Contact
E-SHOPPRODUITSSOLUTIONSTendancesCARRIÈREENTREPRISESERVICE CLIENTSTÉLÉCHARGEMENTSBLOGFAQ

Sujets 2 janvier 2025
Renforcer la cyberrésilience

Compte tenu des dommages croissants causés par les cyberattaques et des nouvelles directives de l'UE telles que le « Cyber Resilience Act » (CRA), la cybersécurité globale devient essentielle pour les entreprises. Christopher Tebbe, expert en sécurité chez WAGO, et Kilian Fröhlich, manager dans le domaine OT-Security Consulting, expliquent comment WAGO relève ces défis.

Vous souhaitez en savoir plus ?

Gardez un œil sur votre réseau et sécurisez votre système de manière globale.

L’UE a récemment adopté de nouvelles directives visant à renforcer la cybersécurité, telles que le « Cyber Resilience Act » (CRA) et la directive NIS-2. Quelles sont les obligations spécifiques qui incombent aux automaticiens ?

Dr. Tebbe : les automaticiens sont confrontés au défi de remplir à la fois le CRA et la directive NIS-2. Le CRA vise à protéger les produits en réseau contre l'accès non autorisé et la manipulation tout au long de leur cycle de vie. Un élément important est la mise à disposition rapide des mises à jour de sécurité. La norme NIS-2 étend les prescriptions de la norme NIS-1 existante et oblige les entreprises, selon la catégorie et le secteur, à gérer efficacement les risques liés à l’exploitation de leurs infrastructures et services numériques. De plus, comme pour le CRA, les cyberincidents importants doivent être notifiés aux autorités nationales. Cela signifie qu'en tant que fabricants et intégrateurs de systèmes, nous devons vérifier de manière exhaustive les failles de sécurité de notre infrastructure ainsi que de nos produits et systèmes et mettre en œuvre les mesures de sécurité correspondantes. Cela s'accompagne souvent de longues périodes de développement. Nous devons également nous assurer que nos fournisseurs respectent également ces normes élevées, ce qui nécessite une coopération étroite et des audits réguliers.

Le concept de sécurité de WAGO selon CEI 62443 comprend, entre autres, la sécurité des réseaux, la protection des informations, l'authentification des utilisateurs et la gestion des vulnérabilités.

Comment WAGO met en œuvre les nouvelles exigences ? Quel est le rôle de la série de normes internationales CEI 62443 pour la cybersécurité dans l'automatisation industrielle ?

Dr. Tebbe : WAGO exploite depuis longtemps un ISMS - Information Security Management System - basé sur la norme internationale ISO 27001 et est ainsi bien préparé aux exigences de la directive NIS-2. Pour le développement de produits, nous avons établi un concept de sécurité global basé et certifié sur la série de normes internationales CEI 62443. Cette norme est une norme importante pour la cybersécurité des systèmes d'automatisation et de contrôle industriels et comprend des mesures de base pour la prévention des risques : par exemple, l'utilisation de zones de confiance, d'approches Defense-in-Depth, de principes de Least-Privilege et la gestion des vulnérabilités. Ces mesures nous aident à remplir les exigences de sécurité des nouvelles directives de l'UE et à protéger nos produits de manière optimale tout au long de leur cycle de vie.

À l'avenir, les produits relevant du « Cyber Resilience Act » ne recevront plus le marquage CE s'ils ne remplissent pas les exigences légales. Quelles classes de produits cela concerne-t-il ?

