La sécurité des systèmes de contrôle industriels

La sécurité des systèmes de
contrôle industriels
Savoir résister aux attaques
La cyberrésilience
Les cyberattaques visant les systèmes de contrôle industriels (SCI) sont devenues
monnaie courante. Pour assurer la bonne marche de leurs opérations, de même que la
disponibilité et la sécurité de leurs produits, certains secteurs critiques comme le pétrole
et le gaz, l’électricité et les services publics, les produits chimiques, le transport, les
mines, les produits pharmaceutiques et l’industrie alimentaire doivent renforcer la
cybersécurité.
Certaines espèces, comme l’arbre au fil de soie,
ont développé des mécanismes de défense pour
repousser les attaques dans les environnements
les plus hostiles. Les organisations doivent elles
aussi être en mesure de prévenir, de détecter et
de contrer toute nouvelle menace.
Pourquoi faut-il redouter les attaques aux systèmes de
contrôle industriels (SCI)?
Les attaques contre les systèmes de contrôle industriels (SCI) se
divisent habituellement en deux catégories :
‒
‒
Attaques cyberphysiques contre les systèmes de
commande de processus, les systèmes de contrôle distribué
(DCS) et les systèmes de contrôle et d’acquisition de
données (SCADA) qui visent particulièrement les automates
programmables industriels (API), l’interface humain-machine
(IHM) et leur infrastructure. Leur objectif :
‒ altérer les caractéristiques d’un produit pour nuire
financièrement à l’entreprise et mettre en danger les
utilisateurs;
‒ interrompre délibérément la production ou détruire
l’équipement dans le but de faire cesser les activités
d’une entreprise et de lui causer des pertes financières et
de réputation;
‒ compromettre la sécurité des employés et des
collectivités avoisinantes.
Attaques relevant de l’espionnage industriel visant des
composants et des systèmes, comme des systèmes
d’historisation des données ou de contrôle distribué (DCS) et
leurs bases de données. Ces attaques sont des tentatives de
vol :
‒ d’information confidentielle sur les recettes de produits
pour révéler des secrets industriels aux concurrents;
‒ de données clés sur les processus pour nuire à
l’efficience et à la productivité d’une entreprise et affaiblir
son avantage concurrentiel;
‒ de données de production en série et d’inventaire dans le
but de manipuler le marché et d’affaiblir la position de
négociation d’une entreprise.
Pourquoi se préoccuper de la cybersécurité?
Habituellement, seuls le conseil d’administration et la direction, à
qui on remet un rapport affirmant que « tout va bien », sont au
courant des cyberrisques et des capacités de sécurité des SCI.
Du côté de l’exploitation, certaines équipes se sentent
invulnérables. Après tout, elles ont mis en place des systèmes
de sécurité, leur SCI est étanche et n’est connecté à aucun
réseau, du personnel assure la permanence dans la salle de
contrôle; d’autres utilisent encore d’anciennes plateformes et
des connexions série.
Cela ne suffit pas. Ces mesures n’offrent pas de protection
absolue, comme en témoignent les récentes cyberattaques
contre des centrales électriques, des pipelines, des aciéries et
d’autres infrastructures essentielles.
KPMG peut vous aider à résister aux cyberattaques
Évaluation des risques et des capacités
Nous nous appuyons sur des méthodes établies, des normes
internationales et notre expérience pour aider les conseils
d’administration et les équipes de direction à mesurer les
cyberrisques et leurs capacités de réaction, et à établir un plan
pour se doter d’un système de cyberdéfense.
Amélioration de la gouvernance
Souvent, la technologie opérationnelle et la technologie de
l’information sont la responsabilité d’équipes distinctes, chacune
ayant des motivations et liens hiérarchiques particuliers. Nous
nous employons à rapprocher les équipes et à préciser les
responsabilités.
Assurance accrue
Nous procédons à des essais de sécurité ponctuels sur les SCI,
créons des programmes d’audit interne et veillons à intégrer la
gouvernance, les risques et les contrôles en vue d’améliorer la
surveillance en continu et la présentation de l’information aux
membres du conseil et de la direction.
Transformation
Les cybermenaces évoluent plus vite que la technologie des SCI,
et les compétences en SCI et en cybersécurité sont rares. Nous
faisons bénéficier nos clients de nos connaissances spécialisées
et de nos saines pratiques de gestion de programmes et de
projets.
Réalisations
La cybersécurité doit être vue dans le contexte de ce
qui est POSSIBLE, et non de ce qui est impossible.
