Comment les fabricants peuvent-ils assurer la conformité en matière de TO

La conformité réglementaire devient un défi de plus en plus ardu pour les fabricants, car les organismes gouvernementaux et les organismes de normalisation renforcent les exigences en matière de gestion et de sécurité des technologies opérationnelles (TO).

L'un des principaux problèmes réside dans le fait que les fabricants mettent rarement à jour les systèmes de contrôle industriel (ICS) ou les technologies opérationnelles (TO). Les fabricants mettent, par exemple, rarement à jour les ordinateurs fonctionnant aux niveaux 2, 3 et 3,5 du modèle Purdue. Ces terminaux exécutent des logiciels de surveillance et de contrôle spécifiques à l'équipement sur Windows ou Linux, et interagissent avec les objets physiques ou les matériaux aux niveaux 0 et 1 de Purdue.

La stabilité de l'environnement de fabrication est primordiale dans les environnements industriels. Le risque qu'une mise à niveau interrompe l'interaction entre les terminaux de niveau 2 et 3 et ceux de niveau 0 et 1 est trop élevé pour la plupart des fabricants. Une connexion interrompue pourrait entraîner l'arrêt complet d'un système de production. Cela pourrait également coûter au fabricant sa certification de conformité et entraîner des amendes et des pénalités.

Le non-respect des réglementations peut avoir de graves conséquences financières, mais la conformité ne se limite pas à satisfaire aux exigences gouvernementales. L'utilisation de systèmes de TO conformes à la réglementation est également un excellent moyen pour les fabricants de s'assurer de la résilience et de la capacité de résistance de leurs systèmes aux cybermenaces qui évoluent et se multiplient constamment.

White paper

Votre entreprise est-elle prête à se conformer à la norme NIS 2 ?

Découvrez maintenant

Parmi les nombreuses réglementations de conformité relatives à la cyberrésilience des environnements de fabrication, voici trois des plus importantes qui posent des défis aux fabricants :

La Directive NIS 2 (Network and Information Systems) est un règlement de l'Union européenne visant à renforcer la sécurité des réseaux et des systèmes d'information dans toute l'UE. Elle s'appuie sur la directive NIS originale et introduit des exigences plus strictes pour un éventail plus large de secteurs, notamment l'énergie, les transports, la banque, les infrastructures des marchés financiers, la santé, l'eau potable, les infrastructures numériques et l'administration publique.

Par rapport à la première version de NIS, NIS 2 s'applique à un plus grand nombre d'entités. La directive NIS initiale ciblait les secteurs critiques tels que l'énergie, les transports, l'eau, les banques, les finances, la santé et les infrastructures numériques. La Directive NIS 2 s'applique à un éventail plus large d'organisations, notamment celles du secteur de l'approvisionnement en eau et en nourriture, des services postaux et de messagerie, ainsi que du secteur des infrastructures numériques. La directive impose des évaluations des risques, des rapports d'incidents et la mise en œuvre de mesures de protection et de sécurité des données.

Cette réglementation prévoit des sanctions financières en cas de non-conformité, ainsi que des pénalités pour les dirigeants dont les organisations ne respectent pas les exigences de conformité. Le non-respect de la Directive NIS 2 peut entraîner des amendes importantes, qui varient selon les États membres et peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. La NIS 2 prend également une dimension personnelle : les dirigeants peuvent être tenus financièrement et même pénalement responsables en cas de non-respect de la réglementation.

ISA/IEC 62443 est une série de normes internationales relatives à la sécurité des systèmes d'automatisation et de contrôle industriels (IACS). Largement suivie dans le secteur industriel, elle fournit un cadre pour assurer la sécurité des systèmes contre les cybermenaces.

Ces normes se concentrent sur la sécurité des ICS, notamment les systèmes utilisés dans la fabrication, l'énergie et les infrastructures critiques. Elles comprennent des directives pour l'évaluation des risques, des stratégies de sécurité et des mesures techniques visant à protéger contre les cybermenaces.

Ce cadre réglementaire, bien que volontaire, est largement suivi et ne précise pas les montants des amendes en cas de non-conformité. Cependant, le non-respect de la norme ISA/IEC 62443 peut entraîner de graves conséquences, notamment :

• Amendes pour non-conformité aux normes faisant référence à la norme ISA/IEC 62443, y compris NIS 2).

• Des offres perdues lorsque les deals sont disqualifiés si les fabricants ne peuvent pas attester de la conformité.

• Violations de contrat lorsque la conformité est stipulée contractuellement.

• Risque accru de poursuites judiciaires.

• Difficulté à se qualifier pour une cyberassurance.

Le programme de Certification du modèle de maturité de la cybersécurité (Cybersecurity Maturity Model Certification, CMMC) est un cadre établi par le Département de la Défense des États-Unis (DoD) pour garantir que les contractants et sous-traitants de la défense maintiennent un niveau satisfaisant de cybersécurité. Le programme vise à renforcer la cybersécurité de la base industrielle de défense (BID) et à assurer la protection des informations sensibles non classifiées.

Le programme CMMC veille à ce que les contractants et sous-traitants respectent des normes de cybersécurité spécifiques, qui peuvent devenir extrêmement complexes en fonction du type et de la sensibilité des informations traitées. Le cadre est conçu pour progressivement améliorer les mesures de cybersécurité et réduire le risque de violations de données et d'accès non autorisé.

Le non-respect des exigences de la CMMC peut avoir des conséquences négatives, notamment la perte de contrats gouvernementaux et une atteinte à la réputation d'un fabricant sur un marché où la sécurité et la fiabilité sont primordiales.

