Cybersécurité dans les transports : Les défis de l’implémentation – Êtes-vous prêts?

Ce dossier spécial vise à offrir quelques clés afin de rehausser la cybersécurité des entreprises, particulièrement dans le domaine des transports.

Cybersécurité de vos systèmes opérationnels : Êtes-vous prêts?

 

Les médias publient régulièrement des articles exposant les effets des cyberattaques ciblant le secteur industriel. Crucial à la cohésion de la société et à l’économie, le secteur des transports est l’un des secteurs où la menace de cyberattaques est omniprésente.

Uniquement pour le Québec, plusieurs événements récemment rapportés ont révélé la vulnérabilité de ce secteur provoquant des arrêts de production où les équipements industriels et/ou les réseaux informatiques ciblés ont été paralysés. Ne cessant de croître, le nombre d’attaques « officiellement » dévoilées ne représente qu’une portion de la situation réelle, dont il est encore impossible de bien en saisir l’ampleur.

Un fait subsiste et est incontestable : les enjeux financiers et réputationnels sont indéniables. Aucune entreprise ne peut se permettre une interruption de service où ses usagers, ses clients, ses fournisseurs ou ses employés deviendraient les otages de cette attaque. Face à cette situation et aux facteurs accrus de cyberrisques, les entreprises se doivent d’être vigilantes et se préparer convenablement afin d’assurer la résilience de leur organisation.

 

Facteurs de cyberrisques accrus

 

Autodiagnostic de cyberrésilience

La résilience désigne la capacité d’une personne, d’un écosystème ou d’une économie à retrouver un mode de fonctionnement optimal après un traumatisme, une perturbation ou une crise.

Comme pour les virus qui menacent la santé des êtres humains, il est pratiquement impossible d’anticiper le moment ou le type d’attaque qui pourrait mettre en péril la survie d’une entreprise. Pour affronter cette situation, il est possible — et même fortement recommandé — d’établir dès aujourd’hui le bilan de santé de l’organisation.

Par où commencer?

Quelques questions à se poser pour réaliser son autodiagnostic
  • L’organisation est-elle prête à réagir à une cyberattaque?
  • Quels sont les systèmes opérationnels les plus à risque?
  • Quelle est la part du budget consacré à la cybersécurité opérationnelle?
  • Un programme de cybersécurité ou d’autres solutions de protection ont-ils déjà été implantés? Et ont-ils été réévalués?
  • Les compétences pour évaluer l’exposition aux cyberrisques et le déploiement des solutions sont-elles disponibles en interne?

 

Adopter de bonnes pratiques sans tarder

Comme nous l’avons vu dans précédemment, l’évaluation des cyberrisques et les mesures de mitigation de leur risque doivent s’appliquer à l’ensemble de l’écosystème de l’entreprise. Il s’agit d’une analyse complète, à 360 degrés englobant les processus et la structure de l’entreprise ainsi que ceux de ses fournisseurs, et ce, pour toute sa chaîne d’approvisionnement.

Dans cette démarche, il s’agira donc de tenir compte des systèmes au sens large (technologies de l’information, systèmes opérationnels, équipements, machinerie, etc.), sans oublier le personnel qui les opère, car la sécurité numérique est encore trop souvent mise à risque par les erreurs humaines.

Le premier jalon de ce parcours vers une plus grande cyberrésilience consiste à cartographier les systèmes opérationnels. Dresser la liste des surfaces d’attaque pour déterminer quels sont les systèmes les plus vulnérables et quelle est l’ampleur des risques encourus par l’organisation permettra de définir le niveau de protection adéquat et les mesures à prendre.

Cela implique de faire de la cybersécurité une priorité, au cœur des opérations quotidiennes, et ce au plus haut niveau de l’organisation. Cela facilitera la prise de décision et la mobilisation des ressources nécessaires. Il pourrait en résulter des changements au niveau de la structure organisationnelle, afin de s’assurer que la responsabilité de la cybersécurité est confiée aux personnes les plus compétentes et à même de prendre les décisions qui s’imposent.

L’étape suivante visera à implanter un programme de cybersécurité opérationnelle, qui passera notamment par une révision de l’architecture informatique de l’entreprise. Les accès vers les systèmes technologiques d’une entreprise sont multiples, et il convient de considérer tous les points de contacte. Les systèmes critiques bien sûr, mais également ceux des sous-traitants qui sont interconnectés et par lesquels transitent un nombre croissant de données. C’est pourquoi la collaboration avec les différents acteurs de la chaîne d’approvisionnement est essentielle au processus de sécurisation des systèmes.

Le succès d’un programme de cybersécurité repose tout autant sur la collaboration transversale au sein même de l’entreprise. Intégrer les équipes métier spécialisées à ce processus permettra de limiter les impacts sur les systèmes, car leur connaissance des technologies est précieuse.

La gestion du changement est sous-jacente à cette démarche. Il s’agira de bien préparer le terrain auprès des équipes concernées, et plus largement de sensibiliser l’ensemble des employés à la nature des cyberrisques et à leur contribution au quotidien de façon à ce que les mentalités évoluent en faveur d’une plus grande vigilance. Des efforts de communication, d’éducation et de formation en la matière seront requis. Les filières de responsabilité pourraient également être revues pour que la structure organisationnelle de l’entreprise reflète l’importance accordée à la cybersécurité.

Enfin, au-delà d’un programme de cybersécurité opérationnelle bien conçu et intégré aux opérations, il sera indispensable de revoir et de valider périodiquement les mesures en place afin que les systèmes soient sécuritaires et adaptés à l’évolution des technologies.

Ce dernier jalon consistera à effectuer un audit régulier du programme de cybersécurité et pourra s’accompagner d’activités complémentaires, notamment de veille et de formation continue pour les équipes concernées. Ainsi outillée, l’entreprise sera mieux à même de suivre l’évolution des nouvelles normes et réglementations qu’elle devra intégrer progressivement, tant dans la sécurisation de ses systèmes actuels que dans la conception et le développement de futurs systèmes.

 

Relever le défi pour se démarquer

La menace est latente, mais les affaires continuent et les entreprises ont intérêt à prendre les devants pour maintenir leur avantage concurrentiel.

Faire l’impasse sur la cybersécurité pourrait signifier de mettre à risque des relations d’affaires essentielles à la pérennité d’une organisation. Des systèmes performants, mais défaillants sur le plan de la cybersécurité pourraient amener l’entreprise à se voir exclue d’appels d’offres. Par contre, à l’inverse, une entreprise qui ferait la démonstration d’un solide programme de cybersécurité sera en position d’influence et pourrait inciter ses propres clients à adopter des normes plus élevées de sécurité, au profit de l’ensemble de son écosystème.

Un système opérationnel intégré à un programme de cybersécurité pourrait même représenter un avantage compétitif à court terme. En effet, une grande majorité d’entreprises amorcent seulement la mise en œuvre de tels programmes. Ouvrir la marche devient donc une position enviable.

Si le fait d’être préparé à une attaque n’empêche pas l’attaque de se produire, cela permet néanmoins à l’entreprise ciblée de réagir rapidement et adéquatement. Ce faisant, elle démontre son sérieux, sa compétence et son professionnalisme — autant de gages de confiance pour ses clients et ses fournisseurs.

Les technologies évoluent rapidement et de nouveaux champs d’expertise apparaissent tant en informatique qu’en ingénierie. Par conséquent, les organisations devront s’associer les bonnes compétences pour maintenir la cybersécurité de ses systèmes dans le temps.

Les normes dans le domaine  évoluent également. Effectuer une veille des règlements et certifications en cours d’adoption sur les marchés où l’entreprise est active lui permettra de s’assurer que la conception de ses systèmes est réalisée conformément aux futurs contrôles de cybersécurité requis. Il y a fort à parier que des réglementations découlant de la norme ISO 21434 seront adoptées progressivement en Amérique du Nord. En s’inspirant de cette norme, l’entreprise peut mettre en place des processus robustes, garants des plus hauts niveaux de sécurité.

De même, les activités de veille en matière législative pourraient amener les organisations à faire une différence, ou à tout le moins à encourager l’adoption de pratiques sécuritaires. La tenue d’un registre des cyberincidents en est un bon exemple. Outre l’intérêt documentaire pour renforcer les processus de sécurité de l’organisation, de tels registres pourraient devenir la norme dans un futur proche. En effet, la réglementation canadienne est en pleine évolution et le projet de loi C-26 prévoit d’imposer aux entreprises la déclaration obligatoire des cyberattaques dont elles sont victimes, alors qu’elles ne sont actuellement révélées que sur une base volontaire.

