cybersécuritaire par conception - snc-lavalin/media/files/s/snc...physiques dans le monde réel qui...

La cyberrésilience dans un monde numérique Transports

Cybersécuritaire par conception 2019

› La cyberrésilience et les transports : des défis uniques

› Sous la surface : un coup d’œil sur les technologies numériques qui permettent à nos réseaux ferroviaires de fonctionner

› Présentation de nos capacités dans les domaines de l’ingénierie de la cybersécurité et des services-conseils

› Intégrer la cyberrésilience dans l’ADN du transport ferroviaire

Comme de nombreux secteurs autour du globe, celui des transports vit actuellement sa plus importante évolution grâce à l’augmentation exponentielle de l’utilisation de technologies numériques et de la connectivité à grande échelle au moyen de l’Internet industriel des objets (IIdO).

Étant donné les nombreux avantages que procurent la transformation numérique et l’avènement de l’industrie 4.0, les organisations ont naturellement hâte de profiter des avantages et deviennent des adeptes précoces. Cette évolution numérique doit toutefois se faire sans risque et de façon cybersécuritaire, sans quoi elle pourrait faire plus de tort que de bien.

Un changement d’une telle envergure soulève toutefois quelques questions importantes. Le secteur du transport est-il sur la bonne voie pour atteindre un niveau adéquat de cyberrésilience? Les exploitants de transports ferroviaires et les organismes de réglementation du transport de l’Amérique du Nord ont-elles pris du retard par rapport aux autres industries de pointe et aux autres parties du monde en ce qui concerne les lois sur la cybersécurité et leur niveau général de préparation? Les technologies, compétences et infrastructures adéquates sont-elles en place pour protéger les infrastructures nationales essentielles de notre pays?

Dans cet article, nous avons rassemblé les points de vue de nos spécialistes de l’Amérique du Nord et du Royaume-Uni pour discuter de certains des thèmes et défis les plus importants. Nous allons plus loin que la surface de l’interface homme-machine pour explorer les technologies axées sur la cybernétique qui peuvent permettre à nos infrastructures de transport et aux autres infrastructures nationales essentielles de fonctionner en toute sécurité. >

Mot du rédacteur en chef

Nous présentons notre cadre de cybersécurité dès la conception pour les projets, qui comprend des phases et des jalons essentiels à l’obtention d’un produit final conforme qui est aussi fonctionnel que sécuritaire.

À SNC-Lavalin Atkins, nous sommes ravis de mener la progression numérique dans la cyberindustrie, mais nous savons que les formidables nouvelles occasions sont accompagnées d’une toute nouvelle série de risques inédits. Nous espérons que vous et votre organisation vous reconnaîtrez dans le contenu du présent document. Pour toute rétroaction ou tout commentaire, nous vous invitons à communiquer avec nous. •

Chris est un professionnel de l’ingénierie agréé et un ingénieur de réseaux agréé qui possède 16 ans d’expérience technique. Travaillant au Canada et au Royaume-Uni, il se spécialise dans les secteurs des systèmes de contrôle industriel, des systèmes de contrôle ferroviaire, de la télésurveillance et de l’acquisition de données, des télécommunications et des technologies numériques de l’IdO.

En tant que responsable technique et stratégique de la cybersécurité du secteur Transport collectifs et ferroviaires de SNC-Lavalin, il a mis au point un cadre de gouvernance sur mesure pour la réalisation de projets sécuritaires dès la conception et offre aux clients des services-conseils en cyberingénierie, notamment de la consultation technique, de la gestion des risques, des solutions numériques innovatrices, de la gestion de chaîne d’approvisionnement, de la planification des interventions en cas d’urgence et plus encore.

Mot du rédacteur en chef

Chris JohnsonCEng Responsable de la cybersécurité

Matt possède plus de 20 ans d’expérience en ingénierie des systèmes, assurances technique et cybersécurité. Il fournit des conseils à titre d’expert en la matière de catégorie C à des clients clés sur divers sujets, dont la sécurité des transports, l’assurance des systèmes de sécurité, l’architecture de la télésurveillance et de l’acquisition de données sécuritaire et l’Internet des objets.

Matt a déjà collaboré avec le gouvernement du Royaume-Uni et le secteur universitaire pour élaborer des normes et des directives mondiales dans le domaine de la cybersécurité et des infrastructures intelligentes.

Martine possède de solides antécédents en ingénierie des réseaux électriques et en cybersécurité des systèmes de contrôle industriel. En tant qu’ingénieure en cybersécurité chez SNC-Lavalin, Martine dirige les services-conseils dans ce domaine afin d’assurer la cyberrésilience des infrastructures nationales essentielles. De la création de cadres de gouvernance à la planification d’interventions en cas d’attaque, en passant par les procédures de récupération et de continuité des affaires, Martine possède de l’expérience en gestion des cyberrisques, en protection, en détection et en réduction des impacts lors de cyberincidents.

Campbell possède plus de 10 ans d’expérience en infrastructures nationales essentielles (pétrole et gaz, nucléaire civil, eau et transports), ce qui lui permet d’aider les organisations à évaluer les risques relatifs à la cybersécurité, plus particulièrement la technologie des systèmes de contrôle industriel et la technologie opérationnelle. Campbell a consacré les 12 derniers mois à aider les organisations à comprendre et respecter les règlements de la directive sur les réseaux et systèmes d’information.

Martine ChlelaB. Sc., M. Sc., Ph. D.Ingénieure en cybersécurité

Matt SimpsonB. Ing. (av. mention), CEng, MIET, architecte de sécurité SCADA certifié, praticien d’implémentation certifié ISO 27001Directeur technique

Campbell HaydenB. Sc., GICSP, SCCP, MIET, M.Inst.ISPConsultant principal

Nos collaborateurs

La cyberrésilience et les transports : des défis uniques

Chris Johnson// CEng, responsable de la cybersécurité

« Contrairement à de nombreuses entreprises commerciales où la protection des données et la confidentialité sont reines, les valeurs qui sont au cœur de nos infrastructures de transport sont différentes. La priorité tourne plutôt autour de trois grands principes : la sécurité, l’intégrité et la résilience opérationnelle. »

Une évolutionÀ l’avènement des chemins de fer, il n’existait tout simplement pas de signalisation efficace pour les véhicules ferroviaires. Il n’est donc pas étonnant que de nombreuses collisions désastreuses et pertes de vie se soient produites. De manière similaire, il y a eu une période dans l’histoire de l’industrie automobile où les fabricants de voitures niaient l’importance des ceintures de sécurité. Durant la même période, le nombre de véhicules sur la route a augmenté rapidement. Encore une fois, de nombreux accidents se sont produits et de nombreux décès en ont résulté.

