La sécurité des systèmes de contrôle industriels
Transcription
La sécurité des systèmes de contrôle industriels
La sécurité des systèmes de contrôle industriels Savoir résister aux attaques La cyberrésilience Les cyberattaques visant les systèmes de contrôle industriels (SCI) sont devenues monnaie courante. Pour assurer la bonne marche de leurs opérations, de même que la disponibilité et la sécurité de leurs produits, certains secteurs critiques comme le pétrole et le gaz, l’électricité et les services publics, les produits chimiques, le transport, les mines, les produits pharmaceutiques et l’industrie alimentaire doivent renforcer la cybersécurité. Certaines espèces, comme l’arbre au fil de soie, ont développé des mécanismes de défense pour repousser les attaques dans les environnements les plus hostiles. Les organisations doivent elles aussi être en mesure de prévenir, de détecter et de contrer toute nouvelle menace. Pourquoi faut-il redouter les attaques aux systèmes de contrôle industriels (SCI)? Les attaques contre les systèmes de contrôle industriels (SCI) se divisent habituellement en deux catégories : ‒ ‒ Attaques cyberphysiques contre les systèmes de commande de processus, les systèmes de contrôle distribué (DCS) et les systèmes de contrôle et d’acquisition de données (SCADA) qui visent particulièrement les automates programmables industriels (API), l’interface humain-machine (IHM) et leur infrastructure. Leur objectif : ‒ altérer les caractéristiques d’un produit pour nuire financièrement à l’entreprise et mettre en danger les utilisateurs; ‒ interrompre délibérément la production ou détruire l’équipement dans le but de faire cesser les activités d’une entreprise et de lui causer des pertes financières et de réputation; ‒ compromettre la sécurité des employés et des collectivités avoisinantes. Attaques relevant de l’espionnage industriel visant des composants et des systèmes, comme des systèmes d’historisation des données ou de contrôle distribué (DCS) et leurs bases de données. Ces attaques sont des tentatives de vol : ‒ d’information confidentielle sur les recettes de produits pour révéler des secrets industriels aux concurrents; ‒ de données clés sur les processus pour nuire à l’efficience et à la productivité d’une entreprise et affaiblir son avantage concurrentiel; ‒ de données de production en série et d’inventaire dans le but de manipuler le marché et d’affaiblir la position de négociation d’une entreprise. Pourquoi se préoccuper de la cybersécurité? Habituellement, seuls le conseil d’administration et la direction, à qui on remet un rapport affirmant que « tout va bien », sont au courant des cyberrisques et des capacités de sécurité des SCI. Du côté de l’exploitation, certaines équipes se sentent invulnérables. Après tout, elles ont mis en place des systèmes de sécurité, leur SCI est étanche et n’est connecté à aucun réseau, du personnel assure la permanence dans la salle de contrôle; d’autres utilisent encore d’anciennes plateformes et des connexions série. Cela ne suffit pas. Ces mesures n’offrent pas de protection absolue, comme en témoignent les récentes cyberattaques contre des centrales électriques, des pipelines, des aciéries et d’autres infrastructures essentielles. KPMG peut vous aider à résister aux cyberattaques Évaluation des risques et des capacités Nous nous appuyons sur des méthodes établies, des normes internationales et notre expérience pour aider les conseils d’administration et les équipes de direction à mesurer les cyberrisques et leurs capacités de réaction, et à établir un plan pour se doter d’un système de cyberdéfense. Amélioration de la gouvernance Souvent, la technologie opérationnelle et la technologie de l’information sont la responsabilité d’équipes distinctes, chacune ayant des motivations et liens hiérarchiques particuliers. Nous nous employons à rapprocher les équipes et à préciser les responsabilités. Assurance accrue Nous procédons à des essais de sécurité ponctuels sur les SCI, créons des programmes d’audit interne et veillons à intégrer la gouvernance, les risques et les contrôles en vue d’améliorer la surveillance en continu et la présentation de l’information aux membres du conseil et de la direction. Transformation Les cybermenaces évoluent plus vite que la technologie des SCI, et les compétences en SCI et en cybersécurité sont rares. Nous faisons bénéficier nos clients de nos connaissances spécialisées et de nos saines pratiques de gestion de programmes et de projets. Réalisations La cybersécurité doit être vue dans le