollars au cours actuel – à Baltimore afin de lui redonner l’accès à ses informations et services. La ville n’a pas plié, mais le virus s’est démultiplié faisant de nouvelles victimes aux Etats-Unis. Parmi elles, Riviera Beach. Le 29 mai 2019, cette ville de Floride subit les mêmes assauts que Baltimore après qu’un agent de la police municipale ouvre un courriel d’hameçonnage contenant le logiciel malveillant. Riviera Beach a cédé et versé les 600’000 dollars de rançon. Selon le Washington Post, les villes américaines ont subi plus de 170 cyberattaques de ce type depuis 2013, dont une cinquantaine ces deux dernières années.

Le virus touche l’Europe

Puis c’est au tour de l’Europe d’être frappée par l’épidémie. Début juin, la ville de Zaventem, près de Bruxelles est attaquée. Le virus cible tout particulièrement l’équipementier aéronautique Asco. Il paralyse non seulement le siège de l’entreprise, mais également ses filiales au Canada, aux Etats-Unis et en Allemagne. Plus de 1000 employés sont toujours au chômage technique plusieurs semaines après l’attaque. Dans la nuit du 5 au 6 juin 2019, c’est la ville française de Sarrebourg, en Moselle, de se voir rançonner 55’000 euros pour le retour à la normale de ses services municipaux. 

Vers une recrudescence des cyberattaques

Comment interpréter cette vague mondiale de cyberattaques contre les municipalités? Celles-ci ont-elles failli dans la sécurité de leurs systèmes d’information? Faut-il craindre à l’avenir une recrudescence des cas de piratage? Comment s’en prémunir? Selon Gilles Peter, expert suisse au sein de la société Kaspersky et membre du comité de Clusis, ce n’est qu’un début: «Nous allons connaître une recrudescence du nombre et de la puissance de ces cyberattaques. Cela ne fait aucun doute. Aussi longtemps que l’on n’aura pas pris en compte l’aspect humain, il sera difficile de se protéger.» Tous les acteurs de la sécurité doivent donc discuter, s’organiser, former et sensibiliser les entreprises et leurs collaborateurs. «D’ailleurs, la Suisse n’est pas épargnée. La question n’est pas savoir si cela va arriver, mais quand.»

Les vulnérabilités des chaînes logistiques en font des cibles de choix pour les cyberattaques,
par Morand Fachot, Rédacteur technique à la Commission électrotechnique internationale (IEC). A travaillé auparavant comme journaliste à la BBC, a écrit également pour le Financial Times Business Group et plusieurs publications internationales sur les questions géopolitiques, de sécurité et technologiques (défense, renseignement et audiovisuel).

Comme jusqu’à 80% des cyberattaques peuvent provenir de chaînes logistiques, la protection de celles-ci est une priorité absolue pour toutes les organisations. Les actifs industriels et d’infrastructure critique sont les plus exposés. La Commission électrotechnique internationale (IEC) a développé de nombreuses normes pour cela. Elle travaille également sur l’évaluation de la conformité (CA) et sur les systèmes de certification mondiaux par le biais de groupes de travail (WG) mis en place par son Comité d’évaluation de la conformitéii (CAB) et par le Comité de gestion de la certification (CMC) de IECEEiii, le système IEC pour les procédés d’évaluation des équipements et composants. Les deux devraient permettre de mieux protéger les chaînes d’approvisionnement.

Les infrastructures critiques importent plus

L’impact global et la gravité des cyberattaques varient selon les cibles. Celles visant les entreprises et l’industrie peuvent avoir des conséquences désastreuses pour les firmes touchées, et parfois pour la société. Elles peuvent même conduire à la fermeture de certaines entreprises ou industries. Cependant, les cybermenaces les plus graves au niveau des pays concernent les infrastructures critiques, qui rassemblent les actifs et systèmes essentiels au fonctionnement de la société et de l’économie d’un pays. Ces infrastructures critiques comprennent des secteurs essentiellement similaires dans de nombreux pays. Les dommages causés à l’une d’elles peuvent avoir de graves conséquences pour l’ensemble d’une société.