Heureusement, les choses ont changé dans les deux industries, ce qui a nécessité de grands sacrifices et qui a pu être effectué uniquement à la suite de plusieurs tollés, d’enquêtes, d’initiatives juridiques, de surveillance réglementaire et d’adoptions de lois.

Notre prochain grand défi concerne le déploiement exponentiel sécuritaire des technologies numériques. On crée des solutions avec de bonnes intentions, mais elles sont vulnérables à l’exploitation et la compromission de par leur nature. Auparavant, les systèmes industriels étaient protégés par la séparation physique de l’environnement de travail et du domaine public. Cet écart se referme, toutefois, en raison du désir de recueillir des données et d’augmenter l’automatisation grâce à un contrôle mieux distribué sur un réseau.

Technologies convergentesLes environnements commerciaux comprennent généralement un service de technologies de l’information (TI) qui communique à l’aide d’une technologie réseau pour améliorer les processus d’affaires.

C’est l’ajout d’un troisième élément appelé la technologie opérationnelle qui distingue les secteurs du transport et industriel.

La convergence de ces trois disciplines d’ingénierie crée un « triplé technologique » dans lequel résident les connaissances du domaine de l’industrie. Il s’agit de la traduction des signaux électroniques sur le plan virtuel pour produire des résultats physiques dans le monde réel qui rendent le défi de la cyberrésilience encore plus important.

Dans notre monde qui est maintenant cyberphysique, des événements indésirables peuvent avoir des répercussions directes sur la sécurité du public ou l’environnement. >

La cyberrésilience et les transports :des défis uniques // Chris Johnson

Connaissances du domaine de l’industrie

Technologie réseau

Technologies de l’information

Technologie opérationnelle

Les priorités sont différentesLes actifs et les systèmes de sécurité, dont les systèmes de contrôle ferroviaire et de ventilation des tunnels, sont essentiels à l’exploitation sécuritaire de métros et de voies ferrées. Les systèmes essentiels doivent être séparés et protégés contre les attaques malveillantes et la compromission accidentelle.

La résilience opérationnelle a pour but de maintenir les services aux passagers et la continuité des affaires même en cas de défaillance du réseau sous-jacent ou des composants du sous-système.

Ces objectifs prioritaires sont atteints grâce à l’intégration préventive de la cybersécurité dès la conception ainsi qu’à l’évaluation des menaces et des vulnérabilités après la mise en vigueur. La cyberingénierie doit être confiée à des autorités compétentes qui comprennent le secteur, son fonctionnement ainsi que les technologies intégrées, et peuvent donc déterminer où des mesures d’atténuation des risques ou des améliorations sont nécessaires. La sécurité, la disponibilité, l’intégrité et la maintenabilité sont les mesures que nous utilisons pour évaluer la sécurité des infrastructures nationales essentielles. >

« Les systèmes essentiels doivent être séparés et protégés contre les attaques malveillantes et la compromission accidentelle. »


Des systèmes complexes à plusieurs facettesLes réseaux ferroviaires sont composés d’un cocktail complexe de systèmes et de technologies intégrés, chacun ayant sa propre fonction et son propre degré d’importance. Les systèmes de transport ferroviaire sont un creuset pour une ingénierie multidisciplinaire, où les nouvelles et les anciennes technologies se chevauchent et s’influencent entre elles. Les protocoles d’origine et modernes, dans chaque direction, doivent maintenant coexister, ce qui a une incidence sur l’interopérabilité et la responsabilité. Ainsi, la cyberrésilence pour les infrastructures de transport (pour des projets existants et nouveaux) nécessite une approche unique.

Les réseaux et les actifs ferroviaires sont maintenant dispersés, interreliés et commandés à distance de telle façon que nos infrastructures représentent un système nerveux délicat doté de nombreuses pièces mobiles et de nombreux points d’accès. Les solutions ferroviaires contemporaines doivent intégrer la cybersécurité dès leur conception. Ainsi, cette nouvelle facette numérique signifie que l’ingénierie et l’intégration de systèmes doivent être fondamentalement repensées.

Les exigences sont différentesMalgré la similitude des technologies utilisées, il y a une énorme différence entre les centres de données types et les réseaux industriels. Les façons de faire traditionnelles dans un environnement informatique classique s’avèrent souvent impossibles en raison des contraintes et des exigences du monde industriel. En effet, les réseaux industriels changent la façon dont les systèmes doivent être conçus, obtenus, construits, mis à l’essai, exploités et entretenus. Les appareils industriels et leurs fonctions sont souvent de nature exclusive et peuvent être sensibles aux correctifs, aux mises à jour et à la protection superposée contre les virus. Des essais rigoureux sont essentiels avant de déployer des mises à jour dans un environnement de production ou d’exploitation sensible. Le tableau ci-dessous présente un résumé de la comparaison. >


Catégorie TI conventionnelles Systèmes de contrôle industriel

PROTECTION CONTRE LES VIRUS

À GRANDE ÉCHELLE COMPLIQUÉE, SOUVENT IMPOSSIBLE

CYCLE DE VIE DE 3 À 5 ANS DE 5 À 20 ANS

IMPARTITION À L’EXTERNE DE L’O&M, ASSISTANCE

À GRANDE ÉCHELLE INHABITUELLE

GESTION DES CORRECTIFS

RÉGULIÈREMENT, QUOTIDIENNEMENT

RAREMENT, DOIT ÊTRE APPROUVÉE PAR L’AUTORITÉ DES SYSTÈMES

MODIFICATIONS FRÉQUENTES RARES

DÉPENDANCE AU TEMPS RETARDS ACCEPTÉS CRITIQUE

DISPONIBILITÉ 8X5/260 - 24X7/365 24X7/365

SENSIBILISATION À LA CYBERSÉCURITÉ

BONNE LIMITÉE

ESSAIS DE SÉCURITÉ SÉCURISÉS, PAR LE PERSONNEL RARES, POSENT UN PROBLÈME

L’adoption des solutions numériques comporte des risques. Pour atteindre la cyberrésilience – en transport et dans d’autres infrastructures nationales essentielles – les organisations doivent gérer et atténuer les risques dans les trois principaux domaines :