contexte de ce qui est POSSIBLE, et non de ce qui est impossible. Pétrole et gaz Les demandes croissantes de sécurité ont mis en évidence la nécessité pour l’entreprise, une grande société pétrolière et gazière au Canada, de tester son infrastructure SCADA/DCS servant à contrôler ses pipelines et usines à gaz aux États-Unis. KPMG a mis à sa disposition une équipe de professionnels en tests de sécurité des SCI du Canada et des États-Unis. Ils ont évalué et testé la sécurité technique dans les installations du client. KPMG a aussi établi l’ordre de priorité des améliorations à apporter, compte tenu du risque. Mines et de produits chimiques Le comité de direction d’une société canadienne du secteur minier et des produits chimiques cherchait à connaître les cybermenaces qui pèsent sur l’entreprise et leur position en matière de cybersécurité afin d’élaborer une stratégie visant à améliorer la sécurité de ses TI et SCI. KPMG a assisté le client en animant des ateliers sur le risque informatique à l’intention de la direction. Le cabinet a aussi procédé à l’évaluation de la maturité informatique des usines en s’appuyant sur le cadre de cybersécurité du NIST. Énergie et services publics L’équipe d’audit interne du client, une entreprise canadienne produisant d’énergie électrique, devait rendre compte de la sécurité informatique des DCS de sa principale usine. KPMG a mis à contribution une équipe de professionnels en tests de sécurité des SCI recrutés au pays et à l’étranger qui ont décelé des faiblesses dans l’environnement des SCI et montré comment les activités de l’usine pouvaient être perturbées. Parmi les problèmes mis au jour, beaucoup étaient inconnus des fournisseurs des SCI de l’entreprise. Services primés KPMG International a été qualifié de chef de file dans un rapport de la maison Forrester Research, Inc. intitulé The Forrester Wave™ : Information Security Consulting Services, Q1 2016. L’équipe Cybersécurité de KPMG a obtenu le prix de cybersécurité 2016 du magazine Canadian Lawyer. Indépendance Nous formulons des recommandations et des stratégies techniques spécifiques à votre entreprise. KPMG au Canada n’est pas limité dans son choix de fournisseur de technologie ou de logiciels. Collaboration Nous collaborons, à titre d’animateurs ou de participants, à des forums réunissant des sommités du domaine afin de trouver ensemble des solutions aux nouvelles menaces et aux défis communs. La conférence du groupe I-4 organisée par KPMG rassemble une cinquantaine des plus grandes organisations au monde. Conseillers de confiance Les professionnels des cabinets membres de KPMG possèdent un grand nombre de permis et de certifications, et une expérience avérée auprès d’organisations de premier plan du monde entier. Ressources locales et mondiales Le réseau de cabinets membres de KPMG s’étend dans 155 pays et compte au-delà de 174 000 professionnels, dont plus de 2 700 dans le domaine de la sécurité, qui s’emploient à offrir, dans le monde entier, des services répondant aux normes de qualité les plus élevées. Les bureaux régionaux de KPMG au Canada sauront répondre à vos besoins, qu’il s’agisse de mettre en place des stratégies de sécurité de l’information, des programmes de gestion du changement, des plans d’intervention et des programmes de formation et de certification ISO 27001, ou d’effectuer des évaluations techniques détaillées et des enquêtes en juricomptabilité. L’équipe Cybersécurité de KPMG travaille avec les organisations pour prévenir, détecter et contrer les cybermenaces. En cas d’urgence Notre service de cyberassistance est disponible 24 heures sur 24, 7 jours sur 7 1-844-KPMG-911 1-844-576-4911 Nous pouvons aider votre organisation à devenir cyberrésiliente. Pour nous joindre Jeff Thomas Associé [email protected] L’information publiée dans le présent document est de nature générale. Elle ne vise pas à tenir compte des circonstances de quelque personne ou entité particulière. Bien que nous fassions tous les efforts nécessaires pour assurer l’exactitude de cette information et pour vous la communiquer rapidement, rien ne garantit qu’elle sera exacte à la date à laquelle vous la recevrez ni qu’elle continuera d’être exacte dans l’avenir. Vous ne devez pas y donner suite à moins d’avoir d’abord obtenu un avis professionnel se fondant sur un examen approfondi des faits et de leur contexte. © 2016 KPMG s.r.l./S.E.N.C.R.L., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative. Tous droits réservés. Ivan Alcoforado Directeur principal [email protected] kpmg.ca/cybersecurite