Cybersécurité des systèmes industriels
HeadMind Partners s’est associé à Secway pour assister une entreprise mondiale d’exploration et production pétrolière et gazière dans la mise en place de la cybersécurité sur une nouvelle plateforme offshore d’extraction gazière, l’usine de LNG (Gaz Naturel Liquéfié) et ses installations connexes associées.
Cet acteur majeur, sensibilisé par les exemples de Stuxnet et Flame, est pleinement conscient des enjeux de la cybersécurité pour son Système Industriel. Dans ce cadre, il a souhaité faire appel à HeadMind Partners et Secway afin de renforcer la cybersécurité de ses nouveaux Systèmes Industriels contre les cyberattaques.
Le projet de sécurisation des systèmes industriels
Dans un premier temps nous avons réalisé une analyse de risques en caractérisant précisément l’environnement de travail à partir des spécifications déjà établies, des normes du marché et de l’expertise cybersécurité de l’équipe constituée.
Cette analyse de risques s’est déroulée en plusieurs étapes :
- Modélisation détaillée des installations cible ;
- Définition des enjeux particuliers : il s’agit notamment d’enjeux de respect de l’environnement, de sécurité humaine et pertes financières, basés principalement sur la disponibilité et l’intégrité de l’information ;
- Sélection des scénarios de menace appropriés, et des risques associés.
Dans un deuxième temps nous avons rédigé les politiques de sécurité et les guides de durcissement adéquats, permettant de traiter les risques cybersécurité identifiés.
Enfin nous nous sommes assurés de la bonne implémentation des mesures de sécurité recommandées via la réalisation de tests d’intrusions et d’audits réguliers. Ces audits ont été réalisés très en amont sur toutes les composantes des différents systèmes, ce qui a permis une implémentation de la cybersécurité au fil de l’eau et sans impact important sur les délais et autres aspects opérationnels.
Les clés de la réussite du projet
Les deux principales clés de la réussite de ce projet ont été :
- la prise en compte très en amont dans le projet des problématiques de cybersécurité. Il est extrêmement important dans ce type de projet d’intervenir le plus tôt possible et très régulièrement afin de permettre aux différents acteurs – souvent nombreux et peu sensibilisés à la cybersécurité – de s’approprier au plus tôt ces problématiques et de les implémenter ;
- l’excellente connaissance des problématiques liées à la cybersécurité des systèmes industriels et bureautiques. En effet, l’interconnexion des deux univers étant de plus en plus prégnante, une connaissance approfondie de tous les systèmes est nécessaire pour en assurer la simplicité.
Ainsi en 5 mois nous avons pu fournir les documents associés au système de management des risques, 7 politiques de sécurité couvrant l’ensemble du système et les documents attachés, ainsi que 9 guides de durcissement pour les différents composants du système et les matrices de contrôle associées.
Ecrit par Maxime de Jabrun.