Connaissez-vous bien les risques liés à votre système d'information industriel ?

Il faudra réaliser une cartographie complète des ressources matérielles et logicielles présentes sur votre site industriel avec, pour chaque équipement, le modèle, le numéro de version IP, l’adresse MAC… Pour cartographier votre réseau OT, vous pouvez utiliser des solutions d’écoute telles que Sentryo. Cependant, ce simple audit ne s’avère pas suffisant. Les visites de sites restent en effet indispensables pour détecter des connections physiques incohérentes ou des machines inactives mais prêtes à être utilisées.

Il est important de savoir précisément quels sont les échanges d’information qui existent entre les deux réseaux, avec quels objectifs et impacts. Cette matrice de flux peut être appréhendée à travers un firewall ou des sondes qui protègent le réseau, les applications et la navigation contre les malwares et les sites dangereux, y compris pour les flux chiffrés, et ce quels que soient les terminaux utilisés.

Il vous faudra recenser l’ensemble des accès internes (salariés, intérimaires…) et externes (techniciens de maintenance informatique, comptable…), puis mettre à jour les contrats de sous-traitance en y intégrant des règles de sécurité spécifiques pour chaque type de compte : administrateur, accès aux ressources critiques, envois de données à l’ERP, équipements des collaborateurs y compris smartphones, etc. N’oubliez pas le principe du « moindre privilège » : ne donnez les droits d’accès à une ressource qu’aux seules personnes ayant un besoin légitime d’y accéder !

Parce qu’ils disposent d’accès à privilèges quant à vos infrastructures, vos sous-traitants et partenaires présentent, pour des pirates, une porte d’entrée facile à vos propres ressources. La manière dont ils gèrent leur propre sécurité est donc clé, et mérite que vous mettiez en place des audits et des contrôles continus !

En cybersécurité, la résilience est une question au moins aussi centrale que la prévention. N’hésitez pas à simuler des pannes et des intrusions le plus régulièrement possible, puis à évaluer le délai et l’efficacité du rétablissement. Attention, ce type d’exercice doit réunir une équipe pluridisciplinaire (au-delà de l’OT et l’IT) qui met en œuvre l’ensemble des processus de réponse à incident.

Il s’agit de recenser les mises à jour disponibles et de les sauvegarder au quotidien. La sauvegarde externalisée des données essentielles, dans le datacenter d’un opérateur français, est une garantie supplémentaire pour la pérennité de votre activité. Et dans le même esprit que les tests de panne, des tests de restauration sont à effectuer régulièrement, pour éviter toute mauvaise surprise lorsque vous en aurez réellement besoin.

Vérifiez que la politique de mot de passe est respectée, en effectuant des audits et des revues de comptes. Pour rappel, les mots de passe devraient inclure une dizaine de signes alternant majuscules, minuscules, chiffres et caractères spéciaux. De plus, il est vivement recommandé de configurer des comptes d’administrateur dédiés et nominatifs. Lorsque cela est possible, prévoyez une configuration spécifique forçant le renouvellement du mot de passe à intervalles réguliers.

On ne le dira jamais assez, le facteur humain est le premier risque en termes de cybersécurité : 70% des problèmes de sécurité impliquent directement les employés. Ne lésinez donc pas sur la sensibilisation et la répétition des messages ! Un plan de formation avec suivi ou évaluation des acquis doit être intégré dans les processus RH.