Des occasions grâce à la technologie › Sécurité améliorée › Activités simplifiées et optimisées › Contrôle centralisé du trafic › Système de gestion du trafic › Capacité de transit améliorée › Gestion de bâtiment à distance › Surveillance de l’état à distance

sophistiquée › Entretien préventif › Expérience passager améliorée › Réduction des coûts › Décisions automatisées en temps réel › Système informatisé de gestion de

l’entretien (SIGE)

Nouvelles technologies, nouvelles vulnérabilités Une faiblesse ou un incident dans l’un des trois aspects clés peut provoquer d’importantes pertes pour une société ferroviaire, dont des pertes financières et l’atteinte à la réputation. Voici quelques points d’origine de ces incidents :

› La chaîne d’approvisionnement › Une architecture non sûre › Des systèmes classiques non sûrs › Le manque de formation du personnel › L’absence d’un plan d’urgence › Des mesures de sécurité

physique faibles › Des registres des actifs incomplets › Des connexions réseau externes

non sûres › Une connectivité et des points d’accès

au réseau accrus › L’absence d’un régime de mise à jour

et de correction des systèmes >


Cyberrésilience

Facteurs humains

Outils et technologie

Préparation de l’organisation

Comment les propriétaires, exploitants et fournisseurs d’infrastructures peuvent‑ils relever ces défis uniques?Près du trois quarts des entreprises (74 %) sont actuellement reconnues comme considérablement mal préparées en ce qui concerne les aspects clés de la cyberpréparation[1].

Chaque scénario est différent et nécessitera son propre point de départ unique. Par exemple :

Les villes, municipalités et toutes les instances gouvernementales devraient faire de la cybersécurité une partie intégrante de tout nouveau projet d’infrastructure de transport, grâce à la collaboration avec un groupe de consultation technique ou des experts en la matière.

Les exploitants et agents d’entretien existants devraient commander une évaluation de la sécurité pour connaître leur exposition actuelle réelle aux cyberatteintes, les pertes financières qui y sont associées ainsi que leur conformité ou non aux lois, et aussi pour mieux déterminer où investir dans le cadre de leur virage numérique.

Les fournisseurs de toute envergure devraient investir dans des cyberressources et des compétences afin de s’assurer que leurs produits, solutions et services respectent les exigences et les lois toujours plus strictes et en constante évolution.

La traduction à l’actionEn collaborant avec l’un de nos consultants en cybersécurité spécialisés en transports à SNC-Lavalin Atkins, vous pourrez bénéficier des éléments suivants :

› Le cyberpaysage peut être intimidant. Établir un point de départ pour évaluer votre degré de risque actuel en matière de cybersécurité et votre vulnérabilité à la compromission est essentiel.

› Créer une feuille de route personnalisée pour la gouvernance adéquate de la cybersécurité, adaptée à votre organisation.

› Adopter les principes de cybersécurité à tous les échelons de votre entreprise.

› Vous assurer qu’aucun effort n’est négligé relativement aux aspects clés suivant : les facteurs humains, les outils et technologies et la préparation organisationnelle.

› Vous assurer que l’amélioration de la cyberrésilience se fait grâce à des investissements ciblés et dans les domaines où ils sont nécessaires, afin d’optimiser vos avantages.

› Appliquer les notions de base pour vous assurer que votre organisation adopte des mesures fondamentales pour se protéger. •

Train léger sur rail transurbain Eglinton Crosstown

[1] – Rapport Hiscox sur la cyberpréparation, 2019


Sous la surface : un coup d’œil sur les technologies numériques qui permettent à nos réseaux ferroviaires de fonctionner

Martine Chlela// B. Sc., M. Sc., Ph. D., ingénieure en cybersécurité

Une vision architecturale holistique des systèmes de contrôle industriels (SCI)Lorsqu’on considère les architectures numériques des SCI, il y a plus qu’il n’y paraît au premier coup d’œil. Le modèle Purdue Enterprise Reference Architecture a été créé selon la norme ISA99 pour saisir les interfaces homme-machine du niveau de l’application jusqu’aux actifs du point terminal et tout ce qui se trouve « entre ». Conçu à l’origine pour illustrer la connectivité entre la zone entreprise et l’environnement industriel, ce modèle est maintenant un outil puissant pour représenter les concepts de la cybersécurité. Vous trouverez ci-dessous une introduction à l’équipement typique de chaque niveau. Ci-après, nous présentons une variété de technologies pour explorer comment nos architectures SCI peuvent être sécurisées et illustrées dans un diagramme holistique qui comprend les niveaux 5 à 0 du modèle Purdue.

Entreprise Zone entreprise

Les systèmes d’infrastructures des technologies de l’information (TI) et les applications sont confinés aux niveaux 4 et 5. Le Web, la comptabilité et les serveurs de courriel se trouvent dans le niveau 5. En matière de sécurité, ce niveau est celui qui inspire le moins confiance et doit être séparé des environnements opérationnels et de production.

Planification commerciale et logistique du site – Zone entreprise

Le niveau 4 est un prolongement du niveau 5 et il comprend les systèmes de TI responsables des services de signalement, de planification, de gestion des opérations et de la maintenance, de courriels et de l’impression. L’accès à l’environnement SCI est géré à l’aide d’une zone démilitarisée (ZD). Il y a une demande grandissante pour le transfert de données de grande valeur des niveaux inférieurs de la hiérarchie au niveau 4 pour pouvoir prendre des décisions commerciales et d’optimisation. Ce transfert doit être exécuté soigneusement pour protéger les systèmes essentiels.

Zone démilitariséeZD

La ZD joue le rôle d’une zone tampon où il est possible de partager les services et les données entre l’environnement SCI et la zone entreprise. La ZD permet d’effectuer une segmentation efficace et le contrôle de la sécurité. À ce niveau du modèle Purdue, vous pouvez obtenir une grande visibilité du trafic échangé sur le réseau, ce qui permet d’effectuer une inspection approfondie des paquets, la détection des anomalies, de la prévention et de nombreuses autres fonctions de sécurité. >

Sous la surface : un coup d’œil sur les technologies numériques qui permettent à nos réseaux ferroviaires de fonctionner // Martine Chlela

Niveau 5

Niveau 4

ZDTrain léger sur rail d’Ottawa

La ZD peut aussi comprendre une plateforme de cybersécurité (PCS) qui comporte des outils de sécurité et des technologies. Les fonctions sont centralisées et transmises pour servir les niveaux inférieurs. Les outils de sécurité, les systèmes et les serveurs qui se trouvent dans le modèle Purdue représentent uniquement un sous-ensemble échantillon des options potentielles qui pourraient être mises en œuvre dans la plateforme de cybersécurité. Une zone de quarantaine est définie dans la ZD où les médias amovibles externes utilisés pour les mises à jour et les mises à niveau peuvent être manipulés de manière sécuritaire.

