La perte de contrôle des systèmes de contrôle industriels peut avoir un fort impact sur les personnes et l’environnement.

L’Union européenne a identifié les infrastructures critiques – y compris les réseaux d’énergie et d’eau, les produits chimiques et les réseaux de transport – comme des domaines à réglementer. Alors que les menaces informatiques actuelles sont de plus en plus ciblées sur les systèmes d’automatisation, l’évolution constante des menaces identifie le besoin de double défense, de sécurité informatique et de sécurité fonctionnelle.
Les systèmes de contrôle d’automatisation industrielle (SIGC) doivent mettre en œuvre la sécurité pour protéger la sécurité fonctionnelle.

Sans mesures de sécurité, les fonctions de sécurité pourraient être compromises.
Si le SIGC remplit des fonctions de sécurité, un danger peut certainement être une cyberattaque, il est donc nécessaire de développer des systèmes conformes aux normes de sécurité CEI 62443 afin de:

  • Assurer la sécurité contre les menaces externes
  • Protéger les données et augmenter la sécurité
  • Augmenter la fiabilité du système

XEFRACERT peut prendre en charge ses clients en matière de:

  • élaboration de procédures d’évaluation des risques de sécurité de l’information
  • formation du personnel sur la procédure d'évaluation des risques
  • modélisation des menaces
  • Identification des cibles de cybersécurité (SL)
  • exécution d’une évaluation de la vulnérabilité de cybersécurité
  • évaluation des contre-mesures existantes
  • exécution des campagnes de test de pénétration
  • activités de vérification et de validation des produits

Voici quelques exemples de SIGC:

  • Industrial Control Systems (ICS), incl. Distributed Control Systems (DCS)
  • Programmable Logic Controllers (PLCs)
  • Remote Terminal Units (RTUs)
  • Intelligent Electronic Devices (IEDs)
  • Supervisory Control and Data Acquisition (SCADA)

Nous avons plusieurs niveaux de sécurité:

  • Niveau de sécurité 0 (SL0) Pas d'exigences de protection.
  • Niveau de sécurité 1 (SL1) Protection contre les violations occasionnelles ou
    accidentelles.
  • Niveau de sécurité 2 (SL2) Protection contre les violations intentionnelles en utilisant des moyens simples avec de faibles ressources, des compétences génériques et une faible motivation.
  • Systèmes électroniques de détection et de contrôle et de surveillance et de diagnostic en réseau (y compris les systèmes instrumentés de sécurité (SIS))
  • Niveau de sécurité 3 (SL3) Protection contre la violation intentionnelle en utilisant des moyens sophistiqués avec des ressources modérées, des compétences spécifiques au système et une motivation modérée.
  • Niveau de sécurité 4 (SL4) Protection contre les violations intentionnelles en utilisant des moyens sophistiqués avec des ressources étendues, des compétences spécifiques au système et une forte motivation.

Les étapes suivantes font partie d’une SA (Security Assessment – SA):

Étape 1: établir la capacité de sécurité (c.-à- d. Gestion)
Étape 2: établir une cible de risque : établir le risque à traiter au moyen de techniques telles que l’identification formelle des risques: établir des taux d’échecs tolérables maximaux
Étape 3: identifier les contre-mesures connexes pour chaque événement dangereux
Étape 4: établir SL pour le SIGC (@ composant ou niveau système)
Étape 5: analyse des menaces, évaluation des risques
Étape 6: l’analyse des ports de connexion, les tests de pénétration, les tests de fuzz, les tests de charge des ports de communication et le balayage de code binaire.
Étape 7: évaluation contre la cible SL
Étape 8: établir un risque résiduel