Votre entreprise est-elle sécurisée ?

Votre entreprise est-elle sécurisée ?

Le renforcement de la connectivité des opérations peut aller de pair avec une augmentation des menaces à l'encontre de la sécurité. Découvrez comment une approche globale de la sécurité industrielle peut atténuer les risques.

Par Daniel Deyoung, directeur du développement du marché, Rockwell Automation

Les établissements industriels et de fabrication fonctionnent d'une manière qu'ils auraient à peine pu imaginer il y a quelques décennies.

L'amélioration de la connectivité et du partage des informations transforme considérablement les entreprises de transformation et leurs opérations. Ces entreprises font converger les systèmes des technologies de l'information et des technologies de la production, et utilisent de nouvelles technologies, telles que la mobilité, les analyses, le cloud et la virtualisation, pour en faire plus que jamais auparavant.

Toutefois, au même titre que la nature des opérations industrielles et de fabrication, les risques de sécurité ont changé. Les opérations plus connectées peuvent créer davantage de points d'entrée potentiels pour les menaces vis-à-vis de la sécurité. Ces menaces peuvent prendre différentes formes : physiques ou numériques, internes ou externes, malveillantes ou involontaires.

C'est pourquoi la sécurité industrielle doit être globale. Elle doit s'étendre de l'entreprise jusqu'au niveau de l'usine, voire jusqu'aux terminaux, et elle doit traiter les risques pour l'ensemble des personnes, des processus et des technologies. Elle doit également impliquer la collaboration entre le personnel informatique et celui en charge des technologies de la production. Les deux côtés ont en effet des rôles essentiels à jouer.

Une approche globale

Les trois éléments essentiels d'une approche globale de la sécurité sont les suivants :

  1. Évaluation de la sécurité : réalisez une évaluation à l'échelle de l'établissement pour comprendre les domaines où se situent les risques, ainsi que les menaces potentielles.
  2. Approche par défense en profondeur : déployez une approche multicouche de la sécurité, qui établit plusieurs fronts et niveaux de défense.
  3. Fournisseurs de confiance : vérifiez que vos fournisseurs de solutions d'automatisation respectent les principes de sécurité fondamentaux lors de la conception de leurs produits.

Évaluation de la sécurité

Le développement et la mise en œuvre d'un programme de sécurité industrielle efficace exigent que vous compreniez d'abord les risques et les domaines de vulnérabilité qui existent au sein de votre entreprise.

Une évaluation de la sécurité vous permettra de comprendre votre niveau de sécurité actuel concernant vos logiciels, réseaux, systèmes de commande, politiques et procédures, et même le comportement de vos employés. Elle doit être le point de départ de toute politique de sécurité.

Au minimum, une évaluation de la sécurité doit inclure les éléments suivants :

  • Un inventaire des dispositifs et logiciels autorisés et non autorisés
  • L'observation et la documentation détaillées des performances du système
  • L'identification des seuils de tolérance et les indications des risques/vulnérabilités
  • La hiérarchisation de chaque vulnérabilité, en fonction de son incidence et de son potentiel d'exploitation

Le résultat final de toute évaluation de la sécurité doit inclure une liste documentée et exploitable des techniques d'atténuation requises pour amener un fonctionnement à un niveau de risque acceptable.

Approche de la sécurité en profondeur

La meilleure mise en œuvre de la sécurité industrielle est réalisée sous la forme d'un système complet pour toutes vos opérations, et une infrastructure de sécurité de défense en profondeur soutient cette approche. En se fondant sur la notion que n'importe quel point de protection est susceptible d'être mis en échec ou de faire l'objet d'une violation, la sécurité de défense en profondeur établit plusieurs couches de protection via une combinaison de dispositifs de protection physiques, électroniques et procéduraux.

Une approche de la sécurité de défense en profondeur comprend six composants principaux (voir l'illustration), notamment : politiques et procédures définies, sécurité physique, infrastructure réseau, authentification et identification des ordinateurs/logiciels, applications et dispositifs.

Fournisseurs de confiance

Vos fournisseurs de solutions d'automatisation sont tout aussi essentiels pour vous aider à atteindre vos objectifs de sécurité qu'ils le sont pour vos objectifs de production, de qualité et de sûreté.

Avant de sélectionner des fournisseurs, demandez-leur de vous divulguer leurs pratiques et politiques de sécurité. Déterminez s'ils respectent les cinq principes de sécurité fondamentaux lors de la conception des produits utilisés dans un système de commande. Ces principes sont les suivants :

  • Une infrastructure réseau sécurisée. Les fournisseurs peuvent vous aider à assurer la sécurisation et la confidentialité des informations dans la couche d'automatisation. Par exemple, la technologie embarquée peut valider et authentifier les terminaux avant que l'accès à un réseau leur soit accordé.
  • Gestion de l'authentification et des politiques. Les politiques de l'entreprise déterminent les niveaux d'accès aux données pour les employés. Les produits d'automatisation peuvent soutenir ces politiques en utilisant des listes de contrôle d'accès pour gérer l'accès des utilisateurs aux dispositifs et applications.
  • Protection du contenu. La propriété intellectuelle est la pierre angulaire de vos opérations. Vos solutions d'automatisation peuvent vous aider à la protéger en affectant des mots de passe aux routines et aux instructions complémentaires, et en utilisant la gestion des droits numériques pour limiter la capacité des utilisateurs à consulter et modifier les données des dispositifs.
  • Détection de l'altération. La détection de l'altération intégrée permet de détecter toute activité non autorisée du système et d'alerter le personnel responsable. Elle peut également consigner les détails clés, tels que l'emplacement de la tentative d'intrusion, la façon dont elle s'est produite et si quelque chose a été modifié.
  • Robustesse. Une approche de la sécurité robuste du fournisseur inclut la dispense d'une formation sur la sécurité aux employés, l'utilisation de pratiques de développement axées sur la sécurité et le test des produits conformément aux normes de sécurité internationales. Elle inclut également la réalisation d'analyses de sécurité finales avant la commercialisation des produits, la vérification de la conformité des processus aux normes et technologies actuelles, et la mise en place d'un plan pour gérer les vulnérabilités.

Surveillance et évolution

Les menaces vis-à-vis de la sécurité ne diminuent pas. Elles continueront à évoluer au fur et à mesure que le secteur industriel modifiera ses pratiques de sécurité ou mettra en œuvre de nouvelles défenses. Votre stratégie de gestion du risque doit suivre le rythme et être constante. Elle doit évoluer avec, voire avant, l'évolution des types de menaces.

Avec l'évolution continuelle des opérations vers une connectivité accrue, l'ampleur des problèmes de sécurité actuels peut être effrayante. Les approches présentées ici peuvent vous aider à aligner votre entreprise sur les meilleures pratiques du secteur pour protéger votre propriété intellectuelle, vos établissements, vos actifs, vos employés et vos avantages concurrentiels.

En savoir plus sur les solutions de sécurité industrielle de Rockwell Automation

Le magazine The Journal From Rockwell Automation and Our PartnerNetwork™ est publié par Putman Media, Inc.

Automation Today

Rockwell Automation et nos partenaires mettent à disposition des connaissances exceptionnelles qui permettent de concevoir, de mettre en place et de pérenniser votre investissement dans les systèmes d'automatisation.

S'inscrire

Recevez les dernières informations sur les tendances et les technologies de Rockwell Automation.