Yoann Delomier, Business Strategy Leader For OT chez Wallix
- La conformité réglementaire comme socle de définition de la stratégie cyber
La réglementation est un driver fort pour accompagner la cybersécurité. Qu’elle soit “périmétrique” ou “by design”, elle s’impose et tout particulièrement en Europe. La directive NIS2, par exemple, introduit la notion d’entités importantes et d’entités essentielles et apporte une harmonisation européenne avec un cadre d’obligations et de sanctions qui incite fortement les industries à se mettre en conformité et, par conséquent, à entamer une démarche globale de cybersécurité. Le Cyber Resilience Act (CRA), établi lui aussi à l’échelle européenne, aborde la cybersécurité sur un angle “produit” et une implémentation de la sécurité by design. Un ensemble de standards, de normes et de framework existent pour accompagner les industriels et aborder le sujet de la cyber à toutes les échelles. Le standard de référence étant bien sûr l’IEC 62443, mais on peut aussi citer le framework MITRE for ICS (Industrial Control System), ou le NIST (National Institute of Standards and Technology) SP800. Ces référentiels sont des guides pour l’implémentation de process, de solutions technologiques ou le choix de composants qualifiés.
- Définir un référentiel cyber commun à l’ensemble des projets et au service des métiers
Après quelques années d’hésitation, on constate que le sujet de la cybersécurité dans l’OT est maintenant porté par les équipes IT. Ces derniers étendent leurs référentiels et bonnes pratiques à l’OT quand cela est possible afin d’uniformiser les process, les solutions et les services proposés (collecte de logs OT dans un SIEM par exemple). On constate aussi des budgets cyber OT de plus en plus portés par l’IT.
- Intégrer les équipes dans tout le cycle des projets (amont / pendant / aval) pour construire les architectures et apporter l’expertise auprès des constructeurs / intégrateurs
Les équipes IT et OT ont un rôle à jouer auprès des constructeurs et des intégrateurs industriels. Ils doivent imposer les méthodes et les solutions, et s’assurer du respect des architectures et des process. L’implication des tiers dans les phases de conception et d’évolution est indispensable.
- Intégrer au maximum les équipes IT et OT dans la définition des prérequis
Les équipes cyber, qu’elles soient IT ou OT, doivent obligatoirement être partie prenante des projets industriels. Tous les RFP (Request For Proposal) doivent transiter par ces équipes, ceci afin d’éviter de se retrouver avec des gateways privées de maintenance et donc non sécurisées, ou des composants d’automatisme qui n’intègrent pas les derniers patchs. Privilégier des solutions intégrant l’OPC-UA (Open Platform Communications Unified Architecture) par exemple permet d’anticiper l’intégration de protocoles chiffrés dans de futurs projets.
