Cybersécurité industrielle : NIST CSF 2.0 et ISO 21434

Cybersécurité industrielle : NIST CSF 2.0 et ISO 21434

Cybersécurité industrielle : comment le NIST CSF 2.0 et l’ISO 21434 renforcent la résilience de la production

La cybersécurité industrielle est devenue une priorité stratégique pour les entreprises manufacturières.

À mesure que les usines deviennent plus connectées, les environnements de production s’appuient davantage sur les systèmes de contrôle industriel, les postes d’ingénierie, les automates programmables, les systèmes SCADA, les stations de test et les chaînes d’approvisionnement connectées. Ces technologies améliorent l’efficacité et l’automatisation, mais elles élargissent également la surface d’attaque.

Pour les industriels, un incident cyber ne constitue pas uniquement un problème informatique. Il peut arrêter une ligne de production, compromettre des données de calibration, perturber la chaîne logistique, endommager des équipements, affecter la qualité des produits et potentiellement impacter certaines fonctions de sécurité.

Pour renforcer leur résilience, les organisations ont besoin de cadres adaptés aux réalités opérationnelles et aux environnements OT. C’est précisément le rôle du NIST CSF 2.0 Manufacturing Profile et de l’ISO 21434.

Pourquoi les environnements industriels sont de plus en plus exposés ?

Les environnements industriels font face à une combinaison spécifique de risques cyber.

De nombreux sites de production reposent encore sur des équipements anciens qui n’ont pas été conçus à l’origine avec des exigences de cybersécurité. Ces systèmes peuvent utiliser des protocoles obsolètes, offrir peu de visibilité, présenter des niveaux de sécurité hétérogènes ou être difficiles à mettre à jour sans interrompre les opérations.

Par ailleurs, les industriels dépendent de plus en plus de fournisseurs externes, d’accès à distance, de partenaires logiciels, de fabricants de matériel et d’intégrateurs de systèmes. Chaque connexion tierce peut créer une nouvelle vulnérabilité.

Les cyberattaquants ne ciblent donc plus uniquement les systèmes IT de l’entreprise. Ils s’attaquent également aux systèmes opérationnels qui assurent la continuité de la production.

Une cyberattaque peut entraîner :

  • Des arrêts de production et des retards de livraison
  • Des modifications non autorisées de firmware, logiciels ou données de calibration
  • La perturbation des environnements d’ingénierie et de test
  • Une perte de visibilité sur les actifs OT
  • La compromission de la chaîne d’approvisionnement
  • Des dommages financiers et réputationnels importants

La cybersécurité doit donc être intégrée aux opérations industrielles et non ajoutée après coup.

NIST CSF 2.0 Manufacturing Profile : un cadre conçu pour la résilience opérationnelle

Le NIST Cybersecurity Framework 2.0 Manufacturing Profile fournit une approche structurée pour aider les industriels à gérer les cyberrisques tout en maintenant la continuité de production.

Le cadre repose sur six fonctions principales :

  1. Gouverner
  2. Identifier
  3. Protéger
  4. Détecter
  5. Répondre
  6. Restaurer

Ces six fonctions permettent de relier la gouvernance, la gestion des risques, les contrôles technologiques et la résilience opérationnelle.

1. Gouverner : aligner la cybersécurité avec les priorités business et industrielles

La cybersécurité nécessite des responsabilités clairement définies.

La fonction « Gouverner » aide les industriels à préciser les rôles, les processus de décision, les seuils de risque et les politiques de cybersécurité. Elle favorise une meilleure coordination entre les équipes cybersécurité, ingénierie, opérations, maintenance et direction.

Un modèle de gouvernance robuste garantit que les décisions de cybersécurité soutiennent les objectifs de l’entreprise tout en protégeant la continuité de production.

Par exemple, les industriels peuvent définir la manière dont les systèmes OT doivent être sélectionnés, configurés, mis à jour et maintenus. Cette approche réduit les incohérences entre les sites et renforce les processus de gestion des changements.

2. Identifier : gagner en visibilité sur l’ensemble des systèmes de production

Il est impossible de protéger efficacement ce qui n’est pas visible.

La fonction « Identifier » consiste à créer un inventaire complet des actifs de production, incluant les machines, capteurs, réseaux, applications, serveurs et systèmes connectés.

Cette visibilité est essentielle pour comprendre les vulnérabilités, les dépendances et les conséquences opérationnelles d’un incident. Elle permet aussi d’identifier les risques liés aux fournisseurs externes, aux accès distants et aux partenaires de la chaîne d’approvisionnement.

Un inventaire détaillé des actifs constitue la base d’une évaluation des risques pertinente et facilite la conformité avec des référentiels tels que l’ISO 21434, l’IEC 62443 et le NIST CSF 2.0.

3. Protéger : prévenir les accès non autorisés et les manipulations

La fonction « Protéger » vise à sécuriser les systèmes, les outils et les données utilisés dans l’environnement de production.

Elle repose notamment sur :

  • Le contrôle d’accès basé sur les rôles
  • L’authentification multifacteur
  • Le principe du moindre privilège
  • La segmentation réseau entre les environnements IT et OT
  • La gestion sécurisée des firmwares
  • Le chiffrement des données de provisioning
  • Le durcissement des postes d’ingénierie et des serveurs de production
  • Des mécanismes de mise à jour sécurisés

Ces mesures réduisent le risque de modifications non autorisées, de mauvaises configurations accidentelles et de manipulations malveillantes des systèmes industriels.

