FAQ SUR LA CYBERSÉCURITÉ

Qui est responsable de la cybersécurité en matière d OT ?

FAQ CYBERSECURITE

Qui est responsable de la cybersécurité en matière d OT ?

Les récents changements réglementaires signifient que les RSSI doivent désormais assumer la responsabilité des risques liés à la cybersécurité de l'entreprise. Pour les organisations industrielles, cela englobe le risque lié aux appareils et réseaux OT . Les frontières entre les réseaux IT, IoT et OT étant plus floues que jamais, une surveillance complète des risques s'impose depuis longtemps. Le passage à une approche du risque à l'échelle de l'entreprise est positif, mais il soulève des questions quant à savoir qui doit s'approprier l'achat, le déploiement et la maintenance des solutions de cybersécurité pour les environnements cyber-physiques peu familiers (pour les départements informatiques). Et à ce stade de la transition, les réponses ne sont pas claires.

La norme IEC62443 Partie 2-1 décrit les exigences relatives à l'établissement d'un système de gestion de la cybersécurité pour les systèmes industriels d'automatisation et de contrôle. Par exemple, il n'existe souvent pas de politiques de cybersécurité pour les OT , les techniciens, les opérateurs de processus et les opérateurs de salle de contrôle. Qui rédigera ces politiques et qui formera les personnes concernées ? De même, qui créera les plans d'intervention en cas d'incident, car ils peuvent être très différents dans le domaine des OT en raison des conséquences sur la sécurité physique ?

Les RSSI sont peut-être responsables du risque d'entreprise, mais ils en savent généralement assez sur la sécurité des OT pour savoir qu'elle n'est pas de leur ressort. Parce qu'ils ont une grande influence sur les décisions techniques et commerciales, ils sont les mieux placés pour être les sponsors exécutifs du projet. Cela implique de fournir une orientation stratégique, d'obtenir les ressources nécessaires, de gérer les escalades et de communiquer les progrès aux cadres et au conseil d'administration. Plus important encore, ils doivent recruter les bonnes personnes pour évaluer les solutions de sécurité OT , les déployer et assurer une surveillance continue.

L'équipe de sécurité idéale comprend des directeurs d'usine, des ingénieurs et des opérateurs qui connaissent parfaitement les systèmes de contrôle OT , même s'ils ne sont pas sûrs ou sceptiques en matière de cybersécurité. En ce qui concerne la cybersécurité, il faut recruter des responsables de la sécurité et des réseaux, des analystes et des administrateurs, même si plusieurs d'entre eux n'ont jamais mis les pieds dans une usine. Pour les entreprises soumises à des réglementations en matière de cybersécurité, vous devrez faire appel à un expert en conformité afin de vous assurer que les solutions que vous installez répondent aux principales exigences, notamment en matière de rapports.  

Si l'un de ces rôles est absent, vous pouvez toujours prendre une décision d'achat en connaissance de cause, mais des problèmes internes apparaîtront probablement en cours de route et entraîneront des retards. Par exemple, si aucun membre de l'équipe de mise en réseau n'est présent, lorsque vous tenterez de mettre en œuvre la surveillance du trafic SPAN, il faudra peut-être le persuader davantage ou il aura peut-être une idée complètement différente qui vous obligera à retourner à la planche à dessin. Si les principaux acteurs de OT ne sont pas invités à participer à la décision d'achat de la technologie, vous risquez de subir des retards ou d'être empêché de l'installer. 

Parmi ces membres de l'équipe, vous devez identifier le bon chef pour superviser les projets quotidiens. L'introduction de la sécurité OT dans l'atelier signifie l'introduction d'un comportement très différent. Il y aura de nouvelles politiques, configurations et contrôles, tels qu'une gestion plus stricte des accès, qui modifieront la façon dont les opérateurs effectuent leur travail quotidien. Nombre de ces changements ne seront pas populaires. Cette personne peut-elle défendre ces changements comme étant non seulement nécessaires, mais aussi dans l'intérêt de tous ? En tant que sponsor exécutif, le CISO mènera également cette charge, mais vous voulez un pair de confiance qui réponde aux questions détaillées et gagne la confiance des récalcitrants. Lorsque le fournisseur de sécurité ou l'intégrateur de systèmes se présente, vous voulez des employés formés qui savent à quoi s'attendre et qui sont prêts.

L'après-mise en œuvre nécessite encore plus de coopération interfonctionnelle. Pour permettre la gestion des risques de l'entreprise, les données de votre environnement OT doivent être introduites dans votre système de gestion des informations et des événements de sécurité (SIEM) ou intégrées d'une autre manière à votre plateforme de sécurité informatique existante afin que le centre des opérations de sécurité (SOC) ou le fournisseur de services de sécurité gérés (MSSP) puisse identifier les problèmes. Il est essentiel que les experts en OT (idéalement les experts ensécurité OT ) continuent d'informer ces groupes sur la sensibilité des réseaux OT et sur la raison pour laquelle les efforts de remédiation doivent impliquer du personnel connaissant bien vos processus industriels et votre réseau.  

 En bref, des dizaines de personnes au sein de l'organisation doivent s'approprier conjointement la cybersécurité OT pour que votre programme soit couronné de succès. Nozomi Networks a déployé des solutions de sécurité OT dans des milliers d'environnements dans tous les secteurs industriels et d'infrastructures critiques. Nous avons vu des projets se dérouler sans heurts, et nous les avons vus s'enliser à chaque étape. Dans le cadre de chaque lancement d'implémentation, nous passons en revue les défis culturels OT les plus courants et proposons des moyens de les surmonter qui, nous le savons, fonctionnent.

