Cybersécurité pour des systèmes d’informations industriels...
Cybersécurité pour des systèmes d’informations nucléaires
Offre
La cybersécurité industrielle porte sur les systèmes d’information industriels. Elle comprend tout ce qui consiste à étudier les risques auxquels ils sont exposés, à définir et mettre en œuvre des mesures (techniques et organisationnelles) pour ramener ces risques à un niveau résiduel acceptable. L’anticipation des menaces et la veille des vulnérabilités doivent permettre d’assurer l’efficacité durable de ces mesures face à l’évolution des menaces et des risques.
Les Systèmes d’Information Industriels (SII) jouent un rôle prépondérant pour répondre aux enjeux stratégiques des industries et infrastructures complexes. Sous l’influence d’évolutions technologiques sur fond de digitalisation, d’intelligence artificielle et d’IOT, les SII ont connu des mutations profondes ces dernières décennies. L’hyperconnectivité et la normalisation des protocoles de communication ouvrent des possibilités immenses. Mais elles accroissent l’exposition des équipements et des systèmes aux cybermenaces qui sont une réalité quotidienne. En effet, les attaques toujours plus nombreuses et complexes peuvent engendrer des pertes d’exploitation, le vol d’informations technologiques ou l’altération de données sensibles. Dans le pire des cas, les événements redoutés peuvent même conduire à la destruction de l’outil industriel ou à des accidents industriels majeurs.
Dans ce contexte, la criticité des fonctions assurées par les Systèmes d’Information Industriels conduit à revoir les stratégies de conception des architectures de ces systèmes. Il en va de même pour le choix de leurs composants. La gouvernance des activités d’ingénierie, d’opération et de maintenance est aussi concernée pour chaque étape du cycle de vie des Systèmes.
Les référentiels nationaux (LPM et Guides ANSSI), européens (Directive NIS) et internationaux (norme IEC 62 443) apportent des réponses pour adresser la problématique cyber des SII. Ils combinent des approches issues de normes dédiées à la sécurité de l’information (série ISO 27 000) et des référentiels spécifiques aux systèmes d’information d’industriels tels que la norme IEC 61 511 qui est relative à la sécurité fonctionnelle. Ces différents référentiels apportent des réponses graduelles basées sur l’analyse des risques et la défense en profondeur.
La protection physique des sites est également à prendre en considération et s’inscrit dans une approche de sécurité globale à déployer en particulier chez les OIV (Opérateurs d’Importance Vitale) et les OSE (Opérateurs de Services Essentiels).
Assystem intègre des systèmes d’information industriels notamment dans le domaine de la GTC/GTB, de la Sûreté/Protection physique et du Contrôle-commande pour les secteurs du Nucléaire, du Transport, de la Défense ou des Sciences de la vie. Nous concevons et délivrons des systèmes répondant aux exigences de cybersécurité. Nous conseillons nos clients sur l’état de vulnérabilité de leurs systèmes et sur les mesures permettant d’améliorer leur cyber-protection.
Notre approche se base sur l’évaluation des risques et s’étend jusqu’au Maintien en Conditions Opérationnelles (MCO) qui est dorénavant indissociable du Maintien en Conditions de Sécurité (MCS). Ainsi les SII assureront durablement leurs missions en apportant aussi une réponse aux enjeux de pérennité qui est une problématique centrale pour ces systèmes.
L’objectif est de préserver les fonctions des systèmes industriels concernés : pilotage de process, fonctions de sûreté, climatisation d’un bâtiment, protection des personnes ou de l’environnement, distribution électrique, …
Notre offre se décline en 3 volets développés selon le contexte projet dans des positions d’AMO, de MOE, de conception/réalisation ou de maintenance :
Expertise historique des métiers de l’OT
Double positionnement d’Ingénieriste et d’Intégrateur / Mainteneur
Expertises métiers et normatives multisectorielles
Indépendance technologique
Cartographies, Classification, Analyses de risques préliminaires et détaillées, Approches combinées
Spécification des mesures techniques et organisationnelles, Feuilles de route cyber, Documentation
Accompagnement à l’homologation (LPM), Audits, Caractérisation des risques résiduels
Architectures réseau PLC/DCS, SCADA sécurisées, Mesures techniques (filtration, authentification, chiffrement, détection, …) et organisationnelles (formations, procédures O&M, …)
Maintien en conditions opérationnelles, Ingénierie de pérennité, Veille d’obsolescence et de vulnérabilité, Patch management (bases CVSS), Sensibilisation des acteurs, Réévaluation des risques,
Parole d'experts
"Il y a de vrais enjeux à sécuriser la partie OT qui demandent des compétences métiers combinées à une expertise en cybersécurité."
Nos projets