Connaissez-vous bien les risques liés à votre système d'information industriel ?

Connaissez-vous l’ensemble de vos équipements OT (1) connectés ?

Il faudra réaliser une cartographie complète des ressources matérielles et logicielles présentes sur votre site industriel avec, pour chaque équipement, le modèle, le numéro de version IP, l’adresse MAC… Pour cartographier votre réseau OT, vous pouvez utiliser des solutions d’écoute telles que Sentryo. Cependant, ce simple audit ne s’avère pas suffisant. Les visites de sites restent en effet indispensables pour détecter des connections physiques incohérentes ou des machines inactives mais prêtes à être utilisées.

Quels sont les flux qui transitent entre vos réseaux OT et IT ?

Il est important de savoir précisément quels sont les échanges d’information qui existent entre les deux réseaux, avec quels objectifs et impacts. Cette matrice de flux peut être appréhendée à travers un firewall ou des sondes qui protègent le réseau, les applications et la navigation contre les malwares et les sites dangereux, y compris pour les flux chiffrés, et ce quels que soient les terminaux utilisés.

Quels sont les sous-traitants qui ont accès à votre réseau OT et quels sont leurs privilèges d’accès ?

Il vous faudra recenser l’ensemble des accès internes (salariés, intérimaires…) et externes (techniciens de maintenance informatique, comptable…), puis mettre à jour les contrats de sous-traitance en y intégrant des règles de sécurité spécifiques pour chaque type de compte : administrateur, accès aux ressources critiques, envois de données à l’ERP, équipements des collaborateurs y compris smartphones, etc. N’oubliez pas le principe du « moindre privilège » : ne donnez les droits d’accès à une ressource qu’aux seules personnes ayant un besoin légitime d’y accéder !

Est-ce que vos sous-traitants exploitent vos équipements avec un niveau de sécurité en rapport avec vos risques et avec votre contrat ?

Parce qu’ils disposent d’accès à privilèges quant à vos infrastructures, vos sous-traitants et partenaires présentent, pour des pirates, une porte d’entrée facile à vos propres ressources. La manière dont ils gèrent leur propre sécurité est donc clé, et mérite que vous mettiez en place des audits et des contrôles continus !

Combien de temps faudrait-il pour redémarrer la production, si une partie de vos IHM venait à être compromise ?

En cyber-sécurité, la résilience est une question au moins aussi centrale que la prévention. N’hésitez pas à simuler des pannes et des intrusions le plus régulièrement possible, puis à évaluer le délai et l’efficacité du rétablissement. Attention, ce type d’exercice doit réunir une équipe pluridisciplinaire (au-delà de l’OT et l’IT) qui met en œuvre l’ensemble des processus de réponse à incident.

Vos configurations et vos données OT sont-elles sauvegardées ?

Il s’agit de recenser les mises à jour disponibles et de les sauvegarder au quotidien. La sauvegarde externalisée des données essentielles, dans le datacenter d’un opérateur français, est une garantie supplémentaire pour la pérennité de votre activité. Et dans le même esprit que les tests de panne, des tests de restauration sont à effectuer régulièrement, pour éviter toute mauvaise surprise lorsque vous en aurez réellement besoin.

Les mots de passe de vos environnements industriels sont-ils changés régulièrement ?

Vérifiez que la politique de mot de passe est respectée, en effectuant des audits et des revues de comptes. Pour rappel, les mots de passe devraient inclure une dizaine de signes alternant majuscules, minuscules, chiffres et caractères spéciaux. De plus, il est vivement recommandé de configurer des comptes d’administrateur dédiés et nominatifs. Lorsque cela est possible, prévoyez une configuration spécifique forçant le renouvellement du mot de passe à intervalles réguliers.

Vos collaborateurs travaillant sur les IHM ont-ils reçu une formation ou une sensibilisation sur les risques de cybersécurité ?

On ne le dira jamais assez, le facteur humain est le premier risque en termes de cybersécurité : 70% des problèmes de sécurité impliquent directement les employés. Ne lésinez donc pas sur la sensibilisation et la répétition des messages ! Un plan de formation avec suivi ou évaluation des acquis doit être intégré dans les processus RH.

(1) OT  (Operational Technology ou technologies d'exploitation), selon le glossaire Gartner  : « L’OT désigne le matériel et les logiciels qui détectent ou provoquent un changement par le biais de la surveillance et/ou du contrôle directs des périphériques physiques, des processus et des événements dans l’entreprise. »