Cybersecurity Readiness An Empirical Stu FR

Abonnez-vous à DeepL Pro pour traduire des fichiers plus volumineux.
Visitez www.DeepL.com/pro pour en savoir plus.
ISSN : 2687-8097 DOI: 10.33552/SJRR.2019.02.000536
Revue scientifique de
Recherche et examens
Article de synthèse Copyright © Tous droits réservés par Yuri Bobbert
Cy bersecurity Readiness : Une étude empirique des

pratiques efficaces de cybersécurité pour les systèmes
de contrôle industriels
Anderson Domingues Pereira da Silva et Yuri Bobbert*
École de gestion d'Anvers, Belgique
Date de réception : 11 décembre 2019

*Auteur de la correspondance : Yuri Bobbert, Antwerp Management School,
Belgique. Date de publication : 18 décembre 2019
Résumé
Les systèmes de contrôle industriel (ICS) ont d'abord été conçus pour fonctionner en circuit fermé ; cependant, la pression pour la réduction des coûts
et l'intégration avec les systèmes d'entreprise ont exigé l'adoption d'une architecture de systèmes ouverts et ont fini par exposer les ICS à des
menaces qui, jusqu'alors, n'étaient limitées qu'aux systèmes de technologie de l'information (TI). Bien que des normes de cybersécurité pour
les systèmes de contrôle industriels soient en place depuis les années 1990, fournissant les connaissances fondamentales nécessaires pour sécuriser
les systèmes de contrôle industriels, les échecs de mise en œuvre et les révélations des médias ont montré q u e l e s organisations ne sont pas encore
prêtes à déployer des contrôles de cybersécurité de manière efficace. Cette recherche a utilisé la science de la conception et l'interaction avec des experts
d'une manière qualitative, explorant de nouvelles perspectives et permettant d'identifier les principaux obstacles au déploiement et à
l'évaluation des systèmes de contrôle industriels. Les résultats de cette recherche comprennent une liste de pratiques pour un déploiement
efficace des contrôles de cybersécurité, une liste de facteurs critiques de succès pour l'évaluation des SCI et une liste des moyens les plus
efficaces pour signaler les risques de cybersécurité au conseil d'administration. Cette recherche a bénéficié de la participation de 200
praticiens et experts d'Europe, d'Asie, des Amériques et d'Océanie.
Mots-clés : Index Termes Systèmes de contrôle industriel ; Cybersécurité ; Recherche en science de la conception ; Recherche sur les systèmes de soutien
de groupe
d' incidents impliquant des systèmes SCADA continue d'augmenter.

