Evaluez le risque provenant de vos équipements industriels

Evaluez le risque provenant de vos équipements industriels

🏭
LES ÉQUIPEMENTS INDUSTRIELS AUGMENTENT LA SURFACE D’ATTAQUE ET DONC LES RISQUES.
  • Il faut vous assurer que les bonnes pratiques évoquées pour chacun des équipements dans ce guide (postes de travail, serveurs…) sont aussi appliquées pour vos équipements industriels.
  • Selon Orange Cyberdéfense, les 6 vulnérabilités les plus courantes, identifiées dans plus de 90% des usines auditées, sont :
    • OS et firmwares non sécurisés,
    • Protocoles non sécurisés,
    • Absence de capacité de détection,
    • Stations ingénieurs connectées en permanence,
    • Absence de veille en sécurité,
    • Absence de scellement de poste/anti-virus.
👇
CONSULTEZ LES GUIDES DE CYBERSÉCURITÉ DES SYSTÈMES INDUSTRIELS ANSSI CI-DESSOUS
👇
CONSULTEZ LE GUIDE CYBER OT (OPERATIONAL TECHNOLOGY) DE GIMELEC CI-DESSOUS
👇
LES QUESTIONS CLÉS À SE POSER

Stratégie et organisation

  1. Y'a-t-il des règles de sécurité particulières pour la sécurité industrielle ?
    • Aucune règle spécifique
    • Procédures spécifiques de sécurité à certaines machines
    • Règles de sécurité pour tous les matériels connectés sur un réseau industriel
    • PSSI industrielle
  2. Sensibilisez-vous les profils automaticiens, responsables maintenance, responsables d’atelier de production ?
  3. Y a-t-il une organisation interne (personne responsable) dédiée à la cybersécurité industrielle (en particulier au réseau industriel) ?
    • DSI /RSSI
    • RSSI industriel
    • Service maintenance ou bureau d'étude
    • Société extérieure
  4. Les profils IT sont-ils sensibilisés aux contraintes techniques et économiques de production industrielle ?
  5. Y a-t-il une segmentation des réseaux IT/OT ?
    • Aucune segmentation (réseau à plat)
    • Uniquement entre la partie bureautique et la partie industrielle
    • Par zones fonctionnelles et techniques (ensemble cohérent de machines industrielles)
    • Par zones et niveaux de sensibilité (production, administration et programmation, accès internet)
  6. Dans vos cahier des charges pour des nouvelles machines ou des retrofits, intégrez-vous un chapitre avec vos exigences de cybersécurité ?
    • 1) Non
    • 2) Oui

Infrastructures et postes de travail

  1. Connaissez-vous l'ensemble des machines/matériels connectées à votre réseau (automates, raspberry, cartes d'E/S déportées, SCADA, PC industriels, IHM, lecteurs code -barre, switchs, …) ?
    • Pas du tout
    • Partiellement (uniquement les PC par exemple)
    • De multiples fichiers excel à consolider
    • Inventaire complet
  2. Connaissez-vous les flux d'échanges inter-automates ou entre automate et PC industriel ?
    • Pas du tout
    • Seulement entre automates
    • Pour les échanges critiques
    • Tous les flux cartographiés dans des documents
    • Tous les flux cartographiés à l'aide d'une sonde industrielle (dynamique)
  3. Les outils informatiques utilisés pour la partie industrielle sont:
    • Sans protection particulière
    • Protégés par un système de liste blanche
    • Protégés par un outil de scellement de poste (liste blanche, contrôle USB)
    • Protégés par un outil de type antivirus (EPP : End Point Protection)
  4. Interventions à distance:
    • Ne sait pas s'il y a des interventions à distance sur le matériel industriel
    • Des accès distants ont été mis en place par votre entreprise (ex: VPN d'accès sur le réseau industriel)
    • Des accès ont été mis en place par d'autres entreprises suivant vos recommandations
    • Des accès sont possibles mais laissés au choix des intervenants
    • Les accès à distance ne sont pas autorisés ou n'existent pas
  5. Les ports Ethernet et USB sont-ils accessibles facilement (sans ouvrir une armoire, en façade des IHM, …) ?
    • Non
    • Oui
  6. Avez-vous un plan de remplacement des matériels obsolètes (switchs, automates, PC industriels ….) ?
    • Non
    • Oui

Emails, fichiers et mots de passe

  1. Avez-vous une politique de gestion des mots de passe pour les matériels industriels ? * mots de passe pour les PC, automates et autres matériels connectés
    • Pas de contraintes sur les mots de pass pour la partie industrielle
    • Mots de passe obligatoires mais sans règle (y compris mots de passe par défaut interdits)
    • Mots de passe obligatoires et complexes
    • Mots de passe obligatoires et complexes avec durée de vie limitée
    • Mots de passe obligatoires et complexes avec durée de vie limitée et nombre de tentatives limitées (blocage)
  2. Les outils de programmation ou d'administration (configuration des switchs, des firewalls, des serveurs …) des matériels critiques sont-ils protégés ?
    • Pas de règles
    • Identification via un compte générique (maintenance par exemple)
    • Identification via un compte nominatif (compte dédié à la personne sans mot de passe ou mot de passe faible)
    • Identification et authentification (comptes nominatif et mot de passe fort)

Sauvegardes 

  1. Faites-vous des sauvegardes régulières de vos outils industriels (automates, Config variateurs, bases de données, etc…) ?
    • Ne sait pas ou pas de règle
    • Uniquement pour les machines critiques
    • Sauvegardes faites lors de la réception machine / mise en production, et plus d'autres depuis
    • Sauvegardes faites à chaque modification
    • Sauvegardes périodiques
  2. Si vous utilisez un disque réseau de type NAS, mettez-vous à jour le système d'exploitation (patchs de sécurité) ?
    • N'utilise pas de disque NAS
    • Jamais
    • Une fois par an
    • Dès que le fabricant signale une faille de sécurité