Exploitation et contrôle Zone d’exploitation et de contrôle de supervision

Les éléments du niveau 3 sont habituellement des interfaces frontales des dispositifs terminaux. À ce niveau, l’équipement permet d’effectuer la reproduction, la supervision et les activités des actifs du SCI, par exemple : la télésurveillance et l’acquisition de données, le système de contrôle distribué, le contrôle d’accès, la téléphonie, la télévision en circuit fermé et la plateforme de cybersécurité. L’interface homme-machine et les applications du niveau 3 communiquent avec les systèmes du niveau 4 par la ZD. La communication directe entre ces niveaux est fortement déconseillée.

Contrôle de supervision de la zoneZone d’exploitation et de contrôle de supervision

C’est au niveau 2 que se retrouvent tous les systèmes centraux, les serveurs et le matériel. Ici, les terminaux de maintenance sont exploités par des ingénieurs de domaine SCI formés et permettent d’effectuer la configuration, l’interrogation et la manipulation des systèmes. Le système de gestion de réseau surveille le comportement du réseau, construit une topologie et

fournit un portail pour la mise en œuvre des politiques de sécurité de ce dernier. Les serveurs du système de sauvegarde et d’images sont aussi représentés dans le niveau 2.

Contrôle de base Zone cellulaire ou de la région

Le système de contrôle distribué représente l’entité de contrôle, qui pourrait être un système de contrôle ferroviaire dans les applications ferroviaires, un système de gestion de l’énergie dans les réseaux électriques ou un contrôleur de gestion de stationnement dans les villes intelligentes. L’équipement de contrôle des processus fait partie du niveau 1 et comprend les automates programmables industriels (API) de niveau d’intégrité de sûreté (SIL) ou autres, les unités de télégestion et les systèmes de contrôle distribué, qui sont responsables du contrôle continu, séquentiel, de lots et discret. Ces dispositifs de niveau 1 manipulent directement le comportement des actifs physiques au niveau 0.

ProcessusZone cellulaire ou de la région

Le niveau 0 comprend les éléments d’instrumentations qui se connectent directement au processus et le contrôle. Par exemple, les actifs du niveau 0 peuvent comprendre de la signalisation routière, des barrières de passage à niveau, des caméras de télévision en circuit fermé, des disjoncteurs, des capteurs, des compteurs intelligents, des systèmes de ventilation et des détecteurs d’incendie. Dans le domaine ferroviaire, un grand nombre de ces systèmes sont essentiels pour la sécurité. >

Niveau 3

Niveau 2

Niveau 1

Niveau 0


Serveurs FTP/SFTP

Serveurs FTP/SFTP

SCADA HMI

Serveur decontrôle d’accès

PLC PLCRTU RTUDCS DCS

Compteur intelligent Disjoncteur Relais Gestion de la circulation Ventilation Détecteur d’incendie Pompe Vanne CCTV

Poste SCADA Postes d’entretien Téléphonie Serveurd’automatisation

du bâtiment

Serveurde gestion

du stationnement

Plateforme CCTV NMS DCS Serveur de système d'images et de sauvegarde

Plateforme decybersécurité HMI

DCS HMI CCTV HMI Contrôled’accès HMI

Imprimante à cartede contrôle d’accès

Serveur d'historique partagé

Serveurs d’applicationpartagés

Serveur d’accèsà distance

Plateforme de cybersécurité Zone de quarantainesécuritaire

Niveau 5 :Entreprise

Niveau 4 :Planificationdes affaireset logistique

Services Internetet infonuagiques

Niveau 3 :Opérationset contrôle

Niveau 2 :Contrôle de

supervision dela zone

Niveau 1 :Contrôlede base

Niveau 0 :Procédure

Zoneentreprise

Zonedémilitarisée

Exploitationet zone decontrôle desupervision

Zone cellulaireou de la région

SIEM Gestiondes actifs

Détectiondes anomalies

Serveur d'historique du journal de sécurité

Serveur/archive demots de passe

Médias amovibles/terminaux de mise à jour

Correctif/serveursd’antivirus

Agrégateurs IDS/sécurité






Serveurs d’impression

Serveurs Web

Gestion des opérationset de la maintenance

Serveur decourrier électronique

Services decourrier électronique

Systèmescomptables

Applicationsd’entreprise


Au‑delà des pare‑feuCompter uniquement sur les pare-feu n’est plus suffisant pour assurer la cyberrésilience à cause des éléments suivants :

1 › Les pirates ont les ressources et les capacités nécessaires pour contourner un périmètre de réseau et infiltrer une infrastructure essentielle.

2 › Les personnes qui représentent des menaces internes peuvent avoir accès à de l’équipement du côté protégé du pare-feu.

3 › Les cyberincidents sont le plus souvent provoqués par une erreur humaine. Un pare-feu a une fonction de sécurité très mince et ne protège pas contre de nombreuses sources de danger.

Les pare-feu et la protection des terminaux restent la première ligne de défense et devraient être adéquatement mis en œuvre et configurés. À SNC-Lavalin Atkins, notre approche de défense en profondeur consiste à utiliser différents niveaux de sécurité et à mettre en œuvre différents outils et différentes technologies pour atteindre la cyberrésilience. Les technologies ci-dessous offrent une protection supérieure à celle des pare-feu.

Périmètre global défini par logiciel (SDP) – le périmètre logiciel est une solution de sécurité qui combine différentes fonctions de sécurité pour assurer que tous les terminaux qui tentent de se connecter à une infrastructure de réseaux soient regroupés, reconnus et autorisés avant d’obtenir l’accès. La technologie SDP permet aux ingénieurs de réseaux de définir des groupes d’utilisateurs de manière efficace grâce à un outil logiciel et à une interface utilisateur graphique. Cela permet d’éliminer le temps système qu’entraîne la reconfiguration et la reconception du réseau, qui est inhérent aux mécanismes conventionnels, p. ex. les réseaux locaux virtuels (VLAN), les sous-réseaux et les listes de contrôle d’accès. Le résultat est une série de segments logiques gérables et dynamiques, un peu comme des couches qui recouvrent la structure du réseau. >


Gestion des actifs – l’utilisation d’outils qui peuvent effectuer la découverte automatisée des actifs, la classification, l’enregistrement et la gestion est l’une des 10 meilleures mesures de sécurité ICS-CERT. Elle est étonnamment simple et peut fournir une visibilité complète du réseau ICS. Cet outil aide aussi à la planification des projets d’assistance, la hiérarchisation des mises à niveau, le déploiement des correctifs, l’élaboration de plans d’intervention en cas d’incident et la proposition de stratégies d’atténuation.