La chaîne logistique, un concept la fois flexible et complet

ISO/IEC 27036-1:iv Technologies de l’information – Techniques de sécurité – Sécurité d’information pour la relation avec le fournisseur – Partie 1: Aperçu général et concepts, la norme développée conjointement par l’Organisation internationale de normalisation (ISO) et l’IEC, donne une définition très complète de la chaîne d’approvisionnement dans le domaine des Technologies de l’information et de la communication (TIC). Elle se compose, selon cette norme, d’un “ensemble d’organisations partageant des ressources et des processus liés, chacune agissant en tant qu’acquéreur, fournisseur ou les deux afin de créer des relations de fournisseur successives établies dès la passation d’un bon de commande, d’un accord ou de toute autre procédure formelle d’approvisionnement (…)

Une définition de la chaîne logistique pour actifs industriels et autres, tels que réseaux de distribution électriques, systèmes de transport, fabrication intelligente (Smart manufacturing), etc. serait plus complète et complexe, car elle engloberait non seulement les TIC, mais également la chaîne d’approvisionnement des technologies opérationnelles (OT), les personnes (développeurs, fournisseurs, installateurs, personnel travaillant sur OT), les processus ainsi que les produits, c’est-à-dire les composants et systèmes essentiels pour OT, tels les systèmes de contrôle et d’automatisation industriels (IACS) et, de plus en plus, l’Internet des objets (IoT). La numérisation dans tous les secteurs industriels signifie davantage de vulnérabilités pour les chaînes logistiques industrielles.

Différents secteurs et activités confrontés à des défis similaires

Une conférence sur la gestion des cyberrisques pour infrastructures critiques, organisée par le Financial Times à Londres en juin 2018, a tenu une session-débat sur la sécurisation de la chaîne logistique critique. Parmi les participants figuraient des responsables de la sécurité de l’information (RSSI) et des responsables de l’information des industries aéronautique et de l’énergie, lesquels ont expliqué la gestion de leur chaîne logistique et de leurs fournisseurs. Ils ont décrit les défis auxquels ils sont confrontés et les solutions qu’ils déploient pour y faire face, tout en gardant à l’esprit que la sécurité constitue également une préoccupation majeure pour eux. Kevin Jones, responsable de l’architecture cybersécurité chez Airbus, a expliqué qu’Airbus avait trois domaines d’activité principaux: la production d’avions commerciaux, d’hélicoptères et d’équipements de défense. “Cela implique un nombre important de fournisseurs à un moment où Airbus évolue, à l’instar de nombreux autres fabricants suite à un vaste programme de transformation”, a déclaré Jones.

Afin de protéger sa chaîne logistique, Airbus a mis en place un certain nombre de mesures, notamment un accès à distance sécurisé pour ses fournisseurs et un certain degré de compartimentalisation des accès, un audit complet des installations de production d’Airbus et de ses fournisseurs ainsi que l’identification des vulnérabilités. Les fournisseurs sont contraints de revoir leur processus et s’assurer que ceux-ci respectent les normes d’Airbus.

En ce qui concerne le développement de codes informatiques pour les environnements de sécurité, Airbus dispose d’équipes internes composées d’experts en rétro-ingénierie de codes et en évaluation de la fiabilité. “Nous investissons beaucoup d’argent, de temps et d’efforts pour nous assurer que notre code est bien validé. Comme toute grande entreprise, nous avons une chaîne logistique très complexe et très étendue et la façon dont nous la traitons dépend en grande partie des risques que cette chaîne pose pour notre entreprise”, a-t-il ajouté.

Peter Merker, RSSI de Skyguide, qui fournit des services de gestion du trafic aérien pour la Suisse et certaines régions limitrophes des pays voisins, a expliqué que l’ensemble du secteur de contrôle du trafic aérien était en profonde transformation technologique liée à la numérisation. Cette transformation numérique signifie l’abandon d’un ensemble d’équipements d’une durée de vie de plus de 20 ans au profit de systèmes issus de l’environnement informatique et de “l’introduction de logiciels commerciaux standards dès que cela est possible, en raison de pression sur les coûts et de la flexibilité. L’ensemble du système de contrôle de la navigation aérienne est géré de manière centralisée et de plus en plus intégré sur le continent au sein d’Eurocontrol, ce qui signifie que la transformation numérique et la manière dont le secteur du contrôle du trafic aérien utilise les fournisseurs se produisent partout,” a indiqué Merker “Skyguide achète des logiciels directement. Nous examinons les aspects contractuels lors de la révision du code source, ce qui est nouveau pour nous puisque nous avons développé les codes nous-mêmes.” Skyguide est propriétaire de SkySoft, une entreprise de développement de logiciels spécialisée dans les systèmes de gestion du contrôle du trafic aérien. “Nous gérons ce que nous développons nous-mêmes et ce que nous achetons sur le marché”, a déclaré Merker.

