Beijaflore >Expertises >Systèmes d'information >Risques SI, sécurité & contrôles
- Risques si, sécurité & contrôles -

 

.: CYBERSÉCURITÉ EN MILIEU INDUSTRIEL : UN CONSTAT ALARMANT, UNE PRISE DE CONSCIENCE ENCORE TROP LENTE

 

Le volume des cyberattaques est en constante croissance depuis quelques années et, fait nouveau, des outils et virus ciblés SII (Systèmes d'Information Industriels) ont fait leur apparition. Quels sont les impacts sur les systèmes de contrôle ? Au-delà des probables pertes de production, quels dégâts physiques et humains anticiper si ces modifications sont faîtes sur les systèmes de sécurité ?

La culture et les modes opératoires industriels très éloignés de ceux de l'informatique de gestion nécessitent une réponse adaptée.

 

Fort de son expérience tant sur des projets industriels que sur des usines existantes, en Europe, Asie et USA, Beijaflore a souhaité partager quelques questions importantes et éléments concrets de solutions pour renforcer la protection des infrastructures industrielles.


Pour télécharger le Livre Blanc 2015, cliquez ici

 

> Documents

Accéder à notre blog

 

"Livre Blanc - Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente"
> Télécharger

 

Entretien croisé - "Gérer les crises comme les pompiers de Paris"
> Télécharger

 

 Beijaflore ISO 9008

Certification ISO 9001 - 2008

 

 

 Beijaflore Risque et Sécurité

Maxime de Jabrun

Head of Risk & Security

 

 

 

Certification ISO/IEC 27001:2013

 

Label France CyberSecurity 2016

 

 



    .: Risques, Audit et Contrôle IT, Sécurité de l'Information et des Systèmes industriels

 Notre équipe Cyber Risk & Security accompagne ses clients sur 2 missions principales :

  • Faciliter le business des entreprises en renforçant la confiance dans l’outil informatique 
  • Protéger la chaîne de production industrielle et ses automates des cyber menaces croissantes

 

Nous proposons d’actionner 8 leviers pour valoriser leurs équipes :

 

- Intégrer stratégie métier et modèle opérationnel à la cartographie des Risques IT

- Développer les synergies des filières  Risque, Contrôle, Sécurité et Continuité

- Adopter un modèle de protection des secrets et données personnelles proportionné

- Industrialiser l'accompagnement sécurité des projets métiers et informatiques

- Stimuler la gestion des identités et des accès 

- Outiller la détection et la réaction aux incidents

- Innover et soutenir les équipes projets et opérations des usines, notamment dans la relation avec leurs multiples sous-traitants

 

1. Comment sécuriser l'informatique de production industrielle et ses automates ?


En phase amont

  • Analyser les risques sur les projets en intégrant la complexité contractuelle et la multiplication des chaines de sous-traitance 
  • Accompagner les grands projets industriels de bout en bout (Ingénierie, spécifications et politiques cyber sécurité, tutorat avec les fournisseurs, FAT, commissionning) 
  • Auditer les fournisseurs et les éléments techniques de l’informatique industrielle 

   

Sur le parc existant

  • Réaliser la cartographie des risques des usines et produits industriels
  • Déployer un système de management des cyber risques 
  • Piloter la cybersécurité de l’informatique industrielle en particulier lors des phases de maintenance

 

Former les équipes projet et opération à la cyber sécurité / l’informatique

Nos services en cybersécurité de l'informatique industrielle sont certifés ISO 9001 : 2008

 

 

2. Comment assurer la confiance dans les services IT ?

 

Identifier et gérer le risque  IT

  • Management des risques : définir les politiques de gestion, validation, dérogation, traitement et suivi des risques 
  • Mise en œuvre de la gouvernance risques : sensibiliser les métiers et acteurs IT à leur rôle.

 

Contrôler le risque IT

  • Audit des SI
    • Audit de DSI, Audit de processus IT, Audit de projet informatique, audit IT de fournisseur, diagnostic de maturité 

    • Préparation d'équipes auditées. Accompagnement dans la hase de restitution des recommandations d'audit 

    • Audit technique, revue de configuration 

    • Tests de pénétration et tests de vulnérabilités.

  •  
  •  Contrôle IT
    •  Définition d'objectifs de contrôle IT adaptés aux risques 
    •  Automatisation du contrôle informatique 
    •  Pilotage et réalisation du contrôle IT.

 

Préserver les activités critiques en cas de crise

  •  Identifier les outils critiques en réalisant les bilan d’impact sur l’activité 
  •  Elaborer et documenter les Plans de Continuité et de Reprise d’Activité métier et informatique pour réduire l’impact en cas de sinistre
  •  Réaliser les exercices de crise.
  •    

 

3. Comment déployer une culture de la performance en sécurité  ?


  • LSS Sécurité - Amélioration de la performance opérationnelle des processus sécurité : décloisonnement des organisations sécurité, industrialisation des processus
  • Organisation et gouvernance de la sécurité, tableau de bord stratégique et opérationnels, définition de politiques et standards techniques
  • Intégration de la sécurité dans les projets
  • Marketing de la fonction sécurité, Catalogue de services sécurité, définition et mise en place de centre de services sécurité (interne/externe) 
  • Cadrage et pilotage de programmes stratégiques : IAM (processus, référentiels, profilage, outils), protection des données 
  • Cadrage et pilotage de SOC 
  • Intégration de la sécurité dans les opérations de sourcing.

 

Quelques exemples de missions

 

Renforcement de la cyber sécurité d'une usine de traitement des eaux

    • Analyse des risques du réseau SCADA et des usines
    • Audits techniques sur le GTC/GTB et l’usine         
    • Mise en place avec le mainteneur d’un plan d’actions cybersécurité
    • Pilotage de la mise en place du plan d’action cybersécurité
    • Contre-audit de validation des apports cybersécurité

Accompagnement cybersécurité d'un acteur majeur de l'O&G

    • Analyse des risques de l’ICSS et des systèmes contrôle
    • Ingénierie sécurité, définition des spécifications, politiques et guides cybersécurité
    • Coordination cybersécurité avec les sous-traitants et vendeurs de systèmes contrôle
    • Mise en œuvre de systèmes de sécurité avancés
    • Plus de 60 audits de fournisseurs d’ICSS et de systèmes de contrôle
    • Réalisation de FAT et SAT cybersécurité

Programme Identity & Access Management d'une banque de financement

    • Diagnostic
    • Cadrage et vente d’idée
    • Conduite du changement
    • Profilage des accès
    • Revue des droits d’accès
    • Design des processus
    • Spécifications
    • Benchmarking de solutions et pilotage du déploiement

Cartographie des risques d'un acteur du retail

    • Validation par les métiers des événements majeurs redoutés
    • Augmentation de la visibilité de l'équipe sécurité auprès des métiers
    • Plan de réduction des risques approuvé par le top management