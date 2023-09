L’impact des failles de cybersécurité sur les propriétaires/exploitants de systèmes de contrôle des infrastructures est plus important et visible que jamais. Que vous travailliez pour un propriétaire/exploitant d’infrastructure ou que vous soyez un consommateur d’un service d’infrastructure, les événements des derniers mois/années ont clairement montré que la cybersécurité est un facteur essentiel pour garantir la fourniture sûre et fiable de biens et de services. Pour les propriétaires/exploitants de systèmes de contrôle d’infrastructure, il peut être difficile de faire face à l’ensemble des menaces, vulnérabilités et risques de cybersécurité qui peuvent avoir un impact négatif sur leurs opérations, en particulier avec des ressources limitées.

La gestion des risques de cybersécurité est un facteur important pour garantir la fourniture sûre et fiable des biens et services fournis et soutenus par la technologie opérationnelle (OT). L’OT englobe une large gamme de systèmes et d’appareils programmables qui interagissent avec l’environnement physique (ou gèrent des appareils qui interagissent avec l’environnement physique). Ces systèmes et appareils détectent ou provoquent un changement direct grâce à la surveillance et/ou au contrôle des appareils, des processus et des événements. Les exemples incluent les systèmes de contrôle industriel (ICS), les systèmes d’automatisation des bâtiments, les systèmes de transport, les systèmes de contrôle d’accès physique, les systèmes de surveillance de l’environnement physique et les systèmes de mesure de l’environnement physique.

Pour aider les propriétaires/opérateurs de systèmes OT, le NIST a publié Publication spéciale (SP) 800-82r3 (Révision 3), Guide de sécurité des technologies opérationnelles (OT), qui fournit des conseils sur la manière d’améliorer la sécurité des systèmes OT tout en répondant à leurs exigences uniques en matière de performances, de fiabilité et de sécurité. Le SP 800-82r3 fournit un aperçu de l’OT et des topologies système typiques, identifie les menaces typiques pour la mission organisationnelle et les fonctions commerciales prises en charge par OT, décrit les vulnérabilités typiques de l’OT et fournit les mesures de sécurité et les contre-mesures recommandées pour gérer les risques associés. Téléchargée plus de 3 millions de fois depuis sa sortie initiale en 2006, il s’agit de la troisième révision du NIST SP 800-82, avec un nouveau titre reflétant une portée élargie. Le SP 800-82r3 a été produit grâce à un effort collaboratif de la division des systèmes connectés intelligents du NIST. Groupe des systèmes de contrôle en réseau et le NIST Division de la sécurité informatique.

Les mises à jour de cette révision incluent :

Expansion du périmètre d’ICS vers OT

Mises à jour des menaces et vulnérabilités OT

Mises à jour de la gestion des risques OT, des pratiques recommandées et des architectures

Mises à jour des activités actuelles en matière de sécurité OT

Mises à jour des capacités et des outils de sécurité pour OT

Alignement supplémentaire avec d’autres normes et directives de sécurité OT, y compris le cadre de cybersécurité (CSF)

De nouvelles instructions d’adaptation pour les contrôles de sécurité SP 800-53r5, y compris une superposition OT qui fournit des lignes de base de contrôle de sécurité personnalisées pour les systèmes OT à faible impact, à impact modéré et à fort impact.

En plus du SP 800-82r3, une collection de ressources NIST pour la cybersécurité OT peut être trouvée à l’adresse Site Web sur la sécurité des technologies opérationnelles.