Introduction
Selon Auffret et al [1] "Cybersecurity for Industrial Control
Les systèmes de contrôle industriel (également appelés Systems
SCADA, Supervisory Control and Data Acquisition) sont souvent
déployés dans les processus de fabrication et dans le contrôle des
infrastructures critiques (énergie, eau, pétrole et
télécommunications). Conçus pour être sûrs et fiables et capables
de se remettre des défauts et des défaillances des processus, ces
systèmes ont été largement utilisés pour surveiller et contrôler les
processus physiques. La transformation des ICS, qui sont passés de
systèmes propriétaires (isolés) à des architectures ouvertes et à des
technologies standard, a exposé les ICS à de nouvelles menaces
importantes. Bien que les gouvernements et les associations de
normalisation aient élaboré des normes et des lignes directrices en
matière de cybersécurité, les entreprises et les institutions ne
déploient pas efficacement les contrôles de cybersécurité sur les
SCI, ce qui met en péril les entreprises et les infrastructures
critiques et peut avoir des répercussions sur l'économie et les vies
humaines.
Énoncé du problème
Bien qu'il semble avoir gagné en importance, le nombre
(ISACA), un organisme de renommée mondiale orienté vers les
praticiens et comptant des membres dans le monde entier - ISACA
Nicholson et al [2], dans son article intitulé "Cybersecurity in the
[3], "s'il est important d'avoir des contrôles correctifs en place
light of a Cyber Warfare", ont également souligné que "si la
pour répondre à une vulnérabilité exploitée, il est plus important
recherche contemporaine a mis en évidence la nécessité de
de s'assurer que les contrôles préventifs fonctionnent de manière
protéger les systèmes SCADA, ces informations sont disparates et
efficace et efficiente afin d'atténuer la probabilité d'une attaque."
ne donnent pas une vision cohérente des menaces et des risques
Plus tôt en 2014, l'ISACA a mené une enquête auprès de 32
résultant de la tendance à intégrer ces systèmes autrefois isolés
organisations néerlandaises afin d'identifier les principales
dans des réseaux d'entreprise susceptibles de subir des
raisons pour lesquelles les entreprises ne parviennent pas à
cyberattaques".
déployer des contrôles de cybersécurité, Franken [4].
Selon l'Information Systems Audit and Control Association
Ce travail est placé sous la licence Creative Commons Attribution 4.0 SJRR.MS.ID.000536. Page 1 de 10
Revue scientifique de recherche et Volume 2 -
d'analyse Numéro 3
les organisations ont des "difficultés à mettre en œuvre des mesures ICS et quels CCA sont pertinents et devraient être ajoutés aux CCA
de cybersécurité". existants.
Évaluations et tests approfondis". Body of Knowledge selon ces praticiens de l'ICS ?
Les travaux d'Auffret [1], de Nicholson [2] et de Franken [4] RQ3 : Quels sont les moyens les plus efficaces pour signaler les
montrent qu'une plus grande attention a été accordée à la risques de cybersécurité ICS/SCADA au conseil d'administration et
cybersécurité des ICS. Toutefois, "les entreprises et les institutions quels sont les principaux sujets à signaler selon les membres du
ne déploient pas efficacement les contrôles de cybersécurité des conseil d'administration ?
ICS/SCADA, tant au niveau technique qu'au niveau organisationnel,
Méthodologie de recherche
ce qui met en péril les entreprises et les infrastructures critiques et
peut avoir des répercussions sur l'économie et les vies humaines". Elle permet d'examiner, d'enrichir et de valider les pratiques
en matière de cybersécurité des SCI et d'améliorer les
Objectif de la recherche pratiques/cadres actuels d'audit de la cybersécurité des SCI ou d'en
Compte tenu du problème décrit, le principal objectif de la créer de nouveaux. En appliquant la DSR, l'alignement continu
recherche est "d'examiner pourquoi les entreprises et les entre la rigueur et la pertinence est assuré. La figure 1 illustre le
institutions ne parviennent pas à déployer des contrôles de cadrage de cette recherche selon le cadre de la science de la
cybersécurité dans les environnements de systèmes de contrôle conception, la recherche documentaire (base de connaissances)
industriels et de proposer des pratiques qui pourraient leur aidera à atteindre la rigueur requise pour cette recherche scientifique
permettre de faire face efficacement aux risques de tandis que "la recherche en science de la conception comprend des
cybersécurité dans les environnements de systèmes de contrôle activités liées à la construction et à l'évaluation d'artefacts conçus
industriels". pour répondre aux besoins commerciaux identifiés", (validation
des artefacts par les praticiens), "le cycle de pertinence fait le lien
L'objectif est de fournir des détails sur la planification,
entre l'environnement contextuel du projet de recherche et les
l'évaluation et la déclaration des risques liés à la cybersécurité.
activités de science de la conception (analyse documentaire et
Pour atteindre cet objectif, il convient de répondre aux sous-
entretiens avec des spécialistes) ; le cycle de rigueur relie les activités
questions suivantes :
de science de la conception à la base de connaissances des
QR1 : Quels sont les principaux défis liés au déploiement des fondements scientifiques, à l'expérience et à l'expertise qui
contrôles de sécurité sur les systèmes ICS/SCADA et quelles en informent le projet de recherche (validation par les praticiens et
sont les causes profondes selon les praticiens ICS et les les chefs d'entreprise).
responsables de la sécurité ?
RQ2 : Quels sont les facteurs critiques de succès (CSF) dans le

déploiement d'un modèle de cyber-assurance (un cycle d'assurance
qui garantit que les cyber-risques reçoivent des niveaux ciblés
d'attention de l'audit) pour SCADA/
Figure 1 : Encadrement de cette recherche selon le