Pétrole et gaz
Les demandes croissantes de sécurité ont mis en évidence la
nécessité pour l’entreprise, une grande société pétrolière et
gazière au Canada, de tester son infrastructure SCADA/DCS
servant à contrôler ses pipelines et usines à gaz aux États-Unis.
KPMG a mis à sa disposition une équipe de professionnels en
tests de sécurité des SCI du Canada et des États-Unis. Ils ont
évalué et testé la sécurité technique dans les installations du
client. KPMG a aussi établi l’ordre de priorité des améliorations
à apporter, compte tenu du risque.
Mines et de produits chimiques
Le comité de direction d’une société canadienne du secteur
minier et des produits chimiques cherchait à connaître les
cybermenaces qui pèsent sur l’entreprise et leur position en
matière de cybersécurité afin d’élaborer une stratégie visant à
améliorer la sécurité de ses TI et SCI. KPMG a assisté le client
en animant des ateliers sur le risque informatique à l’intention
de la direction. Le cabinet a aussi procédé à l’évaluation de la
maturité informatique des usines en s’appuyant sur le cadre de
cybersécurité du NIST.
Énergie et services publics
L’équipe d’audit interne du client, une entreprise canadienne
produisant d’énergie électrique, devait rendre compte de la
sécurité informatique des DCS de sa principale usine. KPMG a
mis à contribution une équipe de professionnels en tests de
sécurité des SCI recrutés au pays et à l’étranger qui ont décelé
des faiblesses dans l’environnement des SCI et montré
comment les activités de l’usine pouvaient être perturbées.
Parmi les problèmes mis au jour, beaucoup étaient inconnus
des fournisseurs des SCI de l’entreprise.
Services primés
KPMG International a été qualifié de chef de file dans un rapport
de la maison Forrester Research, Inc. intitulé The Forrester
Wave™ : Information Security Consulting Services, Q1 2016.
L’équipe Cybersécurité de KPMG a obtenu le prix de
cybersécurité 2016 du magazine Canadian Lawyer.
Indépendance
Nous formulons des recommandations et des stratégies
techniques spécifiques à votre entreprise. KPMG au Canada
n’est pas limité dans son choix de fournisseur de technologie
ou de logiciels.
Collaboration
Nous collaborons, à titre d’animateurs ou de participants, à des
forums réunissant des sommités du domaine afin de trouver
ensemble des solutions aux nouvelles menaces et aux défis
communs.
La conférence du groupe I-4 organisée par KPMG rassemble
une cinquantaine des plus grandes organisations au monde.
Conseillers de confiance
Les professionnels des cabinets membres de KPMG possèdent
un grand nombre de permis et de certifications, et une
expérience avérée auprès d’organisations de premier plan du
monde entier.
Ressources locales et mondiales
Le réseau de cabinets membres de KPMG s’étend dans 155
pays et compte au-delà de 174 000 professionnels, dont plus
de 2 700 dans le domaine de la sécurité, qui s’emploient à
offrir, dans le monde entier, des services répondant aux
normes de qualité les plus élevées. Les bureaux régionaux de
KPMG au Canada sauront répondre à vos besoins, qu’il s’agisse
de mettre en place des stratégies de sécurité de l’information,
des programmes de gestion du changement, des plans
d’intervention et des programmes de formation et de
certification ISO 27001, ou d’effectuer des évaluations
techniques détaillées et des enquêtes en juricomptabilité.
L’équipe Cybersécurité de KPMG travaille avec les
organisations pour prévenir, détecter et contrer les
cybermenaces.
En cas d’urgence
Notre service de cyberassistance est disponible 24
heures sur 24, 7 jours sur 7
1-844-KPMG-911
1-844-576-4911
Nous pouvons aider votre organisation à devenir
cyberrésiliente.
Pour nous joindre
Jeff Thomas
Associé
[email protected]
L’information publiée dans le présent document est de nature générale. Elle ne vise pas à tenir compte des circonstances de
quelque personne ou entité particulière. Bien que nous fassions tous les efforts nécessaires pour assurer l’exactitude de
cette information et pour vous la communiquer rapidement, rien ne garantit qu’elle sera exacte à la date à laquelle vous la
recevrez ni qu’elle continuera d’être exacte dans l’avenir. Vous ne devez pas y donner suite à moins d’avoir d’abord obtenu
un avis professionnel se fondant sur un examen approfondi des faits et de leur contexte.
© 2016 KPMG s.r.l./S.E.N.C.R.L., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets
indépendants affiliés à KPMG International Cooperative. Tous droits réservés.
Ivan Alcoforado
Directeur principal
[email protected]
kpmg.ca/cybersecurite