Anticiper l’adoption de telles règles et s’y conformer dès maintenant, voire dépasser les critères de sécurité établis, procurera à l’entreprise une longueur d’avance dans un environnement mouvant. En prenant les devants, elle pourrait même se démarquer et avoir voix au chapitre afin de participer à la création de ces nouvelles réglementations.

Les cybermenaces sont des vecteurs de perturbation en perpétuelle mutation, avec lesquels les entreprises apprennent à composer. La cybersécurité n’est pas une fin en soi, mais elle devient une condition de la bonne santé opérationnelle et financière des entreprises, et ultimement de leur survie.

Comme dans tout contexte de menace voire de crise, le degré de préparation est souvent garant de la rapidité et de l’efficacité à laquelle l’organisation sera en mesure de se remettre sur pied et de reprendre le cours normal de ses activités. Face aux cybermenaces, les entreprises ont la possibilité d’adopter une approche préventive et de développer une plus grande agilité, qui pourra faire une grande différence et leur être bénéfique à long terme.

CYBERSÉCURISEZ VOS
INFRASTRUCTURES OPÉRATIONNELLES

Obtenez gratuitement le livre blanc pour découvrir comment répondre aux défis de la cybersécurité dans les transports.

Cybersécurité dans les transports : Les défis de l’implémentation – La chaîne d’approvisionnement

Ce dossier spécial vise à offrir quelques clés afin de rehausser la cybersécurité des entreprises, particulièrement dans le domaine des transports.

Sécuriser la chaîne d’approvisionnement

 

Minimiser les surfaces d’attaques et l’impact d’un potentiel cyberincident sur l’entreprise grâce à une cartographie rigoureuse des risques et à la mise en œuvre d’un programme de cybersécurité constitue une étape préliminaire et cruciale, mais insuffisante.

En effet, dans l’économie mondialisée, aucune entreprise n’opère de façon isolée et la chaîne d’approvisionnement est devenue un vecteur important de cybermenaces. La moindre faille de sécurité détectée chez un fournisseur devient une vulnérabilité pour l’entreprise cliente.

La cyberrésilience d’une entreprise dépend donc aussi du degré de sécurité du maillon le plus faible de sa chaîne d’approvisionnement. Par conséquent, en plus de sécuriser leurs systèmes, les organisations doivent s’assurer de sécuriser leur écosystème, et particulièrement le réseau de fournisseurs et de sous-traitants avec lesquels elles transigent.

Pourquoi la chaîne d’approvisionnement est-elle un vecteur de risque?

Les fournisseurs sont devenus des cibles de choix et sont victimes de cybermenaces, voire de cyberincidents, très variés. Plusieurs analystes du marché anticipent que leur nombre va continuer d’augmenter.

C’est le cas du cabinet PwC qui avance que 54 % des personnes interrogées au Canada, dans le cadre de son sondage annuel Digital Trust 2022(1), s’attendent à une augmentation des incidents à signaler en 2022 en raison d’attaques contre la chaîne d’approvisionnement en logiciels, ainsi qu’à une augmentation des risques liés aux tiers et à la chaîne d’approvisionnement

Parmi les différents motifs d’attaque présentés ici par l’Agence européenne pour la cybersécurité (ENISA)(2), le chiffre selon lequel 62 % des attaques visent à exploiter la confiance qui lie une entreprise et son fournisseur est très révélateur

En matière de cybersécurité, il serait imprudent de fonder une évaluation des risques sur la seule relation de confiance client-fournisseur. Il apparaît au contraire indispensable d’adopter une approche structurée et d’exiger de leur part un niveau minimum de cybersécurité.
 

Paysage des menaces pour les attaques de la chaîne d’approvisionnement

Attaques de la chaîne d’approvisionnement en hausse

 

 

Risques qui affectent la chaîne d’approvisionnement

 

Quel est le point faible de votre chaîne d’approvisionnement?

De même qu’elles ont analysé et évalué leurs propres systèmes informatiques et opérationnels, les entreprises devront déterminer le degré de risque de chacun des fournisseurs impliqués dans leur processus de production.

Dans le domaine des transports, plusieurs systèmes généralement sous-traités à des entreprises tierces peuvent être concernés ; les systèmes de climatisation ou d’ouverture de portes et les compteurs de passagers en sont de bons exemples parmi d’autres. Les éditeurs des logiciels utilisés par l’entreprise devront aussi être pris en compte, tout comme les fabricants auprès desquels elle s’approvisionne pour des pièces électroniques qui entrent dans la conception de circuits électriques.

Déterminer où se situent les risques les plus importants dans la chaîne d’approvisionnement implique d’en examiner attentivement chaque constituant. Pour ce faire, l’entreprise pourra par exemple mettre en place des questionnaires d’auto-évaluation afin d’identifier les sous-traitants les plus à risque. Grâce aux données recueillies, elle pourra ainsi évaluer le niveau de maturité de chacun et mieux comprendre quels sont les actifs organisationnels ou opérationnels ainsi que les informations sensibles auxquels ils ont accès.

Écosystème de cybersécurité des véhicules

 

Suite à la collecte d’informations et à l’analyse des résultats des questionnaires, et selon la nature des constats qui seront dressés, l’entreprise devra revoir et améliorer son processus de sélection des fournisseurs afin de renforcer les exigences minimales relatives à la cybersécurité. À terme, certaines organisations feront le choix de consolider leur chaîne d’approvisionnement pour faciliter le contrôle qu’elles peuvent exercer sur le respect des exigences imposées à leurs sous-traitants.

Qu’il s’agisse d’un fournisseur de longue date de l’entreprise ou d’un nouveau venu, il est important de bien les intégrer à la démarche d’évaluation et de communiquer clairement avec eux afin de s’assurer que l’ensemble de la chaîne d’approvisionnement est sécurisée.

Il sera toujours plus facile de poser des bases claires et d’exiger des conditions minimales de cybersécurité lors de l’établissement de nouveaux contrats que de les établir avec les partenaires de longue date. Il est néanmoins vital d’introduire avec ces derniers les enjeux et les exigences de cybersécurité grâce à l’apport des représentants des départements de l’approvisionnement (acheteurs) et des équipes juridiques. Ce sont eux qui catalyseront le démarrage des activités de sensibilisation et des revues de processus internes ainsi que des révisions obligées des clauses contractuelles d’approvisionnement. Il s’agira donc de former adéquatement ces professionnels aux exigences minimales de cybersécurité requises qui pourraient faire l’objet de négociations avec les sous-traitants.

Au fur et à mesure que la réglementation et les certifications destinées à accroître la cybersécurité seront adoptées et appliquées à travers l’industrie, l’intégration de mesures spécifiques à la cybersécurité devra être prise en compte dans les activités contractuelles d’approvisionnement.

La norme ISO 21434 exige une étroite collaboration entre l’intégrateur ou le concepteur d’un système et ses différents fournisseurs imposant ainsi que les rôles et les responsabilités de chacune des parties soient clairement identifiés, documentés et mutuellement acceptés. L’intégrateur devra par la suite s’assurer que les processus de cybersécurité établis soient respectés tout autant dans son entreprise qu’auprès de ses sous-traitants.

 

Aller au-devant des risques

Selon Statistique Canada, 47 % des attaques informatiques au pays en 2019 ciblaient les PME(3), qui, avec plus de 1,14 million d’entreprises au pays(4), constituent des acteurs essentiels du tissu économique national.

Se croyant trop petites pour représenter une cible attrayante, elles sous-estiment trop souvent les cybermenaces dont elles pourraient être victimes. Les PME disposent souvent de systèmes de sécurité moins robustes qui deviennent des portes dérobées plus faciles d’accès pour la pénétration des systèmes informatiques des plus grandes entreprises.

Cette situation de vulnérabilité pourrait être circonscrite par les donneurs d’ouvrage s’ils étaient proactifs en encourageant une approche collaborative avec l’ensemble de ses partenaires afin de solidifier sa chaîne d’approvisionnement de bout en bout. Ils pourraient ainsi inciter les PME avec lesquelles ils traitent à développer leur cyberrésilience en s’appuyant sur des ressources dédiées à la cybersécurité.