DSR.
Bobbert considère la DSR comme une approche de recherche pour l'amélioration de la sécurité de l'information et
utilise la DSR pour utiliser les connaissances et les cadres
Citation : Yuri Bobbert , Anderson Domingues Pereira da Silva. Préparation à la cybersécurité : An Empirical Study of Effective Cybersecurity Page 2 de 19
Practices for Industrial Control Systems (Étude empirique des pratiques efficaces de cybersécurité pour les systèmes de contrôle industriels). Sci J
Research & Rev. 2(3) : 2019. SJRR.MS.ID.000536. DOI: 10.33552/SJRR.2019.02.000536.
d'analyse(par exemple NIST et ISF) et pour les valider et les
existants Numérol'outil
Dans le cadre de l'extension de ce travail de recherche, 3 GSS
enrichir par l'apport du cycle de pertinence (environnement (Group Support System) a été utilisé pour documenter chaque étape
pratique), Bobbert [5]. Pour s'assurer que toutes les données afin d'assurer la répétabilité ; toutes les activités étaient limitées
saisies restent fiables et reproductibles, il a été décidé de dans le temps. Une base de connaissances a été construite sur la
procéder à une analyse plus poussée de la sécurité de base d'analyses documentaires et des contributions de deux
l'information. sessions GSS, avec 180 participants, praticiens ICS, experts ICS
et praticiens et cadres de la sécurité de l'information de plusieurs
industries, cette base de connaissances a été construite sur la base
d'analyses documentaires et des contributions de deux sessions
GSS.
d'analyse Numéro 3
La pratique a fourni la rigueur nécessaire à l'élaboration des Artefact 3 : Résultats d'une recherche combinée avec des
artefacts, qui ont ensuite été analysés et dont la pertinence a été praticiens et des cadres de niveau C sur la manière de signaler
validée au moyen d'une enquête en ligne réalisée auprès de 16 efficacement les risques de cybersécurité ICS/SCADA au conseil
participants, principalement des praticiens des SCI et des d'administration.
professionnels de la sécurité de l'information ; des cadres de niveau
Principaux défis à relever lors du déploiement des
"C" participant à des conseils d'administration ont également été contrôles de cybersécurité dans les systèmes ICS/SCADA
consultés sur la manière dont les risques de cybersécurité devraient
Interrogés sur les principaux obstacles au déploiement de
être signalés au conseil d'administration (figure 1).
contrôles de cybersécurité dans les systèmes de contrôle
Résultats de la recherche industriels, les deux groupes ont énuméré les mêmes sujets et les
Revue de la littérature ont classés de la même manière. Le manque de sensibilisation et de
priorité de la part des organisations a été cité comme le principal
L'analyse documentaire réalisée au cours des six premiers
obstacle, suivi d'une mauvaise compréhension de la sécurité des
mois a servi de base à l'identification des défis actuels auxquels
SCI. La séance de réflexion avec les praticiens et les spécialistes de
les organisations sont confrontées dans le déploiement de la
la sécurité de l'information sur la principale raison de l'échec du
cybersécurité sur les systèmes de contrôle industriels. Par un
déploiement des contrôles de cybersécurité sur les SCI/SCADA a
raisonnement déductif, il est apparu évident que la prochaine
réaffirmé la nécessité de sensibiliser davantage les entreprises à ce
étape de la recherche devait être l'étude des facteurs qui
sujet et d'acquérir les connaissances nécessaires pour déployer les
influençaient négativement le déploiement de ces contrôles, y
contrôles de cybersécurité. En outre, les contributions de la session
compris les pièges ou les obstacles auxquels les entreprises
de brainstorming ont également permis d'identifier certaines des
étaient confrontées, ce qui a déclenché la première recherche
raisons profondes de l'échec des déploiements de la cybersécurité
exploratoire qui a été menée avec des spécialistes de la sécurité
des SCI, comme par exemple le manque de structures (rôles) et le
de l'information et des praticiens dans le domaine des systèmes de
manque de responsabilité pour les processus décrits dans le tableau
contrôle industriels.
1.
La méthodologie de la science de la conception exige la validation Tableau 1 : Principales raisons de l'échec du déploiement des contrôles
des artefacts produits par des professionnels ou des experts en la de cybersécurité sur les SCI (professionnels de la sécurité de
l'information et praticiens des SCI).
matière, la validation de chaque artefact et de ses sous-produits
sera effectuée dans ce chapitre, le résultat de cette recherche est la 1 Manque d'appropriation
livraison de trois artefacts. 2 Pas de responsabilités claires

