Cybersécurité et Supervision : pourquoi est-ce indissociable ?
Le monde de l’informatique évolue constamment et met à disposition des entreprises des outils de plus en plus puissants et perfectionnés. L’interopérabilité croissante des systèmes, le développement des technologies Cloud, la digitalisation des procédés, tous ces facteurs d’ouverture sont autant d’opportunités d’innovations à ne pas rater. Pour autant ces nouveaux vecteurs technologiques portent également leurs lots de risques. Le nombre croissant de sociétés impactées quotidiennement par des cyber-attaques est là pour le rappeler !
Face à ce constat, Codra a défini la cybersécurité des systèmes industriels comme une priorité dans sa stratégie de développement produit. En raison de sa forte expérience dans des projets de supervision dit « sensibles », nos équipes ont toujours prêté attention à la sécurité informatique : celle-ci est inscrite dans notre ADN.
Cette démarche stratégique a permis à Panorama E2 de devenir, en 2019, la première plateforme SCADA à obtenir la Certification CSPN (Certification de Sécurité de Premier Niveau) délivrée par l’Agence Nationale de Sécurité des Systèmes d’Information : ANSSI.
La cybersécurité est une course sans fin. C’est pourquoi, Codra a choisi, dès ses débuts, une approche secure by design avec la volonté d’améliorer en continue la solution. Début 2020, l’étape suivante fut franchie avec la Qualification de Panorama, c’est pourquoi Codra est dans un processus d’amélioration continue pour les années à venir. C’est ainsi que Codra a également obtenu dès 2020 la Qualification ANSSI pour le logiciel de supervision Panorama. Cette reconnaissance par l’état Français est gage de robustesse du logiciel Panorama E2 mais aussi la garantie des compétences et de l’engagement de la part de Codra.
En 2023, la version Panorama E2 2022 a obtenu le renouvellement de la certification mais aussi de la qualification par l’ANSSI. Ces étapes franchies confirment notre détermination à vous fournir des solutions fiables et robustes dans le temps.
Certification et Qualification ANSSI :
un atout majeur dans votre démarche Cyber
Notre démarche de collaboration avec l’ANSSI est portée par la volonté d’aider nos clients dans leurs problématiques de sécurité au quotidien. L’objectif de la Certification est de vérifier la correspondance d’un produit par rapport à sa « cible de sécurité » (cible définie avec l’ANSSI). A ce jour, le logiciel Panorama est le seul SCADA à avoir répondu aux critères d’exigences issus des profils de protection serveur et client applicatif. Concrètement, cela se traduit par la possibilité de mise en œuvre au sein de Panorama, de fonctions de sécurité pour défendre des biens à protéger selon des typologies d’attaquants et des menaces identifiées.
En choisissant le logiciel Panorama, vous choisissez un système SCADA recommandé par l’État français, éprouvé et approuvé par l’agence du gouvernement en charge des questions de sécurité des systèmes d’information. L’utilisation d’un logiciel comme Panorama vous permet donc de réaliser des applications de supervision qui intègrent des mécanismes de sécurité. Cela vous permet d’améliorer la défense en profondeur, de réduire vos risques de vulnérabilités, et d’obtenir une meilleure protection. Codra apporte une solution concrète, facile à mettre en œuvre au sein de votre environnement et accessible aux plus grands nombres.
« La qualification vous apporte l’assurance de choisir des solutions dont le niveau de sécurité et de confiance ont été vérifiés. C’est la garantie de recourir à des solutions recommandées par l’État et utilisées par l’administration française, les opérateurs d’importance vitale (OIV) et les entreprises des secteurs les plus sensibles. »
Document officiel ANSSI
Cybersécurité et Supervision : quelle mise en œuvre ?
Au sein de toutes les entreprises : industrie, bâtiment, nucléaire, transport, énergie, eau, recherche, défense, … la transformation digitale est en marche pour relever les challenges portés par la quatrième révolution industrielle.
