Offre

Cybersécurité industrielle

L’hyperconnectivité ouvre des possibilités immenses mais accroit l’exposition des équipements et des systèmes d’information aux cybermenaces.

Enjeux

La cybersécurité industrielle porte sur les systèmes d’information industriels. Elle comprend tout ce qui consiste à étudier les risques auxquels ils sont exposés, à définir et mettre en œuvre des mesures (techniques et organisationnelles) pour ramener ces risques à un niveau résiduel acceptable. L’anticipation des menaces et la veille des vulnérabilités doivent permettre d’assurer l’efficacité durable de ces mesures face à l’évolution des menaces et des risques.

Les Systèmes d’Information Industriels (SII) jouent un rôle prépondérant pour répondre aux enjeux stratégiques des industries et infrastructures complexes. Sous l’influence d’évolutions technologiques sur fond de digitalisation, d’intelligence artificielle et d’IOT, les SII ont connu des mutations profondes ces dernières décennies. L’hyperconnectivité et la normalisation des protocoles de communication ouvrent des possibilités immenses. Mais elles accroissent l’exposition des équipements et des systèmes aux cybermenaces qui sont une réalité quotidienne. En effet, les attaques toujours plus nombreuses et complexes peuvent engendrer des pertes d’exploitation, le vol d’informations technologiques ou l’altération de données sensibles. Dans le pire des cas, les événements redoutés peuvent même conduire à la destruction de l’outil industriel ou à des accidents industriels majeurs.

Dans ce contexte, la criticité des fonctions assurées par les Systèmes d’Information Industriels conduit à revoir les stratégies de conception des architectures de ces systèmes. Il en va de même pour le choix de leurs composants. La gouvernance des activités d’ingénierie, d’opération et de maintenance est aussi concernée pour chaque étape du cycle de vie des Systèmes.

Les référentiels nationaux (LPM et Guides ANSSI), européens (Directive NIS) et internationaux (norme IEC 62 443) apportent des réponses pour adresser la problématique cyber des SII. Ils combinent des approches issues de normes dédiées à la sécurité de l’information (série ISO 27 000) et des référentiels spécifiques aux systèmes d’information d’industriels tels que la norme IEC 61 511 qui est relative à la sécurité fonctionnelle. Ces différents référentiels apportent des réponses graduelles basées sur l’analyse des risques et la défense en profondeur.

La protection physique des sites est également à prendre en considération et s’inscrit dans une approche de sécurité globale à déployer en particulier chez les OIV (Opérateurs d’Importance Vitale) et les OSE (Opérateurs de Services Essentiels).

>
201 jours pour découvrir une cyberattaque Et encore 70 jours pour venir à bout des dégâts occasionnés Source : Institut Ponemon

Notre Approche de la cybersécurité industrielle

Assystem intègre des systèmes d’information industriels notamment dans le domaine de la GTC/GTB, de la Sûreté/Protection physique et du Contrôle-commande pour les secteurs du Nucléaire, du Transport, de la Défense ou des Sciences de la vie. Nous concevons et délivrons des systèmes répondant aux exigences de cybersécurité. Nous conseillons nos clients sur l’état de vulnérabilité de leurs systèmes et sur les mesures permettant d’améliorer leur cyber-protection.

 

Notre approche se base sur l’évaluation des risques et s’étend jusqu’au Maintien en Conditions Opérationnelles (MCO) qui est dorénavant indissociable du Maintien en Conditions de Sécurité (MCS). Ainsi les SII assureront durablement leurs missions en apportant aussi une réponse aux enjeux de pérennité qui est une problématique centrale pour ces systèmes.

L’objectif est de préserver les fonctions des systèmes industriels concernés : pilotage de process, fonctions de sûreté, climatisation d’un bâtiment, protection des personnes ou de l’environnement, distribution électrique, …

Notre offre se décline en 3 volets développés selon le contexte projet dans des positions d’AMO, de MOE, de conception/réalisation ou de maintenance :

  • Evaluer les risques, spécifier les mesures adaptées, valider l’efficacité de mesures en place ou suivre leur mise en œuvre prise en charge par d’autres acteurs. Cette démarche couvre par exemple l’accompagnement à l’homologation de sécurité (contexte LPM) qui consiste, tout au long d’un projet, à s’assurer que les systèmes développés sont correctement conçus, documentés et environnés pour garantir un niveau de risques résiduels acceptable.
  • Conception / réalisation de systèmes industriels (projets neufs ou rénovations) qui doivent embarquer de la cybersécurité et dans ce cas la prise en compte de la cybersécurité est couplée avec nos activités « classiques » d’intégration de systèmes.
  • Maintenance / MCO de systèmes couplée au MCS qui contribue ainsi à maintenir le niveau d’efficacité des mesures dans le temps (veille, patch management, sensibilisation, …).

Nos atouts

Expertise historique des métiers de l’OT

Double positionnement d’Ingénieriste et d’Intégrateur / Mainteneur

Expertises métiers et normatives multisectorielles

Indépendance technologique

Nos solutions en cybersécurité industrielle

analyse.png

Evaluation initiales des risques

Cartographies, Classification, Analyses de risques préliminaires et détaillées, Approches combinées

detection.png

Plan de traitement des risques

Spécification des mesures techniques et organisationnelles, Feuilles de route cyber, Documentation

industrial.png

Suivi du déploiement des mesures

Accompagnement à l’homologation (LPM), Audits, Caractérisation des risques résiduels

lpm.png

Conception et réalisation de SII sécurisés (projets neufs et rénovation)

Architectures réseau PLC/DCS, SCADA sécurisées, Mesures techniques (filtration, authentification, chiffrement, détection, …) et organisationnelles (formations, procédures O&M, …)

architecture.png

MCO et MCS de SII

Maintien en conditions opérationnelles, Ingénierie de pérennité, Veille d’obsolescence et de vulnérabilité, Patch management (bases CVSS), Sensibilisation des acteurs, Réévaluation des risques,

Parole d'experts

Sécurité des infrastructures sensibles: de la protection physique à la cybersécurité

"Il y a de vrais enjeux à sécuriser la partie OT qui demandent des compétences métiers combinées à une expertise en cybersécurité."
Michel DRAN
Responsable Développement Activités Sécurité et Contrôle
En savoir plus

Une question, un projet ?

Nous contacter