3 Manque de sensibilisation aux risques
Artefact 1 : Une liste des facteurs critiques de succès pour
4 Pas de définition de rôle correcte pour ce rôle
déployer une cyberassurance efficace (une déclaration, une
5 La propriété n'est pas claire
affirmation, destinée à inspirer confiance ou à encourager).
6 La matrice des responsabilités n'est pas correctement définie
Artefact 2 : une liste de pratiques permettant aux entreprises et 7 Responsabilités floues
aux institutions de mettre en œuvre efficacement des contrôles de 8 Niveau de connaissance / formation / expertise /
cybersécurité sur les SCI. sensibilisation
9 Absence de compréhension des besoins uniques en matière de
fabrication
10 Absence d'incident majeur dans l'entreprise
d'analyse Numéro 3
Figure 2 : Question de recherche 1 - Principaux défis liés au déploiement des contrôles de cybersécurité sur
les ICS et SCADA.
d'analyse Numéro 3
produits et services cybernétiques. À cette fin, les objectifs des
Sur la base des résultats de l'analyse des données collectées au
parties prenantes doivent être clairement compris et les exigences
cours de deux sessions, les défis suivants et leurs causes profondes
associées doivent être définies avec précision et classées par ordre
respectives ont été identifiés - R-Q1 (Figure 2).
de priorité", Windelberg [11].
Niveau organisationnel
Manque de priorité, ressources limitées et manque de
structure : Il peut s'agir directement d'actions ou de tâches qui ont
été identifiées mais qui ne reçoivent pas l'importance nécessaire
pour être accomplies ; l'établissement de priorités et l'allocation de
ressources sont des activités de gestion typiques nécessaires pour
garantir que les ressources de l'entreprise sont déployées
efficacement afin d'atteindre les objectifs de l'entreprise. Dans ce
c a s , le déploiement des contrôles de cybersécurité peut ne pas
suivre une approche cohérente dans l'ensemble de l'organisation.
Selon le document du CNPI [6] intitulé "Security for Industrial
Control Systems", "un cadre de gouvernance efficace définit des
rôles et des responsabilités clairs, une stratégie actualisée de
gestion des risques liés à la sécurité des systèmes de contrôle
industriel et donne l'assurance que les politiques et les normes
correspondantes sont respectées". Dans son analyse des
métasystèmes de l'organisation à l'aide de modèles de systèmes
viables, Alqirem [8] fait référence à la haute direction de
l'entreprise (système 3) en tant qu'organisme responsable du
contrôle quotidien des opérations (système 1) et de l'interaction
entre les unités opérationnelles.
Le manque de connaissances : Il peut s'agir d'un manque de

