Ce dossier spécial vise à offrir quelques clés afin de rehausser la cybersécurité des entreprises, particulièrement dans le domaine des transports.
Sécuriser les systèmes opérationnels
Comme nous l’avons vu dans les deux premiers articles de ce dossier spécial, la cybersécurité devient un impératif stratégique pour assurer la pérennité des entreprises. Après avoir identifié l’exposition au risque des organisations pour leurs systèmes informatiques et opérationnels, l’atténuation des risques implique de poser des fondations solides pour développer leur cyberrésilience.
Cette approche deviendra un ingrédient clé de la phase de conception des nouveaux produits, afin d’éliminer à la source les failles potentielles de sécurité. Les entreprises s’assureront ainsi que leurs systèmes opérationnels répondent aux exigences de conformité minimale des donneurs d’ouvrage publics et privés en matière de cybersécurité.
Mais qu’en est-il de leurs produits et services existants ? Comment garantir qu’ils résisteraient à une cyberattaque ? Comment convaincre et rassurer les clients que les systèmes sont robustes et cyberrésilients?
Programmes de cybersécurité et certification
Implanter un programme de cybersécurité opérationnelle tend à devenir la norme en Europe comme en Amérique du Nord. En adoptant une approche proactive et en prenant les précautions nécessaires pour faire face à la cybercriminalité, les entreprises et les sociétés parapubliques démontrent à leurs clients et aux tierces parties (investisseurs, employés, grand public) qu’elles sont proactives en mettant en œuvre les conditions nécessaires à la continuité de leurs activités en cas de cyberincidents.
Un aperçu des phases de mise en œuvre d’un système opérationnel, dans le cadre du développement d’un programme de cybersécurité, est présenté ci-après.
Phases de développement d’un programme de cybersécurité
Gestion Projet Cycle de vie : Activités reliées à la cybersécurité
La certification est un pas de plus dans cette direction. Bien que les normes ne soient pas encore harmonisées d’un continent à l’autre, elles tendent à se préciser et à être mises en œuvre dans plusieurs pays.
C’est le cas des règlements RN155 et RN156 qui sont progressivement adoptés en Europe, ainsi que de la norme ISO/SAE 21434 qui couvre toutes les phases du cycle de vie d’un véhicule connecté ; de ses systèmes électriques et électroniques, incluant ses composants et ses interfaces, aux logiciels qui y sont intégrés, ainsi que les outils nécessaires pour le développement de ces éléments.
La création d’ISO/SAE 21434 fait suite à l’augmentation exponentielle du nombre d’incidents de cybersécurité enregistrés dans les véhicules connectés entre 2016 et 2019, qui aurait bondi de 605 % (1). Un chiffre appelé à croître si rien n’est fait pour sécuriser les nombreux systèmes embarqués dans les voitures, tels que les unités de communication aux systèmes d’assistant vocal, les capteurs de géolocalisation et les plateformes infonuagiques qui relient les véhicules aux services de mobilité. L’institut Juniper Research (2) évalue que 206 millions de véhicules intégreront de telles fonctionnalités d’ici 2025, dont 30 millions qui seront connectés au réseau 5G.
La norme ISO/SAE 21434 en bref
Un prérequis pour répondre aux appels d’offres?
Bien que l’industrie des transports exige de plus en plus que les véhicules soient certifiés et répondent à des exigences normalisées de cybersécurité, l’enjeu réside dans le fait que la grande majorité de ces véhicules sont déjà conçus, voire déjà construits ; il est à noter que cet enjeu concerne aussi de nombreuses autres industries.
Implanter un programme de cybersécurité opérationnelle et accomplir les démarches pour faire certifier des systèmes existants pose alors un défi supplémentaire pour les entreprises qui tentent de concilier les exigences de conformité minimales, les contraintes techniques et financières relatives à leurs systèmes ainsi que l’échéancier de mise en marché.
L’approche utilisée pour certifier un système existant s’apparente à celle permettant de certifier un nouveau système, il s’avère toutefois plus compliqué d’en effectuer une analyse complète. Pour leur part, la cartographie des risques en matière de cybersécurité et les scénarios d’attaques étant effectués en utilisant l’architecture existante, cette dernière pourrait ne pas être adaptée à ces nouvelles exigences, rendant ainsi le processus de documentation de démonstration des requis de cybersécurité ardu, voire irréalisable.