Le Règlement général sur la protection des données (RGPD) est une loi exhaustive sur la confidentialité et la sécurité des données qui a été implémentée par l'Union européenne en mai 2018. Elle s'applique à toute organisation, quel que soit son emplacement, qui traite les données personnelles de personnes résidant dans l'Union européenne. Le RGPD établit des exigences strictes en matière de collecte, de traitement, de stockage et de suppression des données à caractère personnel. Les organisations doivent obtenir un consentement clair pour le traitement des données, fournir des informations transparentes sur leur utilisation et veiller à la mise en place de mesures de sécurité robustes.

Le non-respect du RGPD peut entraîner de lourdes sanctions financières. Pour les infractions les plus flagrantes, le règlement prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'entreprise, selon le montant le plus élevé. Les infractions mineures peuvent entraîner des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial.

Les systèmes de TO sont conçus pour gérer la production de manière efficace et avec un minimum d'interruption d'activité. Contrairement aux systèmes informatiques, les systèmes de TO n'ont pas besoin de mises à jour constantes pour continuer à fonctionner correctement.

De nombreux fabricants utilisent des systèmes de TO sur Windows XP, un système d'exploitation vieux de près de 25 ans et pour lequel Microsoft n'assure plus aucun support depuis 2009. Microsoft n'a publié ni correctifs de sécurité ni de corrections de bogues pour Windows XP depuis plus de quinze ans.

Sur le plan de la conformité, de nombreuses réglementations exigent des capacités de protection des données que les anciens systèmes de TO ne possèdent pas, et la mise à jour de ces systèmes est trop perturbatrice pour que les fabricants l'envisagent. La restauration des données et des systèmes est un point particulièrement délicat. De nombreuses réglementations exigent que les environnements de TO disposent de plans permettant une restauration rapide, mais de nombreux systèmes industriels manquent de solutions de sauvegarde automatisées.

Ne pas sauvegarder correctement les systèmes de TO peut entraîner des sanctions financières élevées pour non-conformité, ainsi que d'autres conséquences telles que l'annulation de contrats. Cela peut également entraîner d'autres conséquences négatives, notamment une perte de réputation et un manque de confiance de la part des clients et des partenaires de la chaîne d'approvisionnement.

Une cyberattaque qui mettrait les systèmes hors ligne pendant plusieurs jours ou semaines peut causer des dommages financiers irréparables à un fabricant, voire le contraindre à cesser son activité. Les fabricants doivent immédiatement être en mesure de restaurer les systèmes de production opérationnels et les données fiables suite à un incident. La conformité n'est donc pas seulement un moyen d'éviter les amendes ou les pénalités. Il s'agit d'un outil de mesure que les fabricants peuvent utiliser pour s'assurer que leurs environnements de TO sont sécurisés et peuvent rapidement être restaurés suite à une panne, qu'elle soit causée par une cyberattaque, une défaillance matérielle, un problème logiciel ou une erreur humaine. 

En fin de compte, les fabricants conformes savent qu'ils disposent de la résilience opérationnelle nécessaire pour reprendre rapidement leurs activités et poursuivre la production, quelle que soit la cause de l'interruption d'activité.

Les fabricants ont besoin de capacités de sauvegarde et de restauration conformes qui assurent leur résilience sans pour autant subir d'interruption d'activité ou d'impact négatif sur leurs opérations. Acronis Cyber Protect for Operational Technology offre des fonctionnalités qui permettent aux fabricants de développer leur résilience et de répondre aux exigences de conformité :

• Une fonctionnalité de sauvegarde automatisée conforme aux exigences de résilience définies par les normes NIS 2 et IEC 62443.

• Des fonctionnalités de sauvegarde d'investigation qui préservent les preuves numériques des données avant un incident.

• Cybersécurité et sauvegarde intégrées pour simplifier la génération de reporting de conformité et la préparation des audits.

Les autres fonctionnalités essentielles à la conformité de la fabrication comprennent :

Universal Restore : Universal Restore permet de restaurer des systèmes d'exploitation, des applications et des données hérités sur un nouveau matériel, avec les pilotes nécessaires installés. Les fabricants peuvent sauvegarder et restaurer des systèmes sur de nouveaux ordinateurs, même si l'original fonctionnait sur un système très ancien.

Restauration en un clic : grâce à la restauration en un clic, les employés non informaticiens, tels les ingénieurs en TO au sein de l'usine sans compétences informatiques, peuvent rapidement restaurer les systèmes de TO défaillants quelques minutes seulement après un incident. Les fabricants peuvent réduire les temps d'arrêt et remettre les systèmes de production en ligne sans avoir à attendre qu'un technicien soit envoyé par le service informatique central.

Sauvegarde sans interruption : Acronis Cyber Protect for Operational Technology effectue des sauvegardes sans mettre un système de TO hors ligne ou le redémarrer, de sorte que les processus critiques de cyber-résilience ne perturbent pas la production.

Les gouvernements et les organismes de normalisation ne faciliteront probablement pas la conformité réglementaire pour les fabricants. Au contraire, ils continueront à renforcer les exigences et à augmenter les sanctions.

Mais la conformité ne se limite pas à éviter les amendes et les pénalités. Les fabricants qui respectent les normes savent qu'ils ont besoin de résilience pour survivre aux incidents sans devoir subir d'interruptions coûteuses. Acronis Cyber Protect for Operational Technology offre une sauvegarde et une restauration automatisées qui permettent aux fabricants de concilier résilience et disponibilité.