ptarzh-CNenfrdeitjarues

Un risque

L'analyse des risques est le principal moyen de comprendre les menaces et les besoins en matière de contrôle de la cybersécurité. Cette activité est généralement effectuée en mettant l’accent sur une installation spécifique, car en plus de l’environnement logique, l’analyse physique est également effectuée.

Avec l'analyse des risques à portée de main, il est possible de développer le Plan de cybersécurité industrielle (PSCI), qui recommande comment et quand les actions de protection devraient être adoptées.

L'analyse des risques peut être effectuée dans les usines en exploitation (Brownfield) ou en phase de conception (Greenfield).
Lorsque les risques et les menaces sont identifiés prématurément, les contrôles sont assimilés avec un coût inférieur et une efficacité maximale.

L'analyse de risque des réseaux d'automatisation suit les étapes suivantes:

Analyse de risque statique

À ce stade de l'analyse des risques, les schémas de réseau, l'environnement opérationnel (centre de données) et les questionnaires d'audit de sécurité physique et logique du réseau d'automatisation sont alignés sur les meilleures pratiques des normes ANSI / ISA-99, ISA-IEC 62443. , NIST 800-82 et ISO 27001 / 27002.
La visite des locaux du client permettra à nos consultants d’identifier les contrôles de sécurité physique et logique existants ou les contre-mesures dans les réseaux, en évaluant, dans la mesure du possible, les conditions dans lesquelles les contrôles sont installés, utilisés et appropriés.

Pour que l'évaluation soit complète, les catégories de contrôles suggérées par les normes ANSI / ISA-99.02.01, ISA-IEC 62443 et NIST SP800-82 (contrôles de gestion, contrôles opérationnels et techniques) pour le réseau d'automatisation et les normes ISO / CEI 27001 / 27002 (contrôles de gestion, opérationnels et techniques) pour l'inspection physique des centres de données clients.

L'évaluation consistera à remplir des formulaires avec une liste de contrôles constituant les bases de connaissances des risques des normes décrites ci-dessus. Ces contrôles sont regroupés dans les catégories de risque suivantes:

Problèmes de contrôle:

Accès à distance
Audit et surveillance électroniques
Mises à jour / correctifs
Sauvegarde, restauration et restauration de systèmes
Circuits électriques et électroniques
Communications réseau voix et données
Comptes et mots de passe
Continuité d'activité
Contrôle d'accès physique et logique
Cryptographie
Documentation
malware
Surveillance des performances du service
Paramètres du système et de l'application
Politique de sécurité de l'information
Sécurité de l'infrastructure
Installations électriques
Contrôles de sécurité physique
Tolérance aux pannes
Formation et sensibilisation
Utilisation appropriée des ressources

Analyse dynamique des risques

À cette étape, la collecte automatique des données du réseau d'automatisation en mode TAP (non intrusif) sera effectuée au niveau de l'application.

Au début de l'analyse dynamique, l'architecture de chaque réseau d'automatisation client sera analysée et un planning sera élaboré pour donner une visibilité du trafic Internet et des menaces, ainsi que d'autres périmètres tels que les frontières avec les réseaux d'entreprise, les systèmes de contrôle (pour le réseau de automatisation), le centre de données et le réseau de traitement, ainsi que des liens vers des tiers et des connexions VPN externes ou des entités de régulation.

La collecte de données dans les environnements d'automatisation suit le concept de réplication de trafic sans générer d'impact ni modifier la topologie. Pour la mise en miroir du trafic, une seule interface en mode TAP est connectée au trafic réel (port miroir / port SPAN) afin de l’analyser, sans incidence sur l’environnement.

Définir des points en miroir est la clé du succès des tests. Plus le nombre de segments reflétés est élevé, plus le trafic sur la visibilité des applications et des menaces générés sera meilleur, ce qui vous permettra d'identifier vos risques.

Les points de mise en miroir requis pour la configuration de la collecte de données et le temps nécessaire pour la collecte de ces données seront définis dans la réunion de démarrage du projet, ainsi que l'adressage réseau requis pour la configuration de l'équipement qui capturera les paquets. Il appartiendra au client de fournir le matériel et les ressources nécessaires à la configuration des points TAP, définis au début de cette phase.


Génération du rapport d'analyse des risques

Les données collectées par l'analyse statique seront traitées selon des critères qualitatifs, avec des échelles qualitatives de probabilité et d'impact. A partir des informations recueillies lors d'entretiens avec l'équipe locale, une probabilité d'occurrence et un impact (en fonction des conséquences) seront attribués à chaque ensemble de menaces / vulnérabilités.

De manière complémentaire, les données issues de l'analyse dynamique effectueront la vérification et généreront des preuves des informations provenant de l'analyse statique des risques.

Le résultat de l'union des informations d'analyse statique et dynamique sera consolidé dans le rapport d'analyse des risques à remettre au client. Le rapport sera remis en portugais.

Copyright © 2007-2018 - Sécurité des informations en toute sécurité - Tous droits réservés.