Les efforts et les ressources mobilisées pour effectuer ces analyses engendreront des coûts qu’une entreprise pourrait se voir contrainte d’absorber afin de commercialiser son système à un prix compétitif. Une piste de solution est d’effectuer une analyse des écarts avant d’entamer un programme de cybersécurité pour évaluer l’ampleur des efforts à produire. Pour ce faire, l’entreprise pourra solliciter l’aide d’experts externes qui pourront produire, ou encore l’assister dans l’analyse des risques inhérents en matière de cybersécurité ou pour revoir son analyse dans le cadre d’audits internes.
Pour que ces étapes soient couronnées de succès, il sera essentiel d’impliquer différents professionnels et métiers de l’organisation, notamment l’équipe des ventes afin d’expliquer la démarche et ses implications financières et sensibiliser ses membres à la nécessité d’intégrer ces nouvelles exigences dans les réponses aux appels d’offres. L’équipe des ventes pourra alors déterminer les coûts additionnels qui sont reliés aux activités de cybersécurité afin de rentabiliser ces ajouts.
Les fournisseurs ou sous-traitants des diverses composantes des systèmes constituent aussi des parties prenantes essentielles dans cette approche ; cet élément sera couvert dans notre prochain article qui se concentrera sur les enjeux liés à la chaîne d’approvisionnement.
Une étape clé : Revoir l’architecture TI
Comme expliqué précédemment, la norme ISO/SAE 21434 se concentre principalement sur les systèmes opérationnels. Toutefois, il est crucial de considérer l’ensemble des équipes de Technologies de l’Information (TI) comme partenaire essentiel à la préparation des entreprises à devenir cyberrésilientes.
Cela sera d’autant plus important que les exigences minimales de cybersécurité opérationnelle sont souvent confondues avec les éléments de cybersécurité organisationnelle. Par exemple, il est souvent exigé d’effectuer de simples tests de validation d’intrusion des systèmes, alors que ceux-ci ne constituent qu’une partie d’une démarche de certification d’un système en cybersécurité.
Une organisation qui n’aurait pas encore implanté de programme de cybersécurité devra aussi sécuriser ses infrastructures TI organisationnelles. Cela impliquera d’analyser les écarts avec ses pratiques courantes en TI, mettre à niveau ses méthodes afin d’adopter des pratiques cybersécuritaires conformes aux exigences du marché tout en instaurant des politiques et processus favorisant le maintien de ces pratiques dans le temps.
9 éléments de sécurité des réseaux
Une fois le programme de cybersécurité en place dans l’entreprise, le développement de nouveaux systèmes opérationnels devra tenir compte des infrastructures TI révisées afin d’assurer la cohésion entre les TI et les technologies opérationnelles (TO).
Exemples d’activités requises pour mettre à niveau votre architecture TI
Au vu des efforts requis, il apparaît que certifier un système opérationnel pose plusieurs défis et contraint les entreprises à une démarche rigoureuse qui implique de mobiliser de nombreuses ressources humaines et financières. De plus, bien qu’implanter un programme de cybersécurité opérationnelle puisse constituer une première étape vers une certification, il ne faut pas négliger son impact sur les systèmes TI déjà en place.
Comme tout projet d’envergure, une bonne planification sera déterminante afin de réussir la transition vers un programme de cybersécurité opérationnelle, le tout, incluant une cartographie précise des systèmes concernés ainsi que le recours à des ressources d’expérience pour épauler l’entreprise dans ses efforts. La mise en œuvre réussie d’un tel programme simplifiera par la suite les démarches de l’entreprise dans ses futurs appels d’offres.
(1) Source : ISO/SAE 21434 Automotive Cybersecurity Standards Guide (beyondsecurity.com)
(2) Source : Operator Connected Car Strategies Statistics: Market Summary | Infographics (juniperresearch.com)
CYBERSÉCURISEZ VOS
INFRASTRUCTURES OPÉRATIONNELLES
Obtenez gratuitement le livre blanc pour découvrir comment répondre aux défis de la cybersécurité dans les transports.