A travers le guide « Maîtriser la SSI pour les systèmes industriels », l’ANSSI pose le problème de la sécurité des systèmes industriels et propose une méthodologie illustrée de cas pratiques afin de contrer ces menaces. Réalisée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) en collaboration avec quelques ministères et plusieurs grands groupes industriels parmi lesquels Michelin, EADS et Total, ce guide a comme volonté de sensibiliser les acteurs du monde industriel dans la prise en compte des enjeux liés à la cybersécurité.
En une quarantaine de pages, ce document rappelle dans un premier temps l’évolution et l’enjeu majeur de la cybersécurité et s’attache à renverser quelques préjugés qui ont la vie dure tels que « « J’utilise des protocoles et bases de données propriétaires, je suis protégé » alors que la réalité démontre trop souvent que « les solutions propriétaires sont susceptibles d’être vulnérables car elles peuvent n’avoir fait l’objet d’aucune analyse de sécurité ». Ensuite, l’agence présente une méthodologie et des outils à mettre en œuvre pour déployer et renforcer la sécurité des systèmes industriels.
Les grands principes de la SSI
Ce guide souligne que l’objectif principal de la SSI est d’étudier les vulnérabilités des systèmes (matériel, logiciel, procédures, aspects humains) et liste sept recommandations pour développer une véritable politique de cybersécurité :
- Sensibilisation du personnel : informer régulièrement les collaborateurs car les risques évoluent en permanence.
- Cartographie des installations et analyse de risque : réaliser un inventaire des installations matérielles, des systèmes et des applications critiques, et définir des mesures de sécurité adéquates.
- Prévention : se protéger contre des menaces pas encore connues, et diminuer le périmètre sur lequel une menace est exercée.
- Surveillance des installations et détection des incidents : détecter un incident le plus tôt possible et mettre en place des mesures pour en réduire et confiner les effets.
- Traitement des incidents, chaîne d’alerte : intégrer une phase d’analyse post incident qui permet d’améliorer l’efficacité des mesures de SSI déployées initialement.
- Veille sur les menaces et les vulnérabilités : s’informer sur l’évolution des menaces, des vulnérabilités, ainsi que de leurs effets potentiels.
- Les plans de reprise et de continuité d’activité (PRA / PCA / DRP) : prévoir une stratégie permettant d’assurer la remise en service de l’infrastructure et la remise en route des systèmes d’information.
Une approche globale et structurée
Selon l’ANSII, la SSI ne doit pas se traiter dans l’urgence, de façon ponctuelle ou isolée. Il s’agit d’une démarche qui se planifie et qui doit prend en compte les suggestions suivantes :
- Une volonté à tous les niveaux (engagement de la direction) : les systèmes d’information industriels doivent être intégrés dans les politiques de sécurité des systèmes d’information de l’entreprise, dès l’origine du projet.
- Prise en compte de la SSI dans les projets : la SSI doit être envisagée dès le début du projet, par l’utilisateur final qui doit exprimer ses besoins lors des différentes phases (spécification, conception, intégration, test, réception et transfert en exploitation)
- Prise en compte de la SSI dans les AMDEC /HAZOP : il est primordial de traiter conjointement les sujets SSI et sûreté de fonctionnement dans une approche commune.
- Prise en compte de la SSI dans la maintenance : les plans de maintenance des systèmes d’information industriels ne peuvent être dissociés des plans de maintenance des installations qu’ils pilotent.
- Prise en compte de la SSI dans les achats : les exigences de sécurité sur le système acheté doivent faire l’objet d’une étude et être clairement formalisées et intégrées dans les dossiers d’appels d’offres.
L’ANSSI précise également que ces recommandations sont similaires à celles de l’informatique de gestion, mais leur mise en œuvre est adapter aux contraintes du domaine industriel. Un cas pratique Pour illustrer ce guide, l’ANSSI propose un cas pratique d’une cinquantaine de pages.
L’objectif est de présenter des situations qui représentent un risque pour les entreprises et de transmettre les solutions adéquates afin d’accompagner les entreprises dans la sécurisation de leurs systèmes industriels. L’ANSSI souhaite faire évoluer ces documents à travers les différents usages, mais aussi avec les contributions et retours d’expérience des entreprises.