Diodes réseaux – lorsqu’on recherche une exfiltration des données par l’exploitant des systèmes de contrôle industriel ou l’agent d’entretien, cela doit être effectué de façon sécuritaire pour protéger les actifs opérationnels qui génèrent les données. Les passerelles unidirectionnelles ou les diodes réseaux peuvent fournir un débit de trafic réseau dans une direction à l’aide d’un composant réseau physique. La technologie de fibre optique est utilisée pour assurer que l’afflux de trafic provenant de la zone Purdue avec un niveau de confiance inférieur est impossible par l’entremise de ce canal.

La sécurité de l’information et la surveillance d’événements (SIEM) – les systèmes de contrôle industriel sont des environnements hétérogènes qui comprennent un vaste mélange de systèmes d’exploitation, de dispositifs et de systèmes. Un outil SIEM doit être sélectionné pour permettre la surveillance et l’assistance du journal des événements en temps réel dans les différents environnements. Le plan de surveillance d’événements utilisé ne doit pas uniquement surveiller le journal des événements de sécurité. Il doit aussi surveiller les autres journaux qui peuvent révéler, entre autres, des applications, des problèmes de matériel ou des programmes malveillants. La technologie sélectionnée doit permettre de remonter à l’origine de tous les événements surveillés.

Correctifs – de l’ajout de nouvelles fonctionnalités à la réparation des failles de sécurité, en passant par la correction ou l’élimination de bogues, il est important d’effectuer des mises à jour régulières et d’installer les correctifs des actifs numériques

des systèmes de contrôle industriel. Un processus systématique est requis pour assurer que des tests fiables et des procédures de retour en arrière sont en place avant de mettre en œuvre un nouveau correctif dans l’environnement de production.

Journalisation de sécurité – chaque système qui se trouve dans un réseau génère un type de fichier journal qui contient de nombreuses informations importantes qui pourraient être utilisées pour réduire l’exposition des systèmes de contrôle industriel aux dommages, aux pertes, à la responsabilité civile, aux intrus et aux programmes malveillants. Vous devez utiliser une stratégie et des outils de gestion des journaux adéquats pour gérer automatiquement les informations des journaux provenant de différentes sources, dans différents formats et dans des volumes massifs.

Détection d’anomalies – les outils de détection d’anomalies permettent de détecter tous les changements apportés aux actifs essentiels, qu’ils aient été effectués sur le réseau ou directement sur les dispositifs physiques. Ils génèrent des alertes en temps réel basées sur une détection précoce des activités malveillantes et des changements non autorisés, ce qui facilite le dépannage des problèmes opérationnels et la découverte rapide de leurs sources.

À SNC-Lavalin Atkins, nous interprétons et définissons les architectures numériques des systèmes de contrôle industriel pour offrir une représentation holistique de la technologie opérationnelle, des TI et des systèmes et technologies de la technologie réseau, notamment leurs interfaces et leurs flux de données. Cela nous permet d’effectuer une analyse approfondie de l’architecture numérique pour identifier les failles et les faiblesses des systèmes, et d’évaluer la position du système de contrôle industriel en matière de cybersécurité. Nous soutenons nos clients dans leur volonté d’explorer les options et leurs activités d’approvisionnement grâce à de la consultation technique sur la sécurité axée sur les dispositifs de sécurité, les technologies et les solutions à mettre en œuvre pour améliorer la résilience dans les environnements nouveaux et existants. •


Présentation de nos capacités en ingénierie de la cybersécurité et des services‑conseils

SNC‑Lavalin Atkins : un éventail complet de services de cybersécuritéÀ SNC-Lavalin Atkins, l’ingénierie de la cybersécurité consiste à offrir à nos clients des solutions holistiques complètes. Nous fournissons des cadres de gouvernance adaptés et une infrastructure numérique sécuritaire dès sa conception pour gérer les risques et atténuer les menaces du monde réel. Les parties prenantes, les exploitants et les fournisseurs des infrastructures nationales essentielles obtiennent donc une cyberrésilience opérationnelle, une assurance système et de la conformité aux normes de l’industrie.

Il existe de nombreuses approches pour diviser la cybersécurité en éléments gérables. Le cadre du National Institute of Standards and Technology (NIST) utilise, par exemple, la méthode suivante : repérer, protéger, détecter, intervenir et récupérer.

Notre gamme de services est harmonisée avec l’approche du NIST et utilise les conventions suivantes pour couvrir la nature vaste et cyclique de la cybersécurité :

› Quatre objectifs principaux › 14 principes clés › Ensemble défini de services

Dans les pages qui suivent, nous expliquerons plus en détail certains de nos principaux services. >

14 principes

Services decybersécurité

1

3

2

4

Quatreobjectifs

essentielsHarmonisésavec le NIST

Gest

ion

des r

isque

sGo

uver

nanc

e

Gestion de la chaîne

d’approvisionnement

Gestion

des actifs

Réseaux Contrôle d’identité Sélections

résilients et d’accès des technologies

Sécurité Facteurs Intégrité

des données humains opérationnelle

Systèmes de détection

d’in

trusi

on

Surveillance de la sécurité e

t des

évén

emen

ts

Leçons apprises

Planification des interventions et de la récupération

Éval

uatio

n de

s men

aces

et de

la vu

lnérabilité

Interprétation des exigences

S

uite

de g

estio

n de l

a c

ybersécurité adaptée Stratégie de cyberdéfense Assurance du concept

Formation et Sécurité dès

sensibilisation la conception

Consultation technique Planification de la mise en œuvre Essais de pénétration

Opti

ons p

otent

ielles

et ap

prov

ision

nem

ent

Soumission, faisabilité, conception, construction, test et mise en service

Ana

lyse d

e l’ar

chite

ctur

e nu

mér

ique

Plan d’intervention en cas

d’incident et de continuité des affaires

Services-conseils

pour la conformité

Gestion des risques de sécurité

Protection contre les cyberattaques

Détection des événements de cybersécurité

Minimiser l’impact des incidents

Pierres angulaires de la cybersécurité

Présentation de nos capacités en ingénierie de la cybersécurité et des services-conseils

Formation et sensibilisation – les effectifs d’une entreprise sont le plus grand atout qu’elle possède en matière de sécurité, mais aussi sa plus grande menace. La gouvernance humaine doit être adaptée de manière à ce que les personnes ne soient pas encouragées à suivre le chemin qui a le moins de résistance et à contourner les contrôles de sécurité. Des politiques, des procédures et une sensibilisation à la sécurité adaptées, qui améliorent les processus d’affaires et ne nuisent pas à la productivité doivent être élaborées et mises en œuvre en tant qu’aspect fondamental de la cybersécurité. Une fois que les politiques et procédures ont été établies, il est essentiel de les tester dans le cadre du cycle opérationnel.