Bien que les normes internationales soient encore en développement ou en phase d’adoption, plusieurs solutions existent déjà afin d’accompagner les PME dans le processus de sécurisation de leurs systèmes informatiques; par exemple, le programme CyberSécuritaire Canada(5) mis en œuvre par le gouvernement fédéral donne accès aux PME à des ressources afin de mieux connaître et de comprendre les risques auxquels elles sont exposées. De plus, sous réserve de la mise en place de contrôles de sécurité spécifiques, elles peuvent obtenir une certification reflétant ses pratiques exemplaires en matière de cybersécurité

Les sous-traitants qui intègrent des politiques de cybersécurité lors de la conception même de ses produits et/ou systèmes sortent gagnants de cette démarche, qui profitera à l’ensemble de ses clients via une réduction des risques liés à la cybersécurité. Cette approche collaborative revêt ainsi un bénéfice mutuel pour l’ensemble des acteurs concernés et la cybersécurité de la chaîne d’approvisionnement sera d’autant mieux assurée que la collaboration entre les intervenants sera fructueuse.

Le maintien d’un bon niveau de cybersécurité de tous les acteurs de la chaîne d’approvisionnement devient un prérequis à son bon fonctionnement, mais cela requiert des efforts et des investissements à long terme et dont les bénéfices sont complexes à évaluer. Échanges d’informations et partages de bonnes pratiques entre clients et fournisseurs sont autant de moyens qui permettront aux organisations de prendre part à une réflexion plus globale afin d’augmenter leur cyberrésilience mutuelle. En investissant temps et efforts pour analyser et renforcer le niveau de cybersécurité de leur chaîne d’approvisionnement, les entreprises contribueront ainsi à générer de la valeur pour l’ensemble de leur écosystème.

 

 

 

(1) https://www.pwc.com/ca/fr/digital-trust-insights

(2) https://www.enisa.europa.eu/understanding-the-increase-in-supply-chain-security-attacks

(3) https://www150.statcan.gc.ca/n1/daily-quotidien/201020/dq201020a-fra.htm

(4) https://cyber.gc.ca/publications

(5) https://cybersecuritaire-canada/fr/exigences-certification

CYBERSÉCURISEZ VOS
INFRASTRUCTURES OPÉRATIONNELLES

Obtenez gratuitement le livre blanc pour découvrir comment répondre aux défis de la cybersécurité dans les transports.

Cybersécurité dans les transports : Les défis de l’implémentation – Les systèmes opérationnels

Ce dossier spécial vise à offrir quelques clés afin de rehausser la cybersécurité des entreprises, particulièrement dans le domaine des transports.

Sécuriser les systèmes opérationnels

 

Comme nous l’avons vu dans les deux premiers articles de ce dossier spécial, la cybersécurité devient un impératif stratégique pour assurer la pérennité des entreprises. Après avoir identifié l’exposition au risque des organisations pour leurs systèmes informatiques et opérationnels, l’atténuation des risques implique de poser des fondations solides pour développer leur cyberrésilience.

Cette approche deviendra un ingrédient clé de la phase de conception des nouveaux produits, afin d’éliminer à la source les failles potentielles de sécurité. Les entreprises s’assureront ainsi que leurs systèmes opérationnels répondent aux exigences de conformité minimale des donneurs d’ouvrage publics et privés en matière de cybersécurité.

Mais qu’en est-il de leurs produits et services existants ? Comment garantir qu’ils résisteraient à une cyberattaque ? Comment convaincre et rassurer les clients que les systèmes sont robustes et cyberrésilients?

 

Programmes de cybersécurité et certification

Implanter un programme de cybersécurité opérationnelle tend à devenir la norme en Europe comme en Amérique du Nord. En adoptant une approche proactive et en prenant les précautions nécessaires pour faire face à la cybercriminalité, les entreprises et les sociétés parapubliques démontrent à leurs clients et aux tierces parties (investisseurs, employés, grand public) qu’elles sont proactives en mettant en œuvre les conditions nécessaires à la continuité de leurs activités en cas de cyberincidents.

Un aperçu des phases de mise en œuvre d’un système opérationnel, dans le cadre du développement d’un programme de cybersécurité, est présenté ci-après.

Phases de développement d’un programme de cybersécurité

Gestion Projet Cycle de vie : Activités reliées à la cybersécurité

 

La certification est un pas de plus dans cette direction. Bien que les normes ne soient pas encore harmonisées d’un continent à l’autre, elles tendent à se préciser et à être mises en œuvre dans plusieurs pays.

C’est le cas des règlements RN155 et RN156 qui sont progressivement adoptés en Europe, ainsi que de la norme ISO/SAE 21434 qui couvre toutes les phases du cycle de vie d’un véhicule connecté ; de ses systèmes électriques et électroniques, incluant ses composants et ses interfaces, aux logiciels qui y sont intégrés, ainsi que les outils nécessaires pour le développement de ces éléments.

La création d’ISO/SAE 21434 fait suite à l’augmentation exponentielle du nombre d’incidents de cybersécurité enregistrés dans les véhicules connectés entre 2016 et 2019, qui aurait bondi de 605 % (1). Un chiffre appelé à croître si rien n’est fait pour sécuriser les nombreux systèmes embarqués dans les voitures, tels que les unités de communication aux systèmes d’assistant vocal, les capteurs de géolocalisation et les plateformes infonuagiques qui relient les véhicules aux services de mobilité. L’institut Juniper Research (2) évalue que 206 millions de véhicules intégreront de telles fonctionnalités d’ici 2025, dont 30 millions qui seront connectés au réseau 5G.

La norme ISO/SAE 21434 en bref

 

Un prérequis pour répondre aux appels d’offres?

Bien que l’industrie des transports exige de plus en plus que les véhicules soient certifiés et répondent à des exigences normalisées de cybersécurité, l’enjeu réside dans le fait que la grande majorité de ces véhicules sont déjà conçus, voire déjà construits ; il est à noter que cet enjeu concerne aussi de nombreuses autres industries.

Implanter un programme de cybersécurité opérationnelle et accomplir les démarches pour faire certifier des systèmes existants pose alors un défi supplémentaire pour les entreprises qui tentent de concilier les exigences de conformité minimales, les contraintes techniques et financières relatives à leurs systèmes ainsi que l’échéancier de mise en marché.

L’approche utilisée pour certifier un système existant s’apparente à celle permettant de certifier un nouveau système, il s’avère toutefois plus compliqué d’en effectuer une analyse complète. Pour leur part, la cartographie des risques en matière de cybersécurité et les scénarios d’attaques étant effectués en utilisant l’architecture existante, cette dernière pourrait ne pas être adaptée à ces nouvelles exigences, rendant ainsi le processus de documentation de démonstration des requis de cybersécurité ardu, voire irréalisable.

Les efforts et les ressources mobilisées pour effectuer ces analyses engendreront des coûts qu’une entreprise pourrait se voir contrainte d’absorber afin de commercialiser son système à un prix compétitif. Une piste de solution est d’effectuer une analyse des écarts avant d’entamer un programme de cybersécurité pour évaluer l’ampleur des efforts à produire. Pour ce faire, l’entreprise pourra solliciter l’aide d’experts externes qui pourront produire, ou encore l’assister dans l’analyse des risques inhérents en matière de cybersécurité ou pour revoir son analyse dans le cadre d’audits internes.

Pour que ces étapes soient couronnées de succès, il sera essentiel d’impliquer différents professionnels et métiers de l’organisation, notamment l’équipe des ventes afin d’expliquer la démarche et ses implications financières et sensibiliser ses membres à la nécessité d’intégrer ces nouvelles exigences dans les réponses aux appels d’offres. L’équipe des ventes pourra alors déterminer les coûts additionnels qui sont reliés aux activités de cybersécurité afin de rentabiliser ces ajouts.

Les fournisseurs ou sous-traitants des diverses composantes des systèmes constituent aussi des parties prenantes essentielles dans cette approche ; cet élément sera couvert dans notre prochain article qui se concentrera sur les enjeux liés à la chaîne d’approvisionnement.

Une étape clé : Revoir l’architecture TI

Comme expliqué précédemment, la norme ISO/SAE 21434 se concentre principalement sur les systèmes opérationnels. Toutefois, il est crucial de considérer l’ensemble des équipes de Technologies de l’Information (TI) comme partenaire essentiel à la préparation des entreprises à devenir cyberrésilientes.