Dexter Casey, RSSI du groupe Centrica, multinationale britannique de l’énergie et des services, a expliqué que Centrica avait deux divisions principales, la première, British Gas, pour l’énergie [gaz et électricité] “dispose d’équipements très importants, de plates-formes et de stations pour le gaz. La deuxième division de Centrica, Connected Home, est une société IoT, “qui connaît également des problèmes similaires en ce qui concerne les puces et les jeux de puces (chipsets) provenant d’un seul fournisseur. Il est extrêmement difficile, contractuellement, de demander aux fournisseurs de modifier la configuration ou de rendre ces composants uniques”, a déclaré Casey, ajoutant que Centrica comptait plus de 30 000 fournisseurs et une équipe d’environ 15 employés chargés de passer en revue les contrats et d’effectuer les évaluations de sécurité. “Ce que Centrica doit faire, c’est concentrer ses efforts sur les 100 à 200 fournisseurs qui ont un impact déterminant sur la prestation de ses services”, a-t-il expliqué.

Plusieurs intervenants ont évoqué les risques liés aux “attaques de points d’eau”, dans lesquelles des programmes malveillants sont implantés sur certains sites web de fournisseurs susceptibles d’être visités par les organisations ciblées. La chaîne d’approvisionnement en logiciels est une cible attrayante pour les attaquants. Un rapportvi du centre national de contre-espionnage et de sécurité (NCSC) des États-Unis, publié en juillet 2018, avertit que “l’infiltration de la chaîne d’approvisionnement en logiciels menace déjà le secteur des infrastructures critiques et est sur le point de menacer d’autres secteurs”. Tous les intervenants ont convenu qu’ils étaient confrontés à des problèmes similaires, car les infrastructures et les processus reposaient de plus en plus sur les technologies de l’information et opérationnelles (IT et OT), rendant la gestion des chaînes logistiques bien plus complexe qu’avant, lorsque la numérisation était moins répandue et que les cybermenaces n’étaient pas un problème.

Impact croissant de la conformité et de la certification sur la cybersécurité

Les activités étendues de l’IEC dans le domaine de la cybersécurité comprennent les normes, les exigences techniques et les spécifications et, de plus en plus, les certificats de conformité et la certification. Outre la famille de normes ISO/IEC 27000vii pour la gestion des services informatiques et la série de publications horizontales IEC 62443viii Réseaux industriels de communication sur les réseaux de communication industriels (IACS), relatives à de nombreux domaines, plusieurs comités techniques et sous-comités d’études de l’IEC (SC) ont élaboré des normes, spécifications techniques et exigences spécifiques pour certains secteurs.

Le CAB de l’IEC a mis en place le groupe de travail CAB WG 17ix: Cyber security. Les tâches de ce WG consistent notamment à examiner les besoins du marché et le calendrier des services de CA pour les produits, services, personnel et systèmes intégrés dans le domaine de la cybersécurité. Cependant, ils excluent le champ d’application des applications d’automatisation industrielle couvertes par IECEE CMC WG 31x: Cyber security. Le WG 17 du CAB communique également aux autres secteurs de l’industrie l’approche en matière de cyber sécurité adoptée par l’IECEE CMC WG 31 et la manière dont elle peut s’appliquer à ces autres secteurs.

La tâche principale de l’IECEE CMC WG 31 est de “créer une approche unique de la série IEC 62443 pour l’évaluation de la conformité.” Pour ce faire, il a préparé un document opérationnel, OD-2061xi, publié en juin 2018, qui décrit comment gérer l’évaluation de la conformité et son application à certaines normes de la série IEC 62443.

