Votre logiciel OT représente-t-il un risque ? Voici comment le déterminer

Votre stratégie de cybersécurité OT inclut-elle des mises à jour logicielles et matérielles régulières ? Sinon, vous risquez une amende de EUR 10000000,00 ou 2 % du chiffre d'affaires annuel mondial¹.

Pourquoi ? C'est simple. D'ici octobre 2024, tous les États membres de l'UE doivent avoir transposé la directive révisée de l'UE sur la sécurité des réseaux et de l'information (NIS2) en droit. Et la nouvelle directive prévoit des amendes de EUR 10000000,00 ou de 2 % du chiffre d'affaires annuel mondial pour les organisations qui enfreignent ses règles. L'une de ces règles stipule clairement que les organisations soumises à la directive doivent avoir des politiques de cybersécurité qui incluent : 

« …politiques de cyberhygiène comprenant un ensemble de pratiques de base communes, notamment des mises à jour logicielles et matérielles… »

Un nombre d'organisations plus important que jamais est désormais couvert par la directive mise à jour. Cela inclut des secteurs entièrement nouveaux tels que les télécommunications, la chimie, les eaux usées et l'alimentation — tous considérés comme « essentiels » ou « importants » pour la sécurité et la vie économique de l'UE. L'article 7 de NIS2 renforce encore le fait qu'un nombre d'organisations plus important que jamais sera impacté par la nouvelle directive : 

« La stratégie nationale de cybersécurité doit inclure le renforcement de la résilience cybernétique et du socle de cyberhygiène des petites et moyennes entreprises, en particulier celles exclues du champ d'application de la présente directive… »

En résumé : presque toutes les organisations qui exploitent des technologies opérationnelles dans l'UE doivent commencer à réfléchir dès maintenant à la préparation à NIS2, sous peine de subir les conséquences d'une violation.  

Pourquoi les mises à jour logicielles représentent-elles un risque au regard de NIS2 ? 

Les organisations de technologies opérationnelles (OT), qu'il s'agisse de fabricants ou de fournisseurs d'infrastructures, ont souvent des centaines, voire des milliers d'appareils sur site. Un rapport récent de McKinsey estime que certaines installations énergétiques comptent jusqu'à 30000 appareils connectés².

Nombre de ces appareils peuvent également contenir des composants intelligents et connectés, notamment des variateurs de fréquence, des commutateurs industriels, des automates programmables, des PC industriels, etc. Tous ces composants peuvent également avoir leur propre logiciel et matériel.

Même les installations plus petites, y compris celles avec des environnements de production relativement petits, peuvent avoir des centaines d'appareils OT, non cartographiés et non gérés. Et si ne serait-ce qu'un de ces appareils utilise un logiciel obsolète et que cela conduit à une violation de données, à une panne opérationnelle ou à un autre problème important, il s'agit d'une violation potentielle de NIS2, et d'une amende consécutive.

Comment atténuer les risques et rester en conformité avec la directive NIS2

La façon la plus simple d'atténuer le risque posé par les logiciels obsolètes est de travailler avec un spécialiste de la cybersécurité informatique. La meilleure façon de procéder est de souscrire un abonnement qui couvre la maintenance et les mises à jour.

Avec l'abonnement de maintenance approprié, vous bénéficiez des avantages suivants :

• Accès instantané et installation automatique des dernières mises à jour de logiciel et de firmware, ce qui permet de garder le pouls de l'évolution du paysage des menaces de cybersécurité OT. L'accès instantané aux dernières mises à jour de logiciel et de firmware est crucial, car il permet de s'assurer que les correctifs de sécurité et les améliorations sont appliqués dès qu'ils sont disponibles. Cette immédiateté peut réduire considérablement la fenêtre d'opportunité pour les cyberattaquants d'exploiter des vulnérabilités connues. L'installation automatique rationalise encore davantage ce processus en automatisant le déploiement des mises à jour, en veillant à ce que tous les dispositifs de l'environnement OT conservent leur posture de sécurité maximale sans nécessiter d'intervention manuelle. 
• Assistance d'ingénieurs et de consultants en sécurité de premier plan : la complexité et la spécificité des systèmes OT exigent un niveau d'expertise élevé pour relever leurs défis uniques en matière de sécurité. L'accès à des ingénieurs et consultants en sécurité OT de premier plan offre aux entreprises une mine de connaissances et d'expérience sur lesquelles s'appuyer. Ces experts peuvent offrir des conseils personnalisés, de la planification stratégique à la réponse aux incidents, afin de garantir que les mesures de sécurité sont non seulement conformes à la directive NIS2, mais aussi alignées sur les meilleures pratiques et les dernières recherches dans le domaine. Leur assistance peut être déterminante pour identifier les vulnérabilités potentielles, recommander des stratégies d'atténuation et renforcer la résilience globale des environnements OT face aux cybermenaces.
• Des outils qui facilitent et accélèrent la recherche et la sécurisation de tous vos dispositifs : ces outils permettent aux entreprises de maintenir un inventaire à jour de leurs actifs OT, de surveiller leur état en temps réel et d'identifier rapidement toute irrégularité pouvant indiquer une violation de la sécurité. En simplifiant le processus de sécurisation des dispositifs OT, ces outils améliorent non seulement l'efficacité opérationnelle, mais confirment également que tous les composants et équipements, quel que soit leur rôle ou leur emplacement dans le réseau, sont correctement protégés. 

Pour vous préparer à la directive NIS2, le consultant OT/IT approprié vous aidera à auditer votre réseau afin d'identifier les risques liés au matériel, au firmware ou au logiciel. Il travaillera ensuite avec vous pour combler ces lacunes, documenter vos travaux de sécurité et de conformité, et vous mettre en conformité avec la directive NIS2. 

Rockwell Automation est l'un des principaux fournisseurs de services de sécurité OT, de conformité et de gestion des risques sur le marché. Nos spécialistes, consultants et ingénieurs disposent des outils, de l'expérience et de la technologie nécessaires pour vous aider à vous préparer à la NIS2. Cela inclut tout, de la formulation de politiques et de procédures conformes, à la découverte et à la mise à jour rapides des logiciels et firmware obsolètes, à l'échelle du réseau, jusqu'à la tâche de renforcement et de documentation de votre posture de sécurité pour la conformité NIS2. 

Pour savoir comment Rockwell Automation peut vous aider à améliorer votre cyberhygiène, notamment en mettant à jour vos logiciels et firmware, et à renforcer votre posture en matière de cybersécurité OT en vue de la conformité à la directive NIS2, contactez-nous dès maintenant.

Réservez votre consultation gratuite dès aujourd'hui !

¹https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs

²https://www.mckinsey.com/mgi/overview/in-the-news/by-2025-internet-of-things-applications-could-have-11-trillion-impact