Cela sera d’autant plus important que les exigences minimales de cybersécurité opérationnelle sont souvent confondues avec les éléments de cybersécurité organisationnelle. Par exemple, il est souvent exigé d’effectuer de simples tests de validation d’intrusion des systèmes, alors que ceux-ci ne constituent qu’une partie d’une démarche de certification d’un système en cybersécurité.

Une organisation qui n’aurait pas encore implanté de programme de cybersécurité devra aussi sécuriser ses infrastructures TI organisationnelles. Cela impliquera d’analyser les écarts avec ses pratiques courantes en TI, mettre à niveau ses méthodes afin d’adopter des pratiques cybersécuritaires conformes aux exigences du marché tout en instaurant des politiques et processus favorisant le maintien de ces pratiques dans le temps.

9 éléments de sécurité des réseaux

 

Une fois le programme de cybersécurité en place dans l’entreprise, le développement de nouveaux systèmes opérationnels devra tenir compte des infrastructures TI révisées afin d’assurer la cohésion entre les TI et les technologies opérationnelles (TO).

Exemples d’activités requises pour mettre à niveau votre architecture TI

 

 

Au vu des efforts requis, il apparaît que certifier un système opérationnel pose plusieurs défis et contraint les entreprises à une démarche rigoureuse qui implique de mobiliser de nombreuses ressources humaines et financières. De plus, bien qu’implanter un programme de cybersécurité opérationnelle puisse constituer une première étape vers une certification, il ne faut pas négliger son impact sur les systèmes TI déjà en place.

Comme tout projet d’envergure, une bonne planification sera déterminante afin de réussir la transition vers un programme de cybersécurité opérationnelle, le tout, incluant une cartographie précise des systèmes concernés ainsi que le recours à des ressources d’expérience pour épauler l’entreprise dans ses efforts. La mise en œuvre réussie d’un tel programme simplifiera par la suite les démarches de l’entreprise dans ses futurs appels d’offres.

 

(1) Source : ISO/SAE 21434 Automotive Cybersecurity Standards Guide (beyondsecurity.com)

(2) Source : Operator Connected Car Strategies Statistics: Market Summary | Infographics (juniperresearch.com)

 

CYBERSÉCURISEZ VOS
INFRASTRUCTURES OPÉRATIONNELLES

Obtenez gratuitement le livre blanc pour découvrir comment répondre aux défis de la cybersécurité dans les transports.

Cybersécurité dans les transports : Les défis de l’implémentation – Cyberrésilience

Ce dossier spécial vise à offrir quelques clés afin de rehausser la cybersécurité des entreprises, particulièrement dans le domaine des transports.

Bâtir la cyberrésilience des organisations

 

La résilience désigne la capacité d’une personne, d’un écosystème ou d’une économie à retrouver un mode de fonctionnement optimal après un traumatisme, une perturbation ou une crise.

En matière de cybersécurité, le processus est similaire. Le (cyber)risque zéro n’existe pas. Par conséquent, une entreprise cyberrésiliente saura reconnaître et accepter sa vulnérabilité face aux cybermenaces et prendre les mesures pour y remédier, réduisant ainsi les conséquences sur son organisation et ses employés, ses clients ou sur sa réputation. Elle se distinguera par sa capacité à maintenir ses activités en cas de cyberattaque et à gérer les perturbations qui pourraient en découler.

Les effets des cyberattaques sont multiples et les dommages peuvent être très élevés. Quels qu’en soient la nature, les objectifs ou la portée, elles ont le potentiel de porter atteinte à la réputation des organisations et de nuire à la confiance des différentes parties prenantes, à savoir, les clients, les employés, les actionnaires/investisseurs, le grand public, etc.

Dans un secteur névralgique comme celui des transports, la résilience des organisations est essentielle, tant pour leur survie économique que pour sécuriser leurs véhicules, leurs équipements ou leurs réseaux de données. Il devient alors primordial de rapidement intégrer la cybersécurité dans leurs processus organisationnels et opérationnels.

 

Au coeur de la convergence des TI et des TO

 

Les Technologies de l’Information (TI) et les Technologies Opérationnelles (TO) étaient jusqu’à il y a une dizaine d’années des secteurs d’activités plutôt distincts. Au début des années 2000, les activités de cybersécurité étaient principalement axées sur les infrastructures TI et les cybermenaces alors moins fréquentes ne concernaient pratiquement pas les systèmes opérationnels. Les systèmes ne communiquaient pas entre eux et les équipes chargées de ces technologies n’avaient pas à collaborer.

La situation a évolué et l’avènement des solutions infonuagiques a permis de relier la plupart des systèmes opérationnels à Internet… pour le meilleur et pour le pire. Si les avantages sont indéniables, cette situation est également porteuse de nouvelles vulnérabilités, que l’entreprise doit analyser attentivement.

Les équipes TI et les stratégies mises en place démontrent encore souvent une mauvaise compréhension — ou à tout le moins, une méconnaissance — des systèmes opérationnels, ce qui nuit à une approche globale, efficace et synergique.

Encourager la convergence entre les TI et les TO permettra de coordonner le travail des équipes chargées des systèmes d’information et des départements d’ingénierie. Avec une approche transversale, il sera plus facile de sécuriser les systèmes opérationnels et de les intégrer, ainsi que les équipements connectés, à un programme commun et homogène de cybersécurité.

Des réseaux intégrés dans leur entièreté (nuage, Internet des Objets, etc.) à la mise en œuvre d’un cadre de gouvernance, de processus et de politiques unifiées pour les TI et les TO décupleront le niveau de sécurité de l’entreprise, tant pour ses systèmes informatiques qu’opérationnels.

Les entreprises disposent généralement d’un programme de cybersécurité organisationnelle qui circonscrit surtout leurs activités en matière de sécurité de l’information — où la norme internationale ISO/CEI 27000 est citée comme cadre référentiel — mais ce programme est néanmoins mésadapté à la réalité des systèmes opérationnels. Les enjeux entre les TI et les TO étant distincts, et même quelquefois divergents, il est tout de même possible — et souhaitable — d’y inclure des éléments de cybersécurité organisationnelle pour favoriser le développement et la maintenance sécurisée des systèmes opérationnels.

Ainsi, si un programme de cybersécurité organisationnelle n’est pas déjà implanté, il sera important d’analyser les processus et les standards opérationnels avant d’entreprendre toute autre activité reliée à la cybersécurité. Établir les écarts entre les processus actuels de développement et les mesures de cybersécurité constitue une étape essentielle afin d’identifier les vulnérabilités et les brèches potentielles de sécurité.

Cette démarche, qui est en passe de devenir un prérequis dans l’industrie, est comparable à l’implantation d’un programme de gestion de la qualité (ISO 9000). Elle consiste à implanter des contrôles de sécurité dès la conception des systèmes opérationnels. Cela requiert du temps, des efforts et des compétences spécifiques, qui pourraient être comblés par des ressources externes à l’organisation de manière à l’accompagner dans ce processus.

À terme, cette approche proactive en matière de cybersécurité aura une incidence positive sur les décisions d’ingénierie de l’entreprise en favorisant le développement sécuritaire de nouveaux systèmes opérationnels dès leur phase conceptuelle.

 

Tout ne repose pas sur la technologie

Si un seul système vulnérable peut suffire à ouvrir une brèche de sécurité vers un environnement numérique, les moyens pour s’en prémunir et les solutions à mettre en œuvre ne sont pas tous de nature technologique.

Les facteurs organisationnels et humains jouent également un rôle crucial dans la capacité de l’entreprise à gérer les cyberrisques. Une organisation aura tout à gagner à poser les fondements d’une cyberculture qui influencera ses actions, ses investissements, ses réflexions stratégiques en matière d’innovation technologique et l’évolution de ses processus et de ses politiques pour sécuriser ses systèmes. Les effets seront d’autant plus bénéfiques sur la santé et le succès à long terme de l’organisation que ces décisions seront appuyées par la haute direction et bien communiquées à toutes les équipes.