De plus, ce document opérationnel explique dans quelles conditions les certificats de conformité IECEE en matière de compétence en cyber sécurité industrielle peuvent être délivrés. Ceux-ci ne sont valables que lorsqu’ils sont “signés par un laboratoire d’essais agréé par un organisme de certification (CB) reconnu et annexés à un certificat délivré par un CB national (NCB)”.

Ces certificats sont actuellement définis pour un ensemble d’évaluations concernant produit, processus, applications de capacités du produit, des processus et de mise en oeuvre de solutions, chacune de ces évaluations s’appliquant à une ou plusieurs normes de la série IEC 62443.

Conjointement avec les normes de cybersécurité de l’IEC, l’introduction récente de systèmes complets de certification et d’évaluation de la conformité devrait permettre de mieux protéger les systèmes reposant sur les réseaux de communication industriels et le système IACS, y compris les chaînes logistiques, contre les cybermenaces.

Sources et lexique:

Les réseaux de distribution électrique font partie des infrastructures critiques les plus vulnérables aux cyberattaques

Didier Giarratano : Responsable de la plateforme cybersécurité de Schneider Electric. M.Giarratino est également membre du Certification Management Committee (CMC) du Système d’évaluation de la conformité pour équipements et composants électrotechniques (IECEE), et membre du Groupe de travail (WG 17) sur la cybersécurité de l’IEC Conformity Assessment Board

Défis émergents

Le besoin pressant d’améliorer la disponibilité de l’infrastructure de distribution d’énergie contraint à un changement exigeant un réseau de distribution électrique moderne automatisé. Alors que la demande d’activités numérisées, connectées et intégrées augmente dans tous les secteurs, le défi des services publics est de fournir de manière fiable une énergie reposant sur l’efficacité et la durabilité des sources. Cependant, à mesure que les réseaux de distribution électrique fusionnent et deviennent plus intelligents, les avantages d’une connectivité améliorée entraînent également des risques croissants en matière de cybersécurité, menaçant ainsi de ralentir le progrès. En Europe, les systèmes de distribution électrique ont été conçus à l’origine pour une production centralisée d’énergie et des demandes relativement statiques – et non pas pour gérer des niveaux de consommation ou une complexité en constante évolution. Nous entrons maintenant dans un nouveau modèle énergétique, avec une production plus décentralisée, des sources renouvelables intermittentes (d’origine solaire ou éolienne), un flux d’énergie décarbonisée bidirectionnel et un engagement croissant des consommateurs du côté de la demande.

Modèle décentralisé

Le réseau de distribution électrique est en train de passer à un modèle plus décentralisé offrant davantage de possibilités aux consommateurs et aux entreprises pour intégrer davantage des énergies renouvelables et d’autres sources d’énergie. Par conséquent, les prochaines décennies verront un nouveau type de consommateur d’énergie, capable de gérer production et consommation de manière à réduire les coûts, renforcer la fiabilité et la pérennité selon leurs besoins spécifiques.

L’augmentation de l’énergie distribuée augmente la complexité du réseau. Elle fait évoluer le secteur d’une chaîne de valeur de type traditionnel vers un environnement plus collaboratif dans lequel les clients se connectent de manière dynamique au réseau de distribution, aux fournisseurs d’énergie et au marché de l’énergie. Les technologies et les modèles commerciaux devront évoluer pour que le secteur de l’énergie puisse survivre et prospérer.

La nouvelle grille sera considérablement plus numérisée, flexible et dynamique. Elle sera de plus en plus connectée, avec de plus grandes exigences de performance dans un monde où l’électricité occupe une place plus importante dans l’offre énergétique globale. De nouveaux acteurs seront impliqués dans l’écosystème de l’énergie, tels les gestionnaires de réseaux de transport et de réseaux de distribution, les opérateurs de production décentralisée, les agrégateurs et les prosommateurs.