Dr. Tebbe : Le CRA est un règlement horizontal et s’applique donc à toute classe de produits comportant un composant ou un élément numérique intégré. Il n'y a que quelques exceptions, comme pour la technologie médicale ou les véhicules automobiles, car ils sont spécifiquement réglementés. Ainsi, les appareils électroménagers, les smartphones ou les jouets relèvent du CRA, tout comme les commandes industrielles et les applications logicielles. Dorénavant, tous ces produits devront donc être conformes au CRA afin d'obtenir un marquage CE et de pouvoir être mis sur le marché européen. Les composants particulièrement importants ou critiques doivent toujours être contrôlés par un organisme de contrôle accrédité. Cependant, selon la planification de l'UE, cela ne devrait s'appliquer qu'à un petit nombre de produits qui réalisent ou supportent généralement des fonctions de sécurité. Pour tous les autres produits, une auto-évaluation suffit, par exemple sur la base d'une norme harmonisée. Un candidat pour une telle norme harmonisée est la norme CEI 62443 mentionnée précédemment. La procédure selon CEI 62443-4-1 et -4-2 traite les obligations du CRA sur l'ensemble du cycle de vie du produit et comprend les principes de Secure-by-Design, de Secure-by-Implementation et de Secure-by-Default. Ce n'est qu'après un contrôle réussi que le marquage CE est apposé et que la déclaration de conformité est rédigée dans le cadre des directives EU.

Notre concept de sécurité certifié pour le développement de produits est basé sur la série de normes CEI 62443.
Dr. Christopher Tebbe | Expert chez WAGO

Quelle est l'importance de la « Product Incident Response Team » - PSIRT - chez WAGO en ce qui concerne la cybersécurité globale ?

Dr. Tebbe : la gestion des vulnérabilités est bien établie chez nous depuis de nombreuses années. Notre PSIRT fonctionne comme un point de contact central pour les rapports de vulnérabilité dans nos produits et solutions. L'objectif est d'aider nos clients à protéger au mieux leurs applications et leurs processus. L'équipe évalue les vulnérabilités potentielles, consulte les parties prenantes concernées telles que le service de développement et la gestion des produits et prend les mesures nécessaires telles que des recommandations d'action, des mises à jour ou des correctifs. Un exemple de notre travail est la résolution d'une vulnérabilité que nous avons corrigée avec l'entreprise Intilion pour les switchs utilisés dans les systèmes de stockage à batterie. Grâce aux processus structurés du PSIRT, nous avons pu éliminer le plus rapidement possible la surface d'attaque potentielle. Notre équipe travaille en permanence à étendre ces processus à tous les produits nouveaux et existants.

Comment les clients peuvent-ils savoir si et dans quels produits un risque potentiel existe ?

Dr. Tebbe : lors de la coordination et de la publication d'informations, nous ne faisons pas cavalier seul, mais nous sommes soutenus par notre partenaire de coordination, CERT@VDE, qui fait partie de l'Association des électriciens allemands. Le CERT@VDE fournit des informations sur les corrections d'erreurs et les failles de sécurité par le biais de ce que l'on appelle des conseils et offre en plus un flux RSS. Afin de renforcer la sécurité de l'information en tant que facteur critique de succès pour l'industrie 4.0 et la numérisation, le VDE a établi une plateforme de sécurité informatique. Cette plateforme sert de point de contact central pour les clients, qui regroupe les failles de sécurité de différentes entreprises et fournit des solutions concrètes.

Que conseillez-vous aux entreprises de prendre en compte lors de la mise en œuvre de mesures de sécurité et comment les soutenez-vous ?

Kilian Fröhlich : les entreprises doivent garder un œil sur leurs réseaux OT et IT et mettre en œuvre un concept de sécurité complet, comme l'exige également la directive NIS2. WAGO offre pour cela des services de conseil dans le domaine de la sécurité informatique, complétés par une combinaison de solutions matérielles et logicielles. Un exemple en est notre partenariat avec Radiflow pour offrir dans le monde entier des solutions de sécurité OT complètes adaptées aux besoins individuels de marchés spéciaux tels que Smart Factory, Smart Building ou encore Smart Energy. Grâce à notre savoir-faire dans l'automatisation industrielle et à l'expertise de Radiflows dans le domaine de la cybersécurité OT, nous pouvons fournir un conseil de sécurité global et aider nos clients à rendre les réseaux OT aussi sûrs que possible.

Cybersécurité globale : grâce à un partenariat avec le spécialiste de la sécurité informatique Radiflow, WAGO met en œuvre des solutions innovantes pour la surveillance en temps réel et l'analyse des failles de sécurité.

Pouvez-vous donner un exemple d'interaction entre les solutions logicielles Radiflow et vos produits ou solutions ?