Une première étape consistera à former tous les employés sur des notions de base en matière de cybersécurité afin de les sensibiliser à l’importance d’avoir une bonne « hygiène numérique » et à l’impact potentiel de leurs actions sur la sécurité des systèmes de l’entreprise. Encourager la diffusion d’une bonne compréhension de ces enjeux et des besoins d’affaires de l’entreprise contribuera à responsabiliser les employés.

À cette phase de sensibilisation pourront s’ajouter des formations plus pointues, dispensées par les équipes TI, dans le cadre du programme de cybersécurité organisationnelle dont se sera dotée l’entreprise afin de promouvoir l’exécution d’analyses de risques des systèmes et sous-systèmes et de clarifier les rôles et responsabilités de chacun. En développant un cadre de référence commun en matière de cybersécurité, les ingénieurs responsables de chaque sous-système sauront répondre aux analyses de risque et scénarios d’attaque identifiés par les équipes TI. Pour leur part, les responsables de produits seront tenus informés des risques qui peuvent affecter les produits concernés.

Le besoin de rehausser la cybersécurité d’une entreprise requiert des compétences spécifiques et une stratégie efficace s’appuyant sur une équipe dédiée, dûment coordonnée et représentée auprès de la direction de l’entreprise.

Définir et implanter un programme de cybersécurité adapté aux systèmes opérationnels exige un niveau d’expertise avancé, qui n’est pas nécessairement celui des équipes TI actuellement en place dans l’industrie. L’entreprise devra peut-être recruter des ressources spécialisées ou solliciter les services externes d’experts en cybersécurité pour soutenir ses efforts. Ces ressources dédiées qui sont à même de comprendre et de traiter les enjeux de cybersécurité, s’assureront que les différentes parties prenantes concernées dans l’entreprise sont informées et mobilisées à tous les niveaux de l’organisation.

Dans une structure organisationnelle idéale, ces efforts devront être coordonnés par un spécialiste de niveau exécutif dont la mission sera de maintenir la sécurité des informations et des données. Cette personne nommée chef de la sécurité de l’information (Chief Information Safety Officer ou CISO) a un rôle différent de celui d’un responsable des systèmes d’information (Chief Information Officer ou CIO) dont les tâches se concentrent principalement sur la planification stratégique des initiatives de technologies de l’information de l’organisation.

En travaillant étroitement avec l’équipe de direction, le CISO sera au fait de l’évolution de l’entreprise, de ses perspectives de développement et des orientations stratégiques en matière d’innovation. Il pourra ainsi s’assurer que les éléments de cybersécurité opérationnelle sont intégrés en début de projet.

Ce changement qui conduit à placer la cybersécurité au cœur du fonctionnement et des réflexions stratégiques de l’entreprise est crucial. Dans ce processus, qui peut être long et complexe, il faudra toutefois tenir compte des contraintes de l’entreprise et ne pas tenter de tout changer en même temps. Une implantation graduelle et bien expliquée favorisera l’adhésion des employés à ces changements importants. Il s’agira aussi de trouver un équilibre entre le renforcement nécessaire des activités de sécurité et la bonne conduite des opérations quotidiennes.

De la même façon que les entreprises ont entamé il y a quelques années leur transformation numérique, le virage vers la cybersécurité est incontournable. Les entreprises doivent s’adapter rapidement à ces nouvelles contraintes qui sont en perpétuelle évolution. Si la plupart d’entre elles comprennent de mieux en mieux les risques associés, nombreuses peinent encore à rassembler les données et à mobiliser les ressources nécessaires pour y faire face.

Une chose est sûre : il n’est plus possible de gérer les cybermenaces en vase clos, car elles touchent tous les secteurs de l’économie et toutes les activités des organisations. Il est temps de sécuriser les systèmes opérationnels existants et de faire de la cybersécurité un critère de la conception des futurs systèmes. Actuellement, les donneurs d’ouvrage exigent de plus en plus une confirmation que des activités d’analyse de cybersécurité sont introduites lors du cycle de développement des systèmes, et ce, avant de procéder à l’achat ou la mise en place de ces systèmes.

À mesure qu’une organisation deviendra cyberrésiliente, la démarche idéale consistera à éliminer dès la conception les failles potentielles de sécurité de chaque nouveau système. D’ici là, comment s’assurer que ses systèmes sont conformes aux attentes et exigences du marché?

 

Lisez le premier article de notre série.

CYBERSÉCURISEZ VOS
INFRASTRUCTURES OPÉRATIONNELLES

Obtenez gratuitement le livre blanc pour découvrir comment répondre aux défis de la cybersécurité dans les transports.

Cybersécurité dans les transports : Les défis de l’implémentation – Les réseaux opérationnels

Ce dossier spécial vise à offrir quelques clés afin de rehausser la cybersécurité des entreprises, particulièrement dans le domaine des transports.

Cybersécurité et réseaux opérationnels — De nouveaux défis à relever

 

À l’heure de l’interconnectivité croissante entre les technologies informatiques, opérationnelles et leur démocratisation auprès du grand public, les cybermenaces et les brèches de sécurité sont les nouveaux défis que doivent relever les entreprises.

En effet, la transformation numérique des entreprises, qui représente tant de nouvelles opportunités d’affaires, les rend aussi plus vulnérables. Les solutions infonuagiques, maintenant présentes dans toutes les sphères de l’économie, contribuent à effacer la frontière traditionnelle entre les systèmes informatiques classiques et les systèmes opérationnels. Les points de contact se multiplient, offrant de nouvelles surfaces d’attaque aux auteurs de cybermenaces.

Malheureusement, le secteur des transports n’est pas en reste. Il a même été identifié comme l’un des dix secteurs d’infrastructures essentielles les plus à risque en matière de cybersécurité par le Gouvernement du Canada1. Bien que les technologies utilisées diffèrent d’un véhicule à l’autre, la plupart des nouveaux véhicules ont un certain degré de connectivité. Les réseaux de transport sont également largement dépendants d’équipements connectés (capteurs, contrôleurs, ordinateurs de bord, logiciels de gestion, etc.), ce qui les rend vulnérables à des cyberattaques visant à perturber leurs opérations, voire à en prendre le contrôle avec des intentions malveillantes.

Faute d’une réflexion approfondie en amont au plus haut niveau des organisations, les cybermenaces représentent un défi réel pour la pérennité des entreprises et le bon fonctionnement de la société.

 

 

Un nouveau terrain de jeu

Les technologies opérationnelles — qui désignent les équipements ou les logiciels qui contrôlent des appareils physiques ou des processus destinés à des environnements opérationnels — fonctionnaient auparavant en circuit fermé, c’est-à-dire avec un très faible niveau d’interconnectivité avec les réseaux d’entreprise. Aujourd’hui, les technologies opérationnelles connectées sont omniprésentes et intégrées à d’autres systèmes informatiques, permettant notamment l’automatisation de certains procédés de fabrication, la gestion et le contrôle à distance d’équipements ou l’installation de mises à jour.

Les systèmes opérationnels sont toutefois encore trop souvent opérés et maintenus de façon séparée des systèmes informatiques classiques. Par conséquent, les entreprises qui les exploitent continuent d’envisager les enjeux de sécurité qui s’y rattachent de façon cloisonnée. Les points de contact sont plus nombreux qu’avant et deviennent autant de portes d’entrée et de possibles brèches de sécurité aux équipements opérationnels.

Types de cybersécurité

 

Qu’est-ce qui motive les cyberattaques ?

Historiquement, les cyberattaques visaient principalement les infrastructures informatiques organisationnelles, c’est-à-dire les serveurs, les postes de travail, les réseaux, etc., principalement dans le but de voler des données. Plusieurs infiltrations informatiques d’envergure ont été menées ces dernières années, dont celle bien connue dont la société américaine SolarWinds a été victime en 2019.

L’attaque d’un des serveurs de cette société de logiciels visait le système de production de son logiciel phare, Orion, utilisé par des dizaines de milliers d’entreprises et d’administrations dans le monde. Parmi les quelques centaines de clients attaqués qui ont été identifiés (sur un total de près de 18 000 clients), notons l’infiltration de six départements du gouvernement américain, dont ceux de l’Énergie, du Commerce, du Trésor et le département d’État. Bien que la nature des informations que les auteurs de cette attaque cherchaient à dérober ou des conséquences de cette opération ne soient pas encore très claires, une telle infiltration met en évidence la vulnérabilité des organisations et l’effet domino qui s’opère sur tout leur écosystème.