Consultation technique – Le positionnement de la cybersécurité des systèmes de contrôle industriels pourraient être évalué en utilisant une approche holistique pour saisir les éléments clés suivants :

› Le respect des exigences techniques juridiques et contractuelles pour rester conforme.

› La sélection, la mise à niveau et l’amélioration des outils et technologies de sécurité utilisés.

› La compréhension des répercussions sur les actifs particuliers du domaine pour pouvoir établir une intervention et un plan de récupération appropriés ainsi que des mises à jour de sécurité et un processus de correction.

La gestion des cyberexigences et l’analyse des lacunes dans les trois domaines ci-dessus permettent aux exploitants de systèmes de contrôle industriels de hiérarchiser et de gérer les besoins critiques. >

RÉSILIENCE

COMMERCIALE ET

OPÉRATIONNELLE

ÉVOLUTION

NUMÉRIQUE

TOUT EN GÉRANT

LES RISQUES

ÉCONOMIES

DE COÛTS ET

PÉRENNITÉ


Suite de gestion de la cybersécurité adaptée – à l’instar d’autres disciplines d’ingénierie clés telles que la fiabilité, la disponibilité, la facilité d’entretien et la sécurité, la cybersécurité doit être intégrée de la conception jusqu’au développement dans le cadre de la passation aux opérations. Le cadre de gouvernance du projet est obtenu à l’aide de la définition et de la mise en œuvre d’une feuille de route d’ingénierie. Nous avons mis sur pied un cadre de projet de cybersécurité qui permet à nos clients d’atteindre la cyberrésilience grâce à une approche sécuritaire dès la conception. Consultez le diagramme complet ci-après

Évaluation des menaces et de la vulnérabilité – il est nécessaire de comprendre le niveau système de tous les actifs compris dans un écosystème numérique (leur criticité, leur fonction et leur architecture) pour identifier et analyser les vecteurs de menace présents dans un environnement industriel

L’évaluation des menaces et de la vulnérabilité est une étape clé pour exécuter une nouvelle infrastructure et est un élément essentiel des travaux d’ingénierie de la cybersécurité dans les grands projets.

Des évaluations des menaces et de la vulnérabilité doivent être effectuées tout au long du cycle de vie d’un système pour s’assurer de maintenir le positionnement de la cybersécurité, par exemple dans les scénarios de projets existants.

L’objectif de l’exercice d’évaluation des menaces et de la vulnérabilité est de mettre en évidence les faiblesses du système et de traduire cette analyse par un investissement de temps, des efforts et des ressources ciblés. Par exemple, une offre de services équilibrée pour les mises à niveau technologiques et des processus organisationnels rationalisés font baisser le risque résiduel à un niveau acceptable. >

Réseau express métropolitain (REM)


Jalon du projet CybersécuritéCS

Jalon partagé

Jalon de la cybersécurité

Phase partagée

LÉGENDE :

Cadre de projet de cybersécurité : transports collectifs et ferroviaires

DÉFINITION DES EXIGENCES

(SPÉCIFICATIONS TECHNIQUES)

STRATÉGIE DE GOUVERNANCE DE LA CYBERSÉCURITÉ

1

1

DÉFINITION DU SYSTÈME

DÉFINIR LE SYSTÈME

2

2

CONCEPTION PRÉLIMINAIRE

ÉVALUER LA MENACE ET LA VULNÉRABILITÉ

(TVA)

3

3

TEST ET MISE EN SERVICE (T&C)

ÉVALUER ET AUTORISER LES CONTRÔLES

DE SÉCURITÉ

6

6

CONCEPTION DÉTAILLÉE

SÉLECTIONNER ET CONCEVOIR DES

CONTRÔLES DE SÉCURITÉ

4

4

EXPLOITATION ET ENTRETIEN (O&M)

SURVEILLER LES CONTRÔLES

DE SÉCURITÉ

7

7

CONSTRUCTION ET INSTALLATION

METTRE EN ŒUVRE DES CONTRÔLES

DE SÉCURITÉ

5

5

SERVICES DE REVENUS

Soumission

Soumission

PA

PA

ICD IDR FDR FAT PICO SAT SIT S&A Cert

AMP

RSACDRProjet

PHA/TVA

RACI n° 1Identification des systèmes HAZID n° 2

Procédures de récupération d’essai

Plan de mise en œuvre

Classification des systèmes

RACI n° 1 convenue

HAZID n° 1 Durcissement des systèmes

Remise du journal HAZID

RACI n° 2 convenue

TVA

Configuration de base de la CS

Remise de la politique

de cybersécurité d’O&M

Conformité de la conception

de la CSCSMP

Cadrage(ingénierie)

O&M engagé(AMP)

PDR

Cyberresponsable nommé(construction)NIST 800-82

Groupe S&SA : Responsable de la

stratégie de cybersécurité

Conception de systèmes : Responsable de l’activité

d’approvisionnement cyberconsciente

Conception de systèmes : Responsable de la solution de

conception cybercentrique

Construction de systèmes :Responsable de la mise en œuvre de la cybersécurité

Groupe T&C : Responsable du régime de tests cybersécurisés

Groupe O&M : Responsable de l’adoption des politiques et procédures de cybersécurité

1 4 6532

CYCLE DE VIE

DU PROJET- 1 7

CYCLE DE VIE DE LA

CYBERSÉCURITÉ

- 1 7

Phas

e pa

rtag

ée

1 –

6

Produits de cybersécurité (aperçu)


Campbell Hayden// B. Sc., GICSP, SCCP, MIET, M.Inst.ISP, consultant principal

Les défis de la chaîne d’approvisionnement dans les infrastructures nationales essentielles Lorsque les règlements des réseaux et systèmes d’information 1 sont entrés en vigueur au Royaume-Uni, les organisations qui exploitaient nos infrastructures nationales essentielles sont devenues légalement responsables des cyberrisques des chaînes d’approvisionnement qui ont des répercussions sur la prestation de services essentiels. Les directives des NIS du National Cyber Security Centre (NCSC) pour la chaîne d’approvisionnement2 indiquent :

1 http://www.legislation.gov.uk/uksi/2018/506/contents/made2 https://www.ncsc.gov.uk/collection/nis-directive?curPage=/collection/nis-directive/nis-objective-a

http://www.legislation.gov.uk/uksi/2018/506/contents/made

https://www.ncsc.gov.uk/collection/nis-directive?curPage=/collection/nis-directive/nis-objective-a

Les règlements des réseaux et systèmes d’information visent principalement la technologie opérationnelle, c’est-à-dire les ordinateurs, les serveurs, les infrastructures réseaux et les systèmes de contrôles programmables utilisés pour gérer et surveiller les processus automatisés sur les sites industriels. Il n’est pas rare que les organisations des infrastructures nationales essentielles sous-traitent à des fournisseurs tiers le soutien de la technologie opérationnelle, que ce soit sur place ou à distance, ou pour les mises à jour des systèmes. Toutefois, les fournisseurs font-ils passer les exigences de sécurité de leurs clients en premier?