Serein : nous divisons nos conseils clients en deux phases afin de réduire systématiquement les vecteurs d'attaque dans les réseaux de clients. Dans la première phase, l'accent est mis sur la surveillance du réseau et la détection des anomalies. Sur cette base, une évaluation des risques largement automatisée et l'élaboration de mesures peuvent être réalisées dans la deuxième phase. Un exemple réussi de la première phase de collaboration est l'intégration transparente de l'iSID de Radiflow dans le paysage logiciel WAGO. Ce système complet de détection d'intrusion fonctionne sur nos appareils Edge et s'appelle « WAGO Cybersecurity Network Sight ». Dans les grands réseaux, des connexions réseau spéciales, les « WAGO Cybersecurity Collectors », facilitent la surveillance. De plus, les données OT collectées peuvent également être utilisées pour la gestion des actifs - selon la devise : « Vous ne pouvez protéger que ce que vous connaissez ». Nous réduisons ainsi les efforts manuels et les coûts de personnel de nos clients.

Comment identifier et minimiser les menaces dans l'environnement OT ?

Serein : les entreprises devraient revoir leurs mesures de sécurité OT actuelles et effectuer une évaluation complète des risques. Basé sur « Ciara » de Radiflow, avec « WAGO Cybersecurity Analysis », nous proposons un outil qui permet au client final d'identifier les menaces, d'évaluer les risques et de mettre en œuvre des mesures de sécurité ciblées telles que la segmentation du réseau. Cela permet une réduction efficace des risques. La plate-forme aide également les clients à surveiller et à adapter en permanence la stratégie de sécurité afin de garantir la conformité aux normes internationales telles que NIST, CEI 62443 et ISO 27001. Cela est particulièrement important pour les entreprises qui opèrent dans des secteurs fortement réglementés.

Notre concept de sécurité certifié pour le développement de produits est basé sur la série de normes CEI 62443.
Dr. Christopher Tebbe | Expert chez WAGO

Comment mettre en œuvre au mieux les connaissances acquises dans les analyses ?

Serein : un grand avantage est la cohérence des rapports : « WAGO Cybersecurity Analysis » fournit des analyses détaillées et un tableau de bord intuitif qui présente clairement l'état actuel de la sécurité du réseau. Les enseignements tirés des analyses doivent être convertis en mesures de sécurité concrètes et mises en œuvre, par exemple, par des stratégies robustes de segmentation du réseau : y compris le renforcement des systèmes, l'implémentation de mises à jour de sécurité et de correctifs ainsi que l'adaptation des configurations de réseau. Les entreprises peuvent ainsi utiliser les conclusions des analyses pour surveiller en permanence leur stratégie de sécurité et l'adapter si nécessaire. Notre équipe de conseil en sécurité aide à prendre rapidement les mesures nécessaires pour garantir la sécurité des systèmes de contrôle industriels.

Quelle est la feuille de route pour le partenariat avec Radiflow ?

Serein : nous prévoyons d'étendre le partenariat et d'améliorer continuellement nos solutions de sécurité communes. En plus des quatre produits déjà adaptés, d'autres suivront, comme par ex. Active Scanner, qui permet une recherche ciblée des vulnérabilités dans des appareils individuels. De plus, une extension de notre gamme de switchs et de routeurs est prévue, qui est également certifiée selon CEI 62443. Ici, les messages d'alarme d'iSID peuvent déboucher sur des règles de pare-feu.

Pour certains, tout cela semble être un effort très important. Que conseilleriez-vous à ces entreprises ?

Serein : à première vue, la mise en œuvre de ces mesures de sécurité semble très vaste. Néanmoins, il est essentiel d'agir de manière proactive afin d'éviter des dommages à long terme et des temps d'arrêt. Nous conseillons donc aux entreprises de procéder progressivement en comblant d’abord les failles de sécurité les plus importantes, puis en mettant en œuvre continuellement des mesures supplémentaires. Ici, il est important de regarder en premier lieu ce qui se trouve dans le réseau - car ce que l'on voit peux en même temps être mieux protéger.

Source : Ordinateur et Automation | 09.2024