Au Canada, plusieurs entreprises et paliers de gouvernement ont aussi été victimes d’attaques informatiques au cours des dernières années, mettant en lumière les défis de cybersécurité auxquels les organisations font maintenant face.

Les récents progrès technologiques ont contribué à la prolifération des logiciels malicieux, qui deviennent plus accessibles pour des individus ou des groupes malveillants, dont les stratégies s’affûtent et qui sont de mieux en mieux organisés.

L’évolution des solutions TI utilisées par les entreprises, la multiplication des services infonuagiques et la mise en œuvre d’infrastructures virtuelles ont apporté beaucoup de flexibilité aux entreprises, et ce, au-delà des infrastructures organisationnelles. Aujourd’hui, ces systèmes opérationnels connectés et couramment utilisés dans le domaine manufacturier et celui des transports sont autant de brèches potentielles de sécurité pouvant infliger des dommages au-delà des simples vols de données.

Types de cyberattaques

 

À quels risques s’exposent les entreprises ?

Si l’appât du gain demeure le principal motif des cyberattaques, les dégâts potentiels varient beaucoup selon leurs auteurs.

Dans le secteur des transports, les cybermenaces peuvent, par exemple, mener à la prise de contrôle d’équipements afin de perturber un réseau de transport, voire le paralyser, ou encore le détruire. Un exemple récent est celui de l’attaque par un virus informatique, subie par une société de transports en commun d’une grande ville nord-américaine. L’infiltration a touché plus de 60 % des serveurs de l’entreprise, ainsi qu’une multitude de postes de travail, l’obligeant à mobiliser de nombreuses ressources pour remettre en état ses serveurs et s’assurer qu’aucune donnée ne soit dérobée. Ce cyberincident n’a pas affecté le réseau opérationnel d’autobus et du métro, toutefois plusieurs autres plateformes de l’entreprises ont été perturbées, dont son site web et ses lignes téléphoniques.

Un autre exemple ayant frappé les esprits, et provoqué une prise de conscience dans le secteur automobile, est la prise de contrôle à distance d’un véhicule Jeep Cherokee par deux chercheurs américains en 2015. Les deux spécialistes en sécurité informatique voulaient démontrer qu’il leur était possible de perturber différents systèmes de la voiture en s’infiltrant dans son ordinateur de bord. L’opération menée avec la participation d’un journaliste placé au volant du véhicule a conduit Fiat Chrysler à rappeler plus d’un million de véhicules afin de corriger les vulnérabilités concernées.

Bien que les cyberattaques n’aient pas toutes la même ampleur ni la même gravité, les conséquences peuvent néanmoins être très néfastes pour les organisations qui les subissent, mettant en péril leur santé économique, leur réputation, voire leur pérennité.

En effet, selon un sondage mené par le cabinet Deloitte (2), 32 % des hauts dirigeants à l’échelle mondiale ont indiqué que les répercussions les plus importantes sont d’ordre opérationnel. Ils mentionnent ensuite le vol de propriété intellectuelle (22 %) et la baisse du niveau de leurs actions (19 %).

Les systèmes opérationnels sont d’autant plus à risque qu’ils ont souvent été conçus indépendamment des infrastructures organisationnelles, sans inclure d’éléments de cybersécurité. Développées pour durer, avec des cycles de vie généralement supérieurs à 10 ans, les technologies opérationnelles intègrent des équipements et des logiciels dont les vulnérabilités sont souvent bien connues des pirates informatiques ou finissant par l’être par manque de mises à jour.

 

Les entreprises sont-elles prêtes à riposter ?

La nature très hétérogène des cybermenaces les rend difficiles à anticiper et oblige les entreprises à devenir cyberrésilientes. De l’inventaire des actifs connectés à un réseau à l’inventaire des compétences dont elles disposent pour connaître, comprendre, détecter et s’outiller face à ces nouveaux risques, les forces doivent s’unir au sein de l’entreprise pour faire front commun contre ces menaces.

À l’échelle mondiale, des gouvernements, groupes de travail et organismes réglementaires s’organisent aussi pour définir de nouvelles règles. Lutter contre les cyberrisques impliquera bientôt pour les donneurs d’ouvrages et les entreprises de démontrer leur capacité à intégrer des exigences minimales en matière de cybersécurité.

C’est ainsi qu’aux États-Unis, l’Institut national des normes et des technologies (NIST), une agence fédérale à vocation non réglementaire, propose un cadre de cybersécurité regroupant plusieurs normes, lignes directrices et pratiques exemplaires disponibles gratuitement pour les organisations privées qui souhaitent développer ou mettre à jour leurs propres programmes de cybersécurité. 

Dans le domaine des transports, les Nations Unies ont également ébauché des normes incitant les manufacturiers de véhicules à développer des systèmes opérationnels sécuritaires en intégrant des éléments de cybersécurité dès la phase de conception. Les règlements UN R155 et UN R156 adoptés en 2021 posent ainsi les bases d’un cadre de cybersécurité des véhicules dans différentes régions du monde, qui s’applique aux systèmes de gestion de la cybersécurité et des mises à jour logicielles. De nouvelles mesures que l’Union européenne entend imposer aux fabricants de véhicules routiers dès 2022 pour tous les nouveaux véhicules, et d’ici 2024 pour les plateformes existantes.

Au Canada, les travaux de Transports Canada et des différents paliers de gouvernement tiennent compte de ces nouvelles normes de sécurité, et notamment de la norme ISO/SAE 21434 (Véhicules routiers — ingénierie de la cybersécurité) qui vise à intégrer les pratiques de génie dans le domaine de la cybersécurité à toutes les étapes du cycle de vie des véhicules.

La transformation numérique est bien enclenchée et porteuse d’un grand potentiel dans le domaine des transports, en ce qu’elle permet de nombreux gains d’efficacité pour les manufacturiers et contribue à améliorer la sécurité des transports pour les usagers.

Les défis de cybersécurité deviennent toutefois une préoccupation croissante pour les entreprises, qui devraient leur accorder l’attention qu’ils méritent, au plus haut niveau de l’organisation. Il s’agira ainsi d’évaluer l’exposition des organisations aux cyberrisques, de mobiliser les ressources nécessaires pour se protéger adéquatement, de gérer les incidents et les éventuelles situations de crise et tout en mettant à niveau les systèmes opérationnels. Il sera également important d’adopter une approche globale incluant les tierces parties, afin de gérer aussi les risques propres à la chaîne d’approvisionnement, comme nous le verrons dans les prochains articles de ce dossier spécial.

 

Lisez le deuxième article de notre série. 

 

 

(1) Partenaires en matière d’infrastructures essentielles (securitepublique.gc.ca)

(2) Le sondage 2021 sur l’avenir de la cybersécurité de Deloitte, a interrogé au sujet de la cybersécurité près de 600 hauts dirigeants d’entreprises présentant un revenu annuel d’au moins 500 millions de dollars, entre le 6 juin et le 24 août 2021.

CYBERSÉCURISEZ VOS
INFRASTRUCTURES OPÉRATIONNELLES

Obtenez gratuitement le livre blanc pour découvrir comment répondre aux défis de la cybersécurité dans les transports.

La nouvelle réalité de la cybersécurité : les réseaux opérationnels

La cybersécurité opérationnelle

 

Les cyberattaques vont aujourd’hui bien au-delà du traditionnel combo vol de données-rançon qui touche les TI organisationnelles. Elles visent désormais également à déstabiliser de larges pans de l’économie, du marché et la chaîne de production et d’approvisionnement en s’attaquant directement à nos infrastructures opérationnelles –qui intègrent maintenant bien souvent des technologies virtuelles et nuagiques– telles que nos réseaux de communications, nos usines et nos transports. De là la nécessité et l’urgence d’adapter nos systèmes opérationnels à cette nouvelle réalité.

Restez à l’affût alors que nous publierons prochainement une série d’articles portant sur les défis de l’implémentation de la cybersécurité opérationnelle, plus particulièrement dans les transports où nous aborderons des thèmes tels que l’implémentation d’une culture de résilience au sein d’une organisation, la meilleure approche pour certifier un système existant, la gestion de la chaîne d’approvisionnement et les standards de cybersécurité au sein de l’industrie des transports.

Cysca est bien positionnée pour vous aider à faire face aux cyberrisques et au cyberterrorisme et à moderniser vos systèmes.