Régulation et conformité

Le déploiement de la cybersécurité vise à respecter les normes et à se conformer à la réglementation. Cette approche profite à l’industrie en sensibilisant davantage aux risques et aux défis associés aux cyberattaques. Au fur et à mesure que le réseau électrique évolue en complexité, avec l’intégration des ressources distribuées et l’automatisation, une nouvelle approche s’impose, axée sur la gestion des risques. À l’heure actuelle, les parties prenantes des services publics appliquent des processus de cybersécurité appris de leurs homologues des technologies de l’information (IT), ce qui les accroit les risques. Dans l’environnement de la sous-station, les dispositifs propriétaires autrefois dédiés à des applications spécialisées sont désormais vulnérables. Les informations sensibles disponibles en ligne décrivant le fonctionnement de ces dispositifs périphériques sont accessibles à tous, y compris à des acteurs malintentionnés. Ceux-ci, possédant les compétences nécessaires, peuvent pirater un service public et détériorer les réseaux de distribution électrique. Ce faisant, ils mettent également en péril l’économie et la sécurité d’un pays ou d’une région desservis par ces réseaux. Les régulateurs ont anticipé le besoin d’une approche structurée de la cybersécurité. Aux États-Unis, les exigences relatives à la protection des infrastructures critiques de la North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP) définissent les éléments nécessaires à la protection du système électrique. Le programme européen de protection des infrastructures critiques (EPCIP) fait à peu près la même chose en Europe. Chaque jour, nous faisons face à de nouvelles attaques complexes, dont certaines sont organisées par des acteurs étatiques, ce qui conduit à une réévaluation de celles-ci et de l’approche de sécurité globale du secteur.

Intégration IT – OT

En raison de la transition vers des technologies et protocoles de communication informatiques ouverts, tels Ethernet et IP (internet protocol), les systèmes gérant les infrastructures critiques sont devenus de plus en plus vulnérables. Lorsque les exploitants d’infrastructures critiques cherchent à sécuriser leurs systèmes, ils se tournent souvent vers des pratiques de cybersécurité plus matures. Cependant, l’approche informatique en matière de cybersécurité n’est pas toujours appropriée, compte tenu des contraintes opérationnelles auxquelles les entités de services publiques sont confrontées. Ces différences d’approche impliquent que les solutions de cybersécurité et l’expertise reposant sur le domaine informatique soient souvent inadaptées pour les applications de technologie opérationnelle (OT). Les attaques sophistiquées réussissent aujourd’hui à tirer parti de services associés tels informatique et télécommunications. À mesure que les services publics font face à la convergence IT-OT, il devient nécessaire de former des équipes multidisciplinaires afin de relever les défis uniques liés à la sécurisation d’une technologie couvrant IT et OT.

La protection contre les cybermenaces nécessite désormais une activité plus étendue couvrantplusieurs domaines, les ingénieurs, les spécialistes en informatique et les responsables de la sécurité étant tenus de partager leur expertise pour identifier les problèmes et les attaques pouvant affecter leurs systèmes.

Une approche en quatre points

Les experts en cybersécurité conviennent que les normes en elles-mêmes n’apportent pas le niveau de sécurité approprié. Il ne s’agit pas d’atteindre un état de cybersécurité. Une protection adéquate contre les cybermenaces nécessite un ensemble complet de mesures, de processus et de moyens techniques, ainsi qu’une organisation adaptée. Il est important que les services publics réfléchissent à la manière dont les stratégies de cybersécurité des organisations évolueront avec le temps. Il s’agit de rester au courant des menaces connues de manière organisée et itérative. Assurer une défense efficace contre les cyberattaques est un processus continu qui nécessite des efforts soutenus et un investissement annuel récurrent. La cybersécurité concerne les personnes, les processus et la technologie.

Les services publics doivent mettre en place un programme complet comprenant une organisation, des processus et des procédures appropriés pour tirer pleinement parti des technologies de protection de la cybersécurité. Pour établir et gérer des systèmes cybersécurisés, les services publics peuvent suivre une approche en quatre points.

Le Comité consultatif de l’IEC (Commission électrotechnique internationale) sur la sécurité de l’information et la confidentialité des données (ACSEC) travaille sur les mêmes questions, qui sont intégrées dans le Guide IEC 120, Aspects liés à la sécurité – Lignes directrices pour leur inclusion dans les publications.

