L’interopérabilité croissante des systèmes, le développement des technologies Cloud, la digitalisation des procédés, tous ces facteurs d’ouverture sont autant d’opportunités d’innovations à ne pas rater. Pour autant ces nouveaux vecteurs technologiques portent également leurs lots de risques. Le nombre croissant de sociétés impactées quotidiennement par des cyber-attaques est là pour le rappeler !
Nous évoluons tous dans un environnement de plus en plus connecté. Le monde de l’informatique évolue constamment et met à disposition des entreprises des outils de plus en plus puissants et perfectionnés.
Face à ce constat, Codra a défini la cybersécurité des systèmes industriels comme une priorité dans sa stratégie de développement produit. En raison de sa forte expérience dans des projets de supervision dit « sensibles », nos équipes ont toujours prêté attention à la sécurité informatique : celle-ci est inscrite dans notre ADN.
Cette démarche stratégique a permis à Panorama E2 de devenir, en 2019, la première plateforme SCADA à obtenir la Certification de Sécurité de Premier Niveau (CSPN) délivrée par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI ). Et parce que la cybersécurité est une course sans fin, Codra est alors entrée dans un processus d’amélioration continue pour les années à venir. C’est ainsi que début 2020, l’étape suivante fut franchie avec la Qualification de Panorama. Cette reconnaissance par l’état Français est gage de robustesse du logiciel Panorama E2 mais aussi la garantie des compétences et de l’engagement de la part de Codra.
Certification et Qualification ANSSI : un atout majeur dans votre démarche Cyber
Notre démarche de collaboration avec l’ANSSI est portée par la volonté d’aider nos clients dans leurs problématiques de sécurité au quotidien. L’objectif de la Certification est de vérifier la correspondance d’un produit par rapport à sa « cible de sécurité » (cible définie avec l’ANSSI).
A ce jour, le logiciel Panorama est le seul SCADA à avoir répondu aux critères d’exigences issus des profils de protection serveur et client applicatif. Concrètement, cela se traduit par la possibilité de mise en œuvre au sein de Panorama, de fonctions de sécurité pour défendre des biens à protéger selon des typologies d’attaquants et des menaces identifiées.
En choisissant le logiciel Panorama, vous choisissez un système SCADA recommandé par l’État français, éprouvé et approuvé par l’agence du gouvernement en charge des questions de sécurité des systèmes d’information.
L’utilisation d’un logiciel comme Panorama vous permet donc de réaliser des applications de supervision qui intègrent des mécanismes de sécurité. Cela vous permet d’améliorer la défense en profondeur, de réduire vos risques de vulnérabilités, et d’obtenir une meilleure protection. Codra apporte une solution concrète, facile à mettre en œuvre au sein de votre environnement et accessible aux plus grands nombres.
Citation :
« La qualification vous apporte l’assurance de choisir des solutions dont le niveau de sécurité et de confiance ont été vérifiés. C’est la garantie de recourir à des solutions recommandées par l’État et utilisées par l’administration française, les opérateurs d’importance vitale (OIV) et les entreprises des secteurs les plus sensibles. » Document officiel ANSSI
Cybersécurité et Supervision : quelle mise en œuvre ?
Au sein de toutes les entreprises : industrie, bâtiment, nucléaire, transport, énergie, eau, recherche, défense, … la Transformation Digitale est en marche pour relever les challenges portés par la quatrième révolution industrielle.
Pour les responsables d’exploitation ou d’usines, l’enjeu majeur est de faire évoluer les systèmes de production ou d’exploitation. De les faire passer d’un mode clôt et isolé à un fonctionnement plus ouvert et interconnecté avec tous les systèmes de l’entreprise : ERP, MES, GMAO, VMS…
Cette interconnexion portée par l’émergence des nouvelles technologies, mobiles, objets connectés, Cloud, Big Data, représente paradoxalement à la fois des opportunités d’innovations inédites mais aussi des menaces pour l’intégrité des systèmes.
Même si les cyberattaques contre les entreprises sont souvent d’origines externes, elles sont majoritairement initiées de l’intérieur par « quelqu’un de confiance ». Elles sont parfois malveillantes, mais également souvent liées à l’inadvertance. Dans les 2 cas et bien que les installations soient intégrées dans une « bulle de sécurité », les accès à l’infrastructure informatique peuvent être compromis, mettant en péril le fonctionnement des systèmes et l’intégrité des données avec les conséquences désastreuses que l’on peut imaginer.
Les enjeux de la cybersécurité des systèmes industriels sur le périmètre SCADA sont connus de tous mais ils peuvent être étendus à l’ensemble des utilisateurs de système de Supervision. Il s’agit de faire converger les besoins opérationnels avec ceux de la Sécurité des SI. On parlera de convergence OT/IT.
Bien que le monde de l’OT (Operational Technology) et le monde de l’IT (Information Technology) utilisent des technologies similaires, ils n’en ont pas moins des métiers et problématiques différents et cela peut introduire certaines difficultés. Pour les acteurs de l’OT : interpréter et appliquer les contraintes de sécurité des architectures réseaux industriels. Pour l’IT : appréhender les problématiques d’exploitation et de production.
Pour y remédier, chaque partie doit faire son évaluation et analyser les risques de son périmètre, maîtriser la sécurité organisationnelle et faire le choix d’une solution de supervision capable d’adresser concrètement ces enjeux de Cybersécurité.
Une mise en œuvre simplifiée de mécanismes Cyber pour se prémunir des attaques
Prendre des mesures en matière de cybersécurité et mettre en place des processus de protection de données n’est pas aisé et tout particulièrement dans les systèmes de contrôle-commande. Pour autant Codra a voulu apporter des réponses simples et diverses afin d’aider ses clients sans qu’ils aient besoin d’être des experts Cyber.
Notre démarche de certification ne concerne pas uniquement les OIV (Opérateurs d’Importance Vitale) ou les OSE (Opérateurs de Services Essentiels). Elle s’adresse à tous les industriels et opérateurs qui se préoccupent des enjeux de sécurité numérique tant au niveau logiciel qu’infrastructure. Cela se traduit bien entendu par les mécanismes de cybersécurité activables dans Panorama mais plus largement par la mise à disposition :
– d’un guide complet expliquant les bonnes pratiques en termes Cybersécurité
– d’une méthodologie de mise en œuvre du logiciel de supervision Panorama
– d’un assistant de paramétrage automatique (outil interne à Panorama)
– d’une formation Panorama dédiée à la Cybersécurité pour améliorer ses connaissances
– d’un CSIRT Panorama pour rester informé sur les dernières évolutions Cyber du produit
Vous l’aurez compris, la protection des systèmes de Supervision/SCADA de nos clients est notre priorité absolue ! Nous la voulons concrète, facile à mettre en œuvre et accessible aux plus grands nombres.