Récemment, j’ai visité une centrale électrique où un fournisseur de turbomachines bien connu avait fourni l’équipement pour un service de diagnostic de turbines à gaz en temps réel, à distance et en tout temps. Le fournisseur avait un accès à distance aux applications et informations des serveurs critiques, et les mesures en place pour protéger le réseau de contrôle contre l’accès non autorisé n’étaient pas aussi robustes qu’elles auraient dû l’être. Le fournisseur pouvait gérer et contourner à distance la technologie qu’il avait déployée pour protéger les turbines à gaz contre l’accès à distance.

Le fournisseur de la technologie opérationnelle qui avait fourni la technologie de surveillance à distance avait (peut-être involontairement) profité des lacunes techniques du client qui n’a pas :

a › questionné la sécurité de l’équipement qui lui était vendu; et

b › pris possession de la technologie du vendeur, ce qui a été corrigé dans le cas présent.

Les défis de la chaîne d’approvisionnement dans les infrastructures nationales essentielles // Campbell Hayden

« Si une organisation s’appuie sur des tierces parties (tels que des services impartis ou de technologie infonuagique), elle demeure responsable de la protection des services essentiels. Cela signifie qu’elle doit s’assurer que toutes les exigences de sécurité pertinentes sont respectées, que ce soit l’organisation ou la tierce partie qui offre le service. »

Les risques pour la technologie opérationnelle sont bien connus. Des cyberattaques à haute visibilité comprennent Stuxnet et CrashOverride. La plus récente violation, qui visait un système de contrôle de la sécurité d’une usine de pétrole et de gaz en Arabie saoudite, a été surnommée Triton ou Trisis en raison du type de contrôleurs visés. Une présentation récente3 d’un intervenant d’urgence durant cette attaque a permis de retenir plusieurs leçons importantes, dont « Prenez garde à vos fournisseurs. Leurs intérêts pourraient être différents des vôtres ». L’attaque a été causée par un manque de transparence évident du fournisseur durant l’enquête initiale de l’incident.

Les exemples ci-dessus sont liés à d’importants fournisseurs de technologie opérationnelle qui ont la capacité de fournir des services cyberrésilients à des clients, mais qui ne sont peut-être pas aussi bons dans ce domaine qu’ils le prétendent. Un problème potentiellement plus grand pour les organisations des infrastructures nationales essentielles pourrait être les fournisseurs moins expérimentés qui ne sont pas cybersensibilisés, qui n’effectuent pas de vérification des antécédents de leurs employés et qui ne sont pas habitués à respecter les exigences de cybersécurité des technologies opérationnelles modernes. Ces fournisseurs peuvent exposer les propriétaires et exploitants d’infrastructures à des risques lors d’un cyberincident accidentel ou lorsqu’ils sont ciblés par un acteur malveillant dans le but d’infiltrer un réseau plus vaste.

Par exemple, un fournisseur de technologies opérationnelles plus petit a récemment parlé du travail qu’il a récemment effectué pour un grand aéroport international sur les médias sociaux. Il n’a peut-être pas enfreint les conditions de son contrat avec le client, mais il a attiré l’attention sur des informations très sensibles à propos d’un système essentiel pour la sécurité, ce qui n’est pas souhaitable dans un environnement à source ouverte.

Dans d’autres cas, les fournisseurs avaient été autorisés à maintenir leur connexion avec une nouvelle pièce d’équipement d’usine après la mise en service, contournant ainsi tous les contrôles techniques et de procédures utilisés pour gérer l’accès à distance de la technologie opérationnelle. Parfois, le logiciel malveillant avait été livré accidentellement dans l’environnement de la technologie opérationnelle du client, que ce soit directement dans un système de production en service ou lors de la livraison d’un nouveau système pour sa mise en service.

Les organisations des infrastructures nationales essentielles qui sont responsables de la prestation de services essentiels doivent augmenter leur sensibilisation à la cybersécurité pour s’assurer qu’elles exigent des pratiques exemplaires dans leur chaîne d’approvisionnement. Les exigences en matière de cybersécurité doivent être intégrées dans les contrats avec les fournisseurs pour réduire les probabilités que la chaîne d’approvisionnement soit la cause d’un cyberincident malveillant ou accidentel. •

Les défis de la chaîne d’approvisionnement dans les infrastructures nationales essentielles // Campbell Hayden

3 https://www.youtube.com/watch?v=XwSJ8hloGvY

https://www.youtube.com/watch?v=XwSJ8hloGvY

Intégrer la cyberrésilience dans l’ADN du transport ferroviaire

Matt SimpsonB. Ing. (avec mention), CEng, MIET, architecte de sécurité SCADA certifié, praticien d’implémentation certifié ISO 27001, directeur technique

« Alors que nous passons à l’ère du transport ferroviaire numérique, il n’est plus suffisant de modifier d’anciens systèmes numériques pour les protéger contre les cyberattaques. Nous devons maintenant mettre la sécurité et la cyberrésilience à l’avant-plan de chaque projet d’ingénierie ferroviaire. »

Un monde numériqueNous vivons déjà dans un monde de plus en plus numérique où les avancées des cinq dernières années seulement sont impressionnantes. Des véhicules autonomes sont mis à l’essai sur nos routes. Le nombre de trains sans conducteur est à la hausse. Les systèmes informatiques des aéronefs sont si avancés que les avions volent pratiquement seuls. La perception répandue est que les réseaux ferroviaires font des progrès, avec le programme de stratégie ferroviaire numérique de Network Railway qui dirige la modernisation du réseau ferroviaire britannique. L’industrie ne peut qu’avancer vers la panoplie de nouvelles possibilités déployées par la révolution numérique. Toutefois, lorsqu’il y a des possibilités, il y a aussi des menaces. Les changements se produisent de façon exponentielle, et non graduellement, et pour préserver la sécurité des nouveaux systèmes ferroviaires et de notre réseau physique, nous devons voir une transformation radicale de notre relation avec la cybersécurité. En effet, la cyberrésilience est une question aussi importante que la protection des infrastructures pour assurer la sécurité des passagers, et elle est essentielle pour les activités.