Dans un environnement de production, il est essentiel de protéger les accès aux systèmes critiques, car les actions à privilèges peuvent avoir un impact direct sur les lignes de fabrication, la configuration des produits et les processus liés à la sécurité.

4. Détecter : identifier les activités anormales avant qu’elles ne deviennent critiques

La rapidité de détection est essentielle en cybersécurité OT.

Les industriels doivent disposer d’une visibilité sur le trafic réseau, les journaux système, les changements de configuration et les événements d’authentification, aussi bien dans les environnements IT que OT.

Une supervision continue permet d’identifier des anomalies telles que des commandes PLC inhabituelles, des flux de données inattendus, des accès à privilèges suspects ou des violations d’intégrité.

L’objectif n’est pas seulement de détecter les menaces, mais de les identifier suffisamment tôt pour éviter une perturbation plus large des opérations.

Pourquoi l’ISO 21434 est essentielle pendant la phase de production ?

L’ISO 21434 est souvent associée à la cybersécurité automobile durant la phase de développement. Pourtant, les exigences de cybersécurité doivent également être maintenues pendant la production.

La production est le moment où les firmwares, logiciels, identifiants cryptographiques, données de calibration et composants électroniques sont configurés, validés et finalisés. Si cette étape n’est pas correctement sécurisée, les exigences définies durant le développement peuvent être compromises avant même que le produit n’arrive sur le marché.

C’est pourquoi les industriels doivent mettre en place un Production Control Plan rigoureux.

Un Production Control Plan doit définir et sécuriser chaque outil, processus et contrôle de cybersécurité utilisé dans la fabrication, notamment :

  • Les stations de flashage de firmware
  • Les équipements de calibration matériel
  • Les systèmes de provisioning d’identifiants
  • Les configurateurs Secure Boot
  • Les stations de test en fin de ligne
  • Les serveurs de production
  • Les postes d’ingénierie

L’objectif est de garantir que chaque interaction avec le matériel, les logiciels et les éléments cryptographiques soit contrôlée, traçable et protégée contre toute tentative de manipulation.

Mettre en place un environnement de production prêt pour les audits

Pour répondre aux exigences de l’ISO 21434 et de la réglementation UN-R155, les industriels doivent combiner protections physiques et contrôles logiques.

Les protections physiques peuvent inclure des zones à accès restreint, des armoires sécurisées pour les équipements de provisioning, des systèmes de surveillance et des contrôles par badge.

Les contrôles logiques doivent inclure l’authentification, le chiffrement, la signature de firmware, le contrôle d’accès, la segmentation réseau ainsi que la journalisation détaillée des actions à privilèges.

Toutefois, la protection seule ne suffit pas.

Les industriels doivent également intégrer des mécanismes de vérification afin de confirmer que les contrôles de cybersécurité fonctionnent correctement. Cela peut inclure des inspections manuelles, des contrôles automatisés d’intégrité, des validations de calibration, des routines de diagnostic, des tests de cybersécurité et des revues systématiques de journaux.

La traçabilité de bout en bout est tout aussi importante. L’organisation doit pouvoir démontrer :

  • Qui a réalisé chaque étape de production
  • Quels outils et quelles versions ont été utilisés
  • Quels contrôles de vérification ont été effectués
  • Quels résultats ont été obtenus
  • Qui a validé la libération finale de la production

Cette traçabilité crée un historique transparent et infalsifiable qui soutient la conformité réglementaire et la fiabilité des produits.

Téléchargez le white paper

Comment aligner le NIST CSF 2.0, l’ISO 21434 et la cybersécurité de production sans compromettre la disponibilité des opérations ?

Notre white paper explique comment les industriels peuvent renforcer leur cyberrésilience sur l’ensemble de leurs environnements de production : gouvernance, visibilité des actifs OT, sécurisation des outils de production, réponse aux incidents et reprise des opérations.

Dans ce white paper, vous découvrirez :

  • Les principales évolutions du NIST CSF 2.0 Manufacturing Profile
  • Comment sécuriser les environnements OT et les actifs de production
  • Comment l’ISO 21434 s’applique à la phase de production
  • Le rôle du Production Control Plan dans la prévention des manipulations
  • Les contrôles à mettre en place pour les firmwares, la calibration, le provisioning et la traçabilité
  • Comment améliorer la réponse aux incidents et la résilience opérationnelle

Pour plus d'information

CS Canada
Vincent Besselat, Responsable des ventes
3333 boul. de la Côte-Vertu, Bureau 800, Saint-Laurent, QC, H4R 2N1, Canada
+ 1 (514) 677-8462 – vbesselat@cscanada.ca – www.cscanada.ca

NGC Aérospatiale
Andréanne Hamel, Relations médias
2995 boul. Industriel, Sherbrooke, QC, J1L 2T9 Canada
+1 (819) 348-9483 – ngc@ngcaerospace.com – www.ngcaerospace.com

Aéro Montréal | StartAéro 360°
Pauline Breyton, Gestionnaire de projets StartAéro 360°, SD Québec
380 rue Saint-Antoine Ouest, Bureau 3120, Montréal, QC H2Y 3X7, Canada
pauline.breyton@aeromontreal.ca – www.aeromontreal.ca

Share this news