Contactez-nous pour découvrir comment Cysca peut vous aider à résoudre certains de vos plus grands défis, que ce soit en ingénierie logicielle ou de systèmes, intégration de systèmes, conception électronique, architecture TI ou cybersécurité.

 

À PROPOS DE CYSCA TECHNOLOGIES

Depuis 1997, Cysca Technologies fournit des solutions d’ingénierie de pointe en ingénierie de systèmes, conception électronique, ingénierie logicielle, intégration de systèmes et architecture informatique et cybersécurité. Nous offrons des services complets et aidons nos clients à développer leurs propres solutions en s’appuyant sur notre expertise dans le développement de systèmes électroniques, les logiciels embarqués associés et les applications d’interface utilisateur. Tout en mettant en avant notre créativité et notre esprit novateur, nous mettons l’innovation au service d’une croissance durable.

Fiers de soutenir la relève

équipe Ourea étudiants génie Université de Sherbrooke

Cysca Technologies est fière de soutenir la relève de demain

 

Résolument tournée vers l’avenir, Cysca Technologies est fière et très heureuse de commanditer Ourea, une équipe d’étudiants finissants en génie à l’Université de Sherbrooke, dans le cadre de leur projet de conception d’un drone.

L’équipe d’Ourea s’est donné comme défi la réalisation d’un drone hybride de style multirotor détenant la capacité de braver des conditions météorologiques extrêmes, et ce, de manière autonome, sécuritaire et économique. Parmi les débouchés d’utilisations futures figurent la prise d’images et de données scientifiques et l’assistance d’urgence en terrain difficile d’accès.

Cysca croit profondément à la création de solutions innovantes et de valeur pour l’avancement technologique au bénéfice de la croissance durable. Il était donc naturel pour nous d’apporter notre soutien aux ambitions de cette nouvelle génération d’ingénieurs.

Nous avons bien hâte d’aller les encourager lors de l’édition 2022 de l’Expo MégaGÉNIALE, la plus grande exposition de projets de génie au Canada, qui aura lieu les 2 et 3 décembre prochain au Centre sportif de l’Université de Sherbrooke.

 

concept drone Ourea

Refonte de notre site Web : une nouvelle interface avec une image renouvelée

Cysca Technologies lance un site Web repensé avec une nouvelle image corporative rafraîchie

 

Cysca est ravie d’annoncer le lancement de son nouveau site Web : www.cysca.com.

Grâce à une interface plus conviviale et plus facile à naviguer, notre site entièrement repensé offre une nouvelle façon simplifiée de présenter nos services et quelques-uns des marchés que nous soutenons. Au-delà d’une philosophie centrée sur le client, nous visons à connecter nos clients aux solutions dont ils ont besoin pour résoudre les obstacles auxquels ils sont confrontés dans le développement de produits et services innovants et durables.

Notre nouveau site présente un portefeuille d’une sélection croissante de projets détaillant notre expertise et les solutions innovantes que nous proposons à nos clients pour les aider à résoudre certains de leurs plus grands défis.

En plus d’en savoir plus sur certains de nos projets, notre clientèle pourra désormais accéder à un leadership éclairé et à d’autres contenus tels que des notes techniques, des articles, des livres blancs et des actualités sur notre page Points de vue. Ce centre de connaissances, qui s’étendra au fil du temps, offrira des ressources précieuses et centrées sur l’utilisateur sur une variété de sujets pour élargir les connaissances de l’industrie et trouver des solutions potentielles aux problèmes d’affaires.

Le président et associé fondateur de Cysca, Yves Tremblay, a déclaré : « Notre nouvelle image corporative et notre nouveau site Web sont quelques-unes des mesures que nous prenons pour préparer notre croissance pour les années à venir. Nous sommes vraiment enthousiastes pour le futur et pour étendre notre expertise et notre créativité dans les solutions technologiques et de conception électronique afin d’aider nos clients à construire un avenir durable pour notre société ».

Nous vous invitons à partager vos réflexions avec nous et avons hâte de vous voir au cysca.com.

 

À PROPOS DE CYSCA TECHNOLOGIES

Depuis 1997, Cysca Technologies fournit des solutions d’ingénierie de pointe en ingénierie de systèmes, conception électronique, ingénierie logicielle, intégration de systèmes et architecture informatique et cybersécurité. Nous offrons des services complets et aidons nos clients à développer leurs propres solutions en s’appuyant sur notre expertise dans le développement de systèmes électroniques, les logiciels embarqués associés et les applications d’interface utilisateur. Tout en mettant en avant notre créativité et notre esprit novateur, nous mettons l’innovation au service d’une croissance durable.

Un nouvel emplacement pour Cysca

On déménage : un nouveau bureau au sein de la grande région de Montréal

 

Nous sommes heureux de vous informer que nous déménageons nos bureaux dans un nouvel emplacement dans la grande région de Montréal, à compter du lundi 20 septembre 2021. Notre nouveau bureau moderne à Terrebonne offre une plus grande superficie pour répondre à nos besoins d’affaires croissants et nous permettra de regrouper toute notre expertise en un seul endroit, offrant à nos diverses pratiques et professionnels une efficacité et une collaboration accrues pour mieux servir nos clients.

Merci de mettre à jour vos dossiers afin de refléter notre nouvelle adresse :

Cysca Technologies
Grande région de Montréal
816, boulevard des Seigneurs, bureau 300
Terrebonne (Québec)  J6W 1T9  CANADA

Notez que nos autres coordonnées, tel que notre numéro de téléphone, restent les mêmes qu’auparavant.

Si vous avez des questions sur la relocalisation, veuillez nous contacter via notre page web Contactez-nous ou par téléphone au 514 405-5542.

Nous sommes impatients de vous voir et de vous servir depuis notre nouvel emplacement.


À PROPOS DE CYSCA TECHNOLOGIES

Depuis 1997, Cysca Technologies fournit des solutions d’ingénierie de pointe en ingénierie de systèmes, conception électronique, ingénierie logiciel, intégration de systèmes et architecture informatique et cybersécurité. Nous offrons des services complets et aidons nos clients à développer leurs propres solutions en s’appuyant sur notre expertise dans le développement de systèmes électroniques, les logiciels embarqués associés et les applications d’interface utilisateur. Tout en mettant en avant notre créativité et notre esprit novateur, nous mettons l’innovation au service d’une croissance durable.

Les nombreuses céramiques diélectriques de condensateur

The Many Ceramic Capacitor Dielectrics

Faire le bon choix pour chaque application

Note technique de Denis Lachapelle, ing., février 2010
Révision par Serge Tremblay, mars 2021

 

Cette note d’application porte sur la vaste gamme de céramiques diélectriques de condensateur afin de déterminer le meilleur choix pour chaque application, ainsi qu’une clarification de l’utilisation des caractères d’identification.

Que sont ces trois caractères?

La plupart des condensateurs sont généralement accompagnés de trois caractères, définis par la norme EIA-198, qui prennent la forme suivante : X7R, NP0, ZU5, etc. Ces trois caractères ne dictent pas quelle céramique utiliser dans un condensateur, mais plutôt ses caractéristiques en matière de température. Le premier caractère indique la température inférieure, le deuxième, la température supérieure, et le troisième, la tolérance de capacité. Par exemple, comme indiqué dans le tableau 2, un condensateur céramique diélectrique de type X7R fonctionne dans la plage de température comprise entre -55 °C et +125 °C et sa tolérance de capacité dans cette plage est de ±15 %. Un autre exemple indiqué dans le tableau 1 : les condensateurs de type NP0, compris dans la classe 1, proposent la dépendance de température la plus faible parmi les condensateurs céramiques, qui peuvent présenter différents coefficients de température.

Ces condensateurs à coefficients de température différents sont souvent utilisés pour compenser l’effet de la température sur l’inductance de résonance. Dans les cas où l’inductance a un CT de +200 ppm et résonne avec un condensateur de –200 ppm, l’effet net de la température sur la fréquence de résonance sera nul.

On peut envisager de disposer des condensateurs à coefficients de température différents en parallèle ou en série afin de correspondre au coefficient de l’inductance à compenser.

Les condensateurs de classe 2 sont étiquetés selon la variation de leur capacité dans la plage de température.

