Loading

Blog

Recent ActivityRecent Activity

Il est 22 h 00. Savez-vous où sont vos données?

Quelles sont les informations les plus critiques sur votre réseau de systèmes de contrôle-commande ? Si vous êtes comme la majorité des professionnels des technologies de la production et de l’information que je rencontre, vous saurez répondre à cette question avant que j’ai fini de la poser.

À maints égards, identifier les données système critiques et prendre conscience de la nécessité de les protéger constituent la partie la plus facile du travail. En revanche, la conception d’une infrastructure de réseau capable d’atténuer les risques liés à la cybersécurité et d’exploiter les dernières technologies de l’Internet des objets (IoT) peut être plus ardue.

Certes, aujourd’hui, les acteurs du secteur des sciences de la vie reconnaissent les avantages qu’il y a à connecter plus d’informations à l’échelle de l’entreprise. Ils peuvent améliorer les enregistrements électroniques des lots et le reporting, bénéficier de fonctions d’analytique avancée et accéder à d’autres technologiques numériques.

Néanmoins, dans cette quête vers plus de connectivité, certains choix concernant leur réseau pourraient introduire accidentellement des risques.

Votre infrastructure de réseau est-elle le fruit d’une démarche volontaire ou involontaire ?

Réfléchissez à cet aspect. Comment partager des données entre des systèmes hétérogènes ?

Bien évidemment, le moyen le plus facile consiste à tout regrouper sur le même réseau et cette approche est courante.

Pour des raisons de commodité, une entreprise peut décider d’évoluer vers un réseau plat non segmenté, où les informations sont échangées en toute liberté. Plus communément, un réseau non segmenté est le résultat involontaire d’une infrastructure existante qui s’est développée au fil du temps sans tirer parti des VLAN, pare-feux et autres délimitations.

Le problème des réseaux non segmentés

Peu importe son origine, un réseau non segmenté peut faciliter les accès et les communications, mais le prix à payer en contrepartie est lourd.

Premièrement, une infrastructure de réseau plat non segmenté expose les données critiques et non critiques de la même manière aux risques liés à la cybersécurité. L’absence de limites concernant le réseau ou les accès permet aux pirates informatiques d’exploiter les points d’entrée les plus vulnérables. Ils peuvent alors pénétrer plus loin sur le réseau ou accéder à plus d’appareils connectés.

Les contenus courant un risque vont des informations relatives aux recettes et à la fabrication jusqu’aux données d’essais cliniques et aux stratégies de marketing et tarifaires.

Par ailleurs, un réseau non segmenté est généralement inefficace. Les entreprises peuvent, dans un premier temps, ne pas être conscientes des problèmes de performances du réseau, simplement parce que leur activité se poursuit normalement. Mais à mesure que les systèmes sont mis à niveau et que de nouvelles capacités sont ajoutées, le trafic du réseau augmente, les collisions de paquets et les ralentissements deviennent plus fréquents, et les problèmes de production commencent à devenir visibles.

Avez-vous déjà perdu des données ou la visibilité du système, ou une de vos connaissances a-t-elle vécu cette situation ? Ce sont des choses qui arrivent.

Dans le cadre d’une approche du type défense en profondeur, la segmentation du réseau, à savoir son fractionnement en réseaux plus petits, peut contribuer à réduire le trafic de diffusion superflu et à limiter la surface d’exposition aux attaques.

Mise en place de la segmentation à l’échelle de votre système   

Avez-vous réfléchi à la conception et aux performances du réseau au moment de créer votre système d’automatisation ? Et comment incorporez-vous la segmentation afin de limiter l’étendue d’une intrusion potentielle et d’améliorer les performances du réseau ?

Selon mon expérience, dans le secteur des sciences de la vie, la majorité des entreprises gèrent de manière remarquable leur processus de production. Mais nombre d’entre elles ne réalisent tout simplement pas l’incidence de leurs choix sur l’infrastructure du réseau. Par conséquent, elles peuvent ne pas connaître l’étendue des contenus et les modèles de trafic dans leur infrastructure existante, ainsi que les risques potentiels et les limitations de performances.

Un audit du système peut vous aider à mieux appréhender les types de contenus hébergés sur le réseau, le mode de communication des appareils et les modes de circulation des informations. Dans un premier temps, cet audit fournira les informations essentielles indispensables pour identifier les risques potentiels et évaluer les améliorations des performances.

Une fois l’audit terminé, une évaluation des risques en phase avec les principes directeurs de la norme CEI 62443 constitue une bonne pratique qui peut vous amener vers une meilleure conception et segmentation du réseau.

La série de normes internationales CEI 62443 propose un cadre souple pour traiter et atténuer les vulnérabilités actuelles et futures en matière de sécurité dans les systèmes d’automatisation et de commande industriels (IACS). En particulier, la norme CEI 62443-3-2 fournit des directives pour l’évaluation des risques.

Ce type d’évaluation vous donnera un aperçu de votre niveau de sécurité actuel et de vos besoins pour atteindre un état acceptable en matière de risques.

Nul doute que vous découvrirez que les différentes zones de votre système ont des besoins de sécurité distincts. L’évaluation des risques vous aidera à prendre des décisions raisonnables concernant le niveau de risque que vous acceptez pour la mise en œuvre de nouvelles technologies. Elle vous aidera aussi à réaliser une segmentation logique de votre réseau conciliant vos objectifs de sécurité et de production.

Selon vos exigences, vous avez le choix entre plusieurs méthodes de segmentation, y compris les listes de contrôle d’accès (ACL), les pare-feux, les VLAN, les zones démilitarisées industrielles (IDMZ), et bien d’autres technologies.

Sécurisation de votre usine connectée

Ayez à l’esprit que la segmentation de réseau n’est que l’une des nombreuses pratiques recommandées dans le cadre d’une approche du type défense en profondeur en matière de cybersécurité. Une stratégie efficace inclut de multiples couches de protection allant d’appareils de sécurité physiques aussi simples que des portes jusqu’aux protections électroniques et procédurales sophistiquées.

Enfin, une stratégie efficace est un processus permanent qui requiert non seulement une conception réfléchie, mais aussi une intervention et une maintenance actives.

Découvrez comment Rockwell Automation peut vous aider à concevoir et gérer votre système en phase avec les directives des normes CEI 62443. Consultez également nos dernières certifications CEI 62443.


Tim Mirth
Tim Mirth
PlantPAx Platform Leader, Rockwell Automation
Subscribe

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Recommended For You