Les récents changements réglementaires signifient que les RSSI doivent désormais assumer la responsabilité des risques liés à la cybersécurité de l'entreprise. Pour les organisations industrielles, cela englobe le risque lié aux appareils et réseaux OT . Les frontières entre les réseaux IT, IoT et OT étant plus floues que jamais, une surveillance complète des risques s'impose depuis longtemps. Le passage à une approche du risque à l'échelle de l'entreprise est positif, mais il soulève des questions quant à savoir qui doit s'approprier l'achat, le déploiement et la maintenance des solutions de cybersécurité pour les environnements cyber-physiques peu familiers (pour les départements informatiques). Et à ce stade de la transition, les réponses ne sont pas claires.

La norme IEC62443 Partie 2-1 décrit les exigences relatives à l'établissement d'un système de gestion de la cybersécurité pour les systèmes industriels d'automatisation et de contrôle. Par exemple, il n'existe souvent pas de politiques de cybersécurité pour les OT , les techniciens, les opérateurs de processus et les opérateurs de salle de contrôle. Qui rédigera ces politiques et qui formera les personnes concernées ? De même, qui créera les plans d'intervention en cas d'incident, car ils peuvent être très différents dans le domaine des OT en raison des conséquences sur la sécurité physique ?

Les RSSI sont peut-être responsables du risque d'entreprise, mais ils en savent généralement assez sur la sécurité des OT pour savoir qu'elle n'est pas de leur ressort. Parce qu'ils ont une grande influence sur les décisions techniques et commerciales, ils sont les mieux placés pour être les sponsors exécutifs du projet. Cela implique de fournir une orientation stratégique, d'obtenir les ressources nécessaires, de gérer les escalades et de communiquer les progrès aux cadres et au conseil d'administration. Plus important encore, ils doivent recruter les bonnes personnes pour évaluer les solutions de sécurité OT , les déployer et assurer une surveillance continue.

L'équipe de sécurité idéale comprend des directeurs d'usine, des ingénieurs et des opérateurs qui connaissent parfaitement les systèmes de contrôle OT , même s'ils ne sont pas sûrs ou sceptiques en matière de cybersécurité. En ce qui concerne la cybersécurité, il faut recruter des responsables de la sécurité et des réseaux, des analystes et des administrateurs, même si plusieurs d'entre eux n'ont jamais mis les pieds dans une usine. Pour les entreprises soumises à des réglementations en matière de cybersécurité, vous devrez faire appel à un expert en conformité afin de vous assurer que les solutions que vous installez répondent aux principales exigences, notamment en matière de rapports.  

Si l'un de ces rôles est absent, vous pouvez toujours prendre une décision d'achat en connaissance de cause, mais des problèmes internes apparaîtront probablement en cours de route et entraîneront des retards. Par exemple, si aucun membre de l'équipe de mise en réseau n'est présent, lorsque vous tenterez de mettre en œuvre la surveillance du trafic SPAN, il faudra peut-être le persuader davantage ou il aura peut-être une idée complètement différente qui vous obligera à retourner à la planche à dessin. Si les principaux acteurs de OT ne sont pas invités à participer à la décision d'achat de la technologie, vous risquez de subir des retards ou d'être empêché de l'installer. 

Parmi ces membres de l'équipe, vous devez identifier le bon chef pour superviser les projets quotidiens. L'introduction de la sécurité OT dans l'atelier signifie l'introduction d'un comportement très différent. Il y aura de nouvelles politiques, configurations et contrôles, tels qu'une gestion plus stricte des accès, qui modifieront la façon dont les opérateurs effectuent leur travail quotidien. Nombre de ces changements ne seront pas populaires. Cette personne peut-elle défendre ces changements comme étant non seulement nécessaires, mais aussi dans l'intérêt de tous ? En tant que sponsor exécutif, le CISO mènera également cette charge, mais vous voulez un pair de confiance qui réponde aux questions détaillées et gagne la confiance des récalcitrants. Lorsque le fournisseur de sécurité ou l'intégrateur de systèmes se présente, vous voulez des employés formés qui savent à quoi s'attendre et qui sont prêts.

L'après-mise en œuvre nécessite encore plus de coopération interfonctionnelle. Pour permettre la gestion des risques de l'entreprise, les données de votre environnement OT doivent être introduites dans votre système de gestion des informations et des événements de sécurité (SIEM) ou intégrées d'une autre manière à votre plateforme de sécurité informatique existante afin que le centre des opérations de sécurité (SOC) ou le fournisseur de services de sécurité gérés (MSSP) puisse identifier les problèmes. Il est essentiel que les experts en OT (idéalement les experts ensécurité OT ) continuent d'informer ces groupes sur la sensibilité des réseaux OT et sur la raison pour laquelle les efforts de remédiation doivent impliquer du personnel connaissant bien vos processus industriels et votre réseau.  

 En bref, des dizaines de personnes au sein de l'organisation doivent s'approprier conjointement la cybersécurité OT pour que votre programme soit couronné de succès. Nozomi Networks a déployé des solutions de sécurité OT dans des milliers d'environnements dans tous les secteurs industriels et d'infrastructures critiques. Nous avons vu des projets se dérouler sans heurts, et nous les avons vus s'enliser à chaque étape. Dans le cadre de chaque lancement d'implémentation, nous passons en revue les défis culturels OT les plus courants et proposons des moyens de les surmonter qui, nous le savons, fonctionnent.

Retour aux FAQ