Dans la même veine que la norme EIA-198, la norme EIA RS-198 utilise un code de trois caractères qui commence par une lettre :

  • Le premier caractère est une lettre qui indique la température inférieure de fonctionnement.
  • Le deuxième est un chiffre et indique la température supérieure de fonctionnement.
  • La lettre à la fin indique la variation de capacité dans cette plage de température.

Voici quelques exemples courants :

  • X7R (−55/+125 °C, ΔC/C0 = ±15 %)
  • X5R (−55/+85 °C, ΔC/C0 = ±15 %)
  • X7S (−55/+125 °C, ΔC/C0 = ±22 %)
  • Z5U (+10/+85 °C, ΔC/C0 = +22/−56 %)
  • Y5V (−30/+85 °C, ΔC/C0 = +22/−82 %)

Il est à noter, par contre, que ces trois caractères ne disent pas tout à propos d’un condensateur. Plusieurs autres spécifications sont à prendre en compte, dont le facteur de perte, le vieillissement, l’ESR, l’ESL et les pertes; certains de ces aspects sont abordés ci-dessous. Les condensateurs céramiques sont largement accessibles en ligne et plusieurs types sont offerts, dont NP0, C0G, X5R, X7R, Z5U, Y5V, XR8, X7S, X6S et X7S.

Facteur de température

Lorsque l’application est de nature militaire ou automobile, le choix d’un condensateur avec une plage de température de –55 °C à +125 °C s’impose. La plupart des types de classe 1, ainsi que le type X7R, seraient appropriés. Pour les applications industrielles, les types X7 et X5 sont à privilégier, ainsi que les types Y5 si l’appareil n’est pas situé à l’extérieur. Pour les applications commerciales et consommateur, les types Y5 et Z5 représentent de bonnes options. Il est important de prendre en compte la stabilité de la température; si le projet est de nature commerciale mais exige une plus grande stabilité, le type X7R peut représenter un meilleur choix.

Classes de condensateurs standard selon EIA-198

Classe I

Les composants de ce type sont des céramiques diélectriques à compensation thermique, condensateurs fixes adaptés aux applications de circuit résonnant ou autres applications qui exigent un facteur de qualité et une stabilité de la capacité élevés.

Classe II

Les composants de ce type sont des condensateurs à céramiques diélectriques fixes adaptés aux applications de dérivation et de découplage ou aux circuits de discrimination de fréquence pour lesquels le facteur de qualité et la stabilité de la capacité importent peu. Cette classification se définit d’autre part comme désignant les condensateurs présentant des caractéristiques de température de A à S. Les céramiques diélectriques de classe II présentent un changement prévisible en fonction du temps et de la tension. Pour compenser l’effet de vieillissement, on peut faire référence aux limites de capacité au moment futur le plus utile à l’acheteur; il s’agit généralement de 1 000 heures, mais l’acheteur et le vendeur peuvent en convenir différemment. La tension entraîne également une variation temporaire de la capacité; la séquence de tests devrait être établie de façon à ce que les essais de tension précédents n’affectent pas les mesures de capacité.

Le taux de vieillissement d’un diélectrique demeure essentiellement constant pendant plusieurs décades, c.-à-d. de 10 h à 100 h, de 100 h à 1 000 h, de 1 000 à 10 000 h, et ainsi de suite, lorsque mesuré à partir du moment de la dernière dépolarisation en usine. La capacité d’origine lors de la fabrication est rétablie en le chauffant à 150 °C pendant une heure, après quoi le vieillissement normal reprend de nouveau. Les mesures de condensateurs prises avant 24 heures peuvent indiquer des valeurs de capacité élevée temporaires qui s’estomperont.

Classe III

Ces composants standardisés sont des condensateurs à céramique diélectrique fixe particulièrement adaptés pour une utilisation dans des circuits électroniques pour la dérivation, le découplage ou autres applications pour lesquelles les pertes diélectriques, la résistance d’isolement élevée et la stabilité de la capacité importent peu. Cette classification est identique à celle de la classe II, à l’exception près qu’elle est réservée aux condensateurs qui présentent des caractéristiques de température de T à V.

Classe IV

Cette classification est réservée aux composants dont la fabrication comprend du titanate réduit ou une couche d’arrêt. Bien qu’ils répondent globalement aux descriptions des classes II et III, certaines autres différences électriques sont présentes, comme décrites au point EIA-198-3-F de cette spécification.

Facteur de perte (DF)

Le facteur de perte/facteur de puissance d’un condensateur indique quel pourcentage de la puissance apparente (Irms*Vrms) reçue se transformera en chaleur dans le condensateur. Le facteur de perte et la résistance série équivalente (ESR) sont reliés; ainsi, le courant qui circule dans le condensateur entraîne une perte dans l’ESR.

La perte et la puissance apparente se calculent comme suit :

Perte :
P = Irms^ 2 * ESR

Puissance apparente :
Irms^ 2 * Xc, Irms^ 2 * sqrt (1/ (2 * PI * F * C) ^2 + ESR^ 2)

DF = (Irms^ 2 * ESR) / (Irms^ 2 * sqrt (1/ (2 * PI * F * C) ^2 + ESR^ 2))

= ESR / sqrt (1/ (2 * PI * F * C) ^2 + ESR^ 2)

De cette équation, le dénominateur à très basse fréquence est de 1/2*PI*F*C; on peut donc dire que DF = 2 * PI * F * C * ESR.

Ainsi, plus l’ESR est faible, plus le facteur de perte est faible. Il est à noter que le DF varie selon la fréquence.

Vieillissement

Le vieillissement est un facteur critique dans la sélection d’un condensateur. Les condensateurs de type NP0 ne souffrent pas généralement de vieillissement, mais les autres diélectriques vieillissent de 2 à 5 % par décade.

Par exemple, un condensateur X7R perd 2 % par décade heure, tandis qu’un condensateur de 1 uF tombera à 0,98 uF après 10 heures, à 0,96 uF après 100 heures et à 0,94 uF après 1 000 heures. Lorsqu’un condensateur X7R est utilisé dans une application de minuterie, la fréquence augmentera au fil du temps; le condensateur de type NP0 est donc un meilleur choix en raison de sa stabilité dans le temps. Les fabricants proposent habituellement la valeur du condensateur après 1 000 h; il faut s’attendre à une réduction de 2 % après 10 000 h, soit un peu plus d’un an, environ.

Effet microphonique

Les céramiques à constante diélectrique très élevée sont à privilégier pour obtenir un condensateur puissant dans un espace restreint. Ces céramiques à constante diélectrique très élevée sont souvent également piézoélectriques, c’est-à-dire qu’elles agissent comme transducteur. Une pression mécanique sur la céramique entraîne une différence de tension à sa surface. Comme l’explique AVX :

« Effets des contraintes mécaniques – Les condensateurs céramiques à constante diélectrique élevée démontrent de faibles réactions piézoélectriques sous l’effet de contraintes mécaniques. De manière générale, plus le débit piézoélectrique est élevé, plus la constante diélectrique de la céramique est élevée. Il est souhaitable d’examiner cet effet avant d’utiliser des diélectriques à constante élevée dans un condensateur de couplage pour une application de base. »

Ce problème est souvent présent dans les circuits d’amplification des microphones, puisqu’un condensateur céramique à constante diélectrique élevée est utilisé pour le couplage. De plus, les condensateurs montés en surface sont plus microphoniques que les condensateurs céramiques au plomb, possiblement en raison du couplage mécanique moins serré du circuit imprimé et du diélectrique, puisque les fils du condensateur agissent comme amortisseur de vibrations.

Permittivité de certains diélectriques

Le tableau ci-dessous, extrait et simplifié de Wikipédia, illustre bien pourquoi la céramique est utilisée dans les condensateurs. La permittivité de la céramique varie de 86 à 10 000, ce qui est nettement plus élevé que le polystyrène, utilisé dans les condensateurs à film, et beaucoup plus que l’air et le vide. À noter, les cinq derniers éléments sont des céramiques.

Conclusion

Bien qu’elle ne soit pas exhaustive puisqu’elle couvre uniquement quelques aspects des condensateurs céramiques, cette note d’application visait principalement à clarifier certains facteurs qui déterminent la sélection optimale. Parmi les autres facteurs importants non couverts, on retrouve la plage de fréquences, l’inductance de série équivalente (ESL), la fréquence de résonance, la variation de la capacité selon la polarisation CC, les fuites CC, et plus encore.