  • Effectuer une évaluation des risques. La première étape consiste à procéder à une évaluation complète des risques en fonction des menaces internes et externes. Ce faisant, les spécialistes en technologie opérationnelle (OT) et les autres parties prenantes des services publics peuvent comprendre où se trouvent les plus grandes vulnérabilités et être en mesure de documenter la création d’une politique de sécurité et la réduction des risques.
  • Concevoir une politique et des processus de sécurité. La stratégie de cybersécurité des entreprises de service public fournit un ensemble formel de règles à suivre. Celles-ci devraient suivre la famille de normes du Système de Management de la Sécurité de l’Information (SMSI) de la série ISO/IEC 270** sur les techniques de sécurité informatique, qui fournit des recommandations de meilleures pratiques à adopter en matière de gestion de la sécurité de l’information. Cette série de normes est développée par ISO/IEC JTC 1/SC 27. Ce sous-comité d’ISO/IEC JTC 1, le Comité d’étude commun, créé par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), élabore les normes internationales pour les Techniques de sécurité informatique.

La politique d’une entreprise de service public a pour objet d’informer les employés, les fournisseurs et utilisateurs autorisés sur leurs obligations en matière de protection des actifs technologiques et informatiques. Il décrit la liste des actifs à protéger, identifie les menaces qui pèsent sur eux et décrit les responsabilités des utilisateurs autorisés et les privilèges d’accès associés, ainsi que les actions non autorisées et la responsabilité qui en résulte en cas de violation de la politique de sécurité. Des processus de sécurité bien conçus sont également importants. À mesure que les fondements de la sécurité des systèmes changent pour faire face aux vulnérabilités émergentes, les processus du système de cybersécurité doivent être examinés et actualisés régulièrement. Un élément clé pour maintenir une base de sécurité efficace consiste à effectuer une évaluation une ou deux fois par an.

  • Mettre en oeuvre le plan de mitigation des risques. Il est nécessaire de choisir une technologie de cybersécurité basée sur les normes internationales afin de garantir la mise en place d’une politique de sécurité appropriée et les mesures d’atténuation des risques adaptées. Une approche sécurisée dès la conception basée sur les normes internationales. Celles-ci peuvent aider à réduire davantage les risques lors de la sécurisation des composants du système. Elles comprennent, entre autres, la série de publications IEC 62443 sur la sécurité pour les réseaux de communication industriels et les systèmes de contrôle et d’automatisation industriels (IACS), la série de normes internationales IEC 62351 sur la gestion des systèmes d’énergie et les échanges d’informations associées, et la norme IEEE 1686 pour les fonctions de cybersécurité des dispositifs électroniques intelligents, développée par l’Institut des ingénieurs électriciens et électroniciens (IEEE).
  • Gérer le programme de cybersécurité. La gestion efficace des programmes de cybersécurité nécessite non seulement de prendre en compte les trois points précédents, mais également de gérer les cycles de vie des actifs d’information et de communication. Pour ce faire, il est important de conserver une documentation vivante et précise sur les micrologiciels, les systèmes d’exploitation et les configurations. Cela nécessite également une compréhension approfondie des calendriers de mise à niveau technologique et d’obsolescence, ainsi qu’une connaissance approfondie des vulnérabilités connues et des correctifs existants. La gestion de la cybersécurité exige également que certains événements provoquent des évaluations, telles que des points particuliers du cycle de vie des actifs ou des menaces détectées.

Pour les services publics, la sécurité est l’affaire de tous. Les politiciens et le public sont de plus en plus conscients que la sécurité nationale dépend également de la robustesse des services publics locaux. Atténuer les risques et anticiper les vulnérabilités des attaques sur les réseaux et les systèmes de distribution ne consiste pas uniquement à installer des technologies. Les services publics doivent également mettre en oeuvre des processus organisationnels pour faire face aux défis d’un réseau décentralisé. Cela signifie une évaluation régulière et une amélioration continue de leur processus de cybersécurité et de sécurité physique afin de protéger notre nouveau monde énergétique.

Liens :

Normes

  • IEC 62443: Réseaux industriels de communication – Sécurité dans les réseaux et les systèmes (Industrial communication networks – Network and system security): https://tinyurl.com/ya9kd238
  • IEC 62351: Gestion des systèmes de puissance et échanges d’informations associés (Power systems management and associated information exchange) : https://tinyurl.com/y9rn5fvj
  • IEEE 1686: Norme IEEE pour les fonctions de cybersécurité des dispositifs électroniques intelligents: https://tinyurl.com/ycftrj7k

X
X