Cybersécurité industrielle pour les petites et moyennes entreprises (livre blanc)

Livre blanc et résumé fournis par l'ISA, un partenaire de l'IMEC en matière de technologie et de formation de la main-d'œuvre.

Une gestion efficace de la cybersécurité est essentielle pour toutes les organisations, quel que soit le Taille. Il existe de nombreuses normes et documents d'orientation disponibles pour aider les organisations à déterminer la voie à suivre.

Le livre blanc de l'ISA « Cybersécurité industrielle pour les petites et moyennes entreprises » est destiné à fournir un point de départ pour les PME, en particulier celles qui gèrent des processus industriels et utilisent un certain niveau d'automatisation. Des exemples spécifiques incluent les PME des secteurs de la chimie, de l'eau ou du traitement des eaux usées.

S'il est généralement admis que la sécurité du système de technologie opérationnelle (OT) nécessite des mesures différentes ou supplémentaires que la sécurité du système de technologie de l'information (TI) à usage général, il est également vrai que les petites entreprises peuvent avoir des difficultés à mettre en œuvre une grande partie des directives disponibles.

Les normes et pratiques reposent souvent sur l'hypothèse que les ressources d'ingénierie et d'exploitation sont disponibles pour définir, mettre en œuvre et surveiller la technologie, les processus métier et les contrôles associés. Malheureusement, ce n'est souvent pas le cas. Les opérations plus petites ne sont généralement pas dotées en personnel pour inclure de tels rôles. Il est plus courant d'avoir des rôles de personnel largement définis, avec le soutien et l'exploitation des systèmes informatiques comme une partie seulement des responsabilités d'un individu. Les petites entreprises peuvent même ne pas être pleinement conscientes des risques auxquels elles sont confrontées ou du fait qu'elles peuvent sous-traiter des services liés à la cybersécurité. Ce guide est destiné à identifier les contrôles essentiels qui doivent être mis en place.

Les PME doivent comprendre leur risque de cybersécurité et prendre des mesures pour réduire ce risque, tout comme elles le font avec les autres risques commerciaux. L'absence d'incidents antérieurs, ou la conviction que l'organisation n'est pas une cible probable, n'est pas une justification suffisante pour ignorer ce problème.

Les PME peuvent être exposées à une grande variété de menaces, notamment des pirates informatiques amateurs et professionnels, des militants écologistes, des employés ou des sous-traitants mécontents et même des États-nations ou des terroristes. De plus, de nombreux incidents de cybersécurité sont le résultat d'accidents ou d'actions non intentionnelles. Une entreprise n'a pas besoin d'être une cible spécifique pour être affectée.

Les conséquences pour une PME peuvent varier énormément en fonction de la nature des opérations et des vulnérabilités de chacune. Il est essentiel que les vulnérabilités sous-jacentes soient reconnues et que ces vulnérabilités soient atténuées pour minimiser la probabilité d'événements potentiellement désastreux.

Le livre blanc fournit des conseils basés sur des cadres et des normes bien établis. Il convient de faire davantage référence à ces cadres et normes, en se concentrant sur les recommandations du document.

La gestion de la cybersécurité n'est pas une activité ponctuelle. Comme la gestion de la qualité et de la sécurité, la gestion de la cybersécurité est une activité continue où une amélioration continue doit être apportée afin de gérer les risques.

TÉLÉCHARGER LE LIVRE BLANC

En savoir plus sur les ressources de cybersécurité supplémentaires grâce aux articles suivants :

Cybersécurité - Ce n'est qu'un élément d'un système complet de sécurité de l'information

Capacités de lutte contre les cyberattaques industrielles

Ce livre blanc et ce résumé ont été initialement publiés par l'International Society of Automation (ISA), un partenaire stratégique d'IMEC. En savoir plus sur www.isa.org.