S’ouvrir à de nouvelles possibilitésBien que les technologies numériques dans les activités de notre réseau ferroviaire ne soient pas nouvelles, les possibilités d’une connectivité supérieure le sont. Nous savons que la mise en place d’une signalisation numérique améliorera la connectivité des trains, car ils seront en mesure de communiquer entre eux d’une manière beaucoup plus intelligente.

Cela signifie également que les sociétés ferroviaires sont de plus en plus poussées à ouvrir leurs réseaux de bord pour offrir aux passagers un Wi-Fi supérieur et plus fiable et une meilleure expérience passager en général. Cette nouvelle connectivité entre les trains, les applications, le Wi-Fi, les sites Web, les courriels, etc., signifient aussi que le réseau en entier, qui est comme un organisme, est vulnérable d’une toute nouvelle manière. Et en tant qu’industrie, il nous revient de protéger cet écosystème complet, c’est-à-dire les réseaux, les applications, le Wi-Fi, et tout le reste. Le système en entier sera aussi solide que son maillon le plus faible. >

Intégrer la cyberrésilience dans l’ADN du transport ferroviaire // Matt Simpson

La résilience et non seulement la sécuritéDans l’industrie ferroviaire, nous disons : la sécurité n’est pas une option. En tant que l’un des plus grands intégrateurs de système de l’industrie ferroviaire, l’intégration de la cyberrésilience dans les projets que nous réalisons est notre réglage par défaut. C’est simplement la bonne chose à faire. C’est notre stratégie. Cela signifie que la cybersécurité est intégrée à nos processus d’exécution. C’est une tâche énorme et une transformation majeure. Elle influence le cycle de vie complet de l’ingénierie, l’assurance de conception de l’ingénierie et les processus de réalisation de projets, car à partir de maintenant et à l’avenir, la sécurité en fera toujours partie.

Dans l’écosystème numérique concerté, avec les données qui dirigent nos vies quotidiennes, de nouvelles interdépendances entraîneront des menaces, des possibilités et la nécessité de passer à l’action. Nous vivons déjà dans ce monde et il n’est pas étonnant que l’industrie commence à écouter. Il est tout simplement impossible de ne pas le faire lorsqu’autant d’éléments sont en jeu si nos réseaux ne sont pas entièrement protégés, et que les sociétés ferroviaires sont confrontées à des attaques malveillantes potentielles comme jamais auparavant.

Les 12 principes de la sécurité dès la conceptionLa sécurité n’est pas une option et n’est pas non plus un exercice de conformité. La sécurité dès la conception vise à intégrer des contrôles de sécurité pragmatiques dans votre infrastructure. Elle favorise un processus d’ingénierie des systèmes éprouvé pour établir et gérer vos cyberrisques afin de protéger la sécurité, la disponibilité et l’intégrité de vos réseaux et de vos actifs. Consultez la suite pour connaître nos 12 principes. >



1 › Connaître son infrastructureVous devez avoir une compréhension actuelle et détaillée de l’infrastructure de votre réseau, des flux de données et des spécifications des actifs.

2 › Comprendre le paysage des menacesLa majorité des menaces viennent de l’intérieur et ce sont les personnes à l’interne, que ce soit de manière accidentelle ou malveillante, ainsi que les activités de la chaîne d’approvisionnement, qui représentent le plus important vecteur de menace d’attaque de logiciel malveillant.

3 › Hiérarchiser la résilience opérationnelleAyez pour objectif de fournir une continuité opérationnelle grâce à la cyberrésilience.

4 › Comprendre le risqueSoyez conscients des risques relatifs à la sécurité, l’intégrité et la disponibilité ainsi que des risques juridiques qui touchent vos réseaux et vos actifs.

5 › Mettre en œuvre des couches de sécurité

Une architecture d’entreprise bien conçue et bien défendue devrait comprendre plusieurs couches de sécurité, car le fait de pouvoir identifier les attaques de manière précoce minimisera leur impact.

6 › Isoler les systèmes essentiels La séparation des systèmes essentiels et non essentiels minimisera l’empreinte des attaques et l’utilisation de passerelles de sécurité et de canaux chiffrés aidera à protéger les services essentiels.

7 › Minimiser les privilèges des utilisateurs Restreignez l’accès aux systèmes les plus importants pour les données à ceux qui en ont réellement besoin à l’aide du contrôle d’accès à base de rôles.

8 › Minimiser la connectivité aux médias Les dispositifs amovibles et les médias non gérés demeurent un risque élevé. Vous devez donc limiter leur utilisation et la gérer à l’aide d’une solution d’accès à distance sécuritaire si nécessaire.

9 › Préparer la facilité d’entretienLes actifs numériques nécessiteront régulièrement des correctifs et des mises à jour, ce qui doit être fait à l’aide d’une solution centrale sécuritaire qui minimise l’interaction avec l’utilisateur à l’aide d’un processus automatisé dans une zone démilitarisée.

10 › Préparer la surveillanceLa surveillance est essentielle. L’intégration d’une fonction de détection des anomalies dans vos réseaux vous aidera à assurer la pérennité du concept de vos systèmes.

11 › Gérer les risques liés aux tierces parties

Gérez les risques de votre chaîne d’approvisionnement grâce à l’adoption d’une approche de systèmes des systèmes normalisée, soutenue par une architecture de base, des passerelles de sécurité externes et un code de connexion.

12 › Mettre en œuvre une assurance changement

Les menaces changent sur une base régulière. Votre régime d’assurance doit avoir conscience de ces changements et réagir à tout risque émergent durant le cycle de vie du système. •

Mettez à profit la puissance de la technologie et

assurez‑vous d’être résilient dans un monde numérique

www.snclavalin.com/fr

Chris Johnson+1 514 922‑4952 | [email protected] | Linkedin

http://www.snclavalin.com/fr-FR

mailto:cyberICS%40snclavalin.com?subject=

https://www.linkedin.com/

cybersécuritaire par conception - snc-lavalin/media/files/s/snc...physiques dans le monde réel qui...

Documents