Pour les responsables d’exploitation ou d’usines, l’enjeu majeur est de faire évoluer les systèmes de production ou d’exploitation. De les faire passer d’un mode clôt et isolé à un fonctionnement plus ouvert et interconnecté avec tous les systèmes de l’entreprise : ERP, MES, GMAO, VMS… La Panorama Suite offre également la possibilité de faire converger vos systèmes métiers dédié à la sûreté-sécurité dans une Hypervision, système d’aide à l’exploitation. Cette interconnexion portée par l’émergence des nouvelles technologies, mobiles, objets connectés, Cloud, Big Data, représente paradoxalement à la fois des opportunités d’innovations inédites mais aussi des menaces pour l’intégrité des systèmes.
Même si les cyberattaques contre les entreprises sont souvent d’origines externes, elles sont majoritairement initiées de l’intérieur par «quelqu’un de confiance». Elles sont parfois malveillantes, mais également souvent liées à l’inadvertance. Dans les 2 cas et bien que les installations soient intégrées dans une «bulle de sécurité», les accès à l’infrastructure informatique peuvent être compromis, mettant en péril le fonctionnement des systèmes et l’intégrité des données avec les conséquences désastreuses que l’on peut imaginer. Les enjeux de la cybersécurité des systèmes industriels sur le périmètre SCADA sont connus de tous mais ils peuvent être étendus à l’ensemble des utilisateurs de système de supervision. Il s’agit de faire converger les besoins opérationnels avec ceux de la Sécurité des SI. On parlera de convergence OT/IT.
Bien que le monde de l’OT (Operational Technology) et le monde de l’IT (Information Technology) utilisent des technologies similaires, ils n’en ont pas moins des métiers et problématiques différents et cela peut introduire certaines difficultés. Pour les acteurs de l’OT : interpréter et appliquer les contraintes de sécurité des architectures réseaux industriels. Pour l’IT : appréhender les problématiques d’exploitation et de production.
Pour y remédier, chaque partie doit faire son évaluation et analyser les risques de son périmètre, maîtriser la sécurité organisationnelle et faire le choix d’une solution de supervision capable d’adresser concrètement ces enjeux de cybersécurité.
Une mise en œuvre simplifiée de mécanismes Cyber pour se prémunir des attaques
Prendre des mesures en matière de cybersécurité et mettre en place des processus de protection de données n’est pas aisé et tout particulièrement dans les systèmes de contrôle-commande. Pour autant Codra a voulu apporter des réponses simples et diverses afin d’aider ses clients sans qu’ils aient besoin d’être des experts Cyber.
Notre démarche de certification ne concerne pas uniquement les OIV (Opérateurs d’Importance Vitale) ou les OSE (Opérateurs de Services Essentiels). Elle s’adresse à tous les industriels et opérateurs qui se préoccupent des enjeux de sécurité numérique tant au niveau logiciel qu’infrastructure. Cela se traduit bien entendu par les mécanismes de cybersécurité activables dans Panorama mais plus largement par la mise à disposition :
- d’un guide complet expliquant les bonnes pratiques en termes cybersécurité
- d’un assistant de paramétrage automatique (outil interne à Panorama)
- d’une formation Panorama dédiée à la cybersécurité pour améliorer ses connaissances
- d’un CSIRT Panorama pour rester informé sur les dernières évolutions cyber du produit
Vous l’aurez compris, la protection des systèmes de Supervision/SCADA de nos clients est notre priorité absolue ! Nous la voulons concrète, facile à mettre en œuvre et accessible aux plus grands nombres.
Le CSIRT
Afin d’assurer un dialogue constant entre les utilisateurs et les équipes techniques Panorama, Codra a également mis en place un CSIRT produit (Computer Security Incident Response Team). Disponible depuis 2018, il permet de travailler sur le volet prévention notamment avec la publication de bulletins de sécurité et mise à disposition de correctifs de sécurité.
Démo
Un projet à développer ? Une simple question à nous poser ?
Nos équipes sont disponibles pour vous faire une démonstration ou simplement répondre à vos questions !