connaissances pour réaliser une certaine activité ou d'un manque de
sensibilisation à un certain sujet. Dans les deux cas, la priorité fixée
par la direction doit également s'accompagner d'orientations qui
devront être communiquées et suivies de plans d'action pouvant
inclure la formation ou l'acquisition de connaissances, comme l'a
décrit von Solms [9].
Niveau technologique
Complexité : dans le contexte des contrôles de cybersécurité
pour ICS/ SCADA - se réfère à la combinaison des composants
AICS et des composants IT sur sa complexité intrinsèque, lorsqu'il
s'agit de déployer des contrôles de cybersécurité. "L'identification
d'un ensemble raisonnablement efficace de contrôles de sécurité
peut être un processus très compliqué et gourmand en ressources,
qui nécessite des ressources spéciales et une expertise que la
plupart des entreprises ne possèdent pas", Shuchih [10]. Étant
donné que la cybersécurité est encore un domaine nouveau qui
compte très peu de praticiens, le partenariat avec le secteur de la
sécurité de l'information et le fournisseur devrait être la meilleure
solution.
Dépendance à l'égard du fournisseur : Étant donné que les

fournisseurs ICS/SCADA sont entièrement responsables du
matériel, des logiciels et du déploiement des solutions AICS, il est
naturel que la dépendance soit élevée, "pour garantir le
fonctionnement sûr, fiable et sécurisé des systèmes d'information et
de communication et des systèmes technologiques opérationnels
qui font partie intégrante des infrastructures critiques, les
organisations doivent gérer efficacement les facteurs de risque qui
apparaissent dans les chaînes d'approvisionnement pour les
d'analyse vii. Soutien aux outils, (ibid). Numéro 3
Normes
Facteurs critiques de succès dans le déploiement d'un
Les normes sont trop complexes : L'examen des réponses
modèle d'assurance de la cybersécurité pour
fournies par les deux groupes lors des sessions de Rotterdam et
ICS/SCADA
de La Haye montre que les opérateurs ICS/SCADA/DCS ont
Au cours de la session avec les responsables de la sécurité de
supervisé le déploiement des contrôles de cybersécurité pour les
l'information et les
systèmes de contrôle industriels. Les opérateurs de systèmes
Les spécialistes du SCI, les participants ont été invités à évaluer
ICS/SCADA/DCS sont ceux qui connaissent le mieux une leur situation actuelle en matière de SCI et d'assistance technique.
usine ou une installation du point de vue des exigences en
matière de sécurité et de fiabilité des systèmes ; toutefois, ils ne
sont pas toujours suffisamment compétents dans d'autres
disciplines actuellement visées par les normes en vigueur,
telles que la sécurité des réseaux, la sécurité de l'information et
la cybersécurité. Par conséquent, comme le souligne l'ENISA
[12] dans son document intitulé "Protecting Industrial Control
Systems-Recommendations for Europe and Member states", il
est fondamental de fournir des conseils complets au personnel
sur le terrain afin qu'il comprenne bien les défis liés à la
sécurité de l'information et à la cybersécurité. Une question qui
reste sans réponse dans cette recherche est de savoir si la
complexité réside dans la structure et l'application de la norme
ou dans le contenu de la norme elle-même. La première
question ne devrait concerner que les personnes chargées de
coordonner la mise en œuvre de la norme, tandis que la
seconde se rapporte à l'exécution des contrôles ; d'une manière
ou d'une autre, la connaissance est une capacité qui doit être
développée ou acquise pour la sécurité des SCI.
L'absence d'une méthode appropriée d'évaluation des

risques : Les systèmes ICS/SCADA peuvent être considérés
comme des systèmes complexes en raison de leurs connexions
cyberphysiques et de l'échange de données avec les systèmes
informatiques traditionnels ; l'horizon des menaces et des
vulnérabilités possibles dans un environnement aussi complexe
exige une méthode d'évaluation des risques plus complète ;
bien qu'il soit souvent fait référence à des normes, aucun
conseil n'est donné sur les méthodes d'évaluation des risques
spécifiques aux systèmes ICS/SCADA. Afin de mieux
comprendre l'état actuel des méthodes d'évaluation des risques
spécifiques à l'environnement ICS/SCADA, nous sommes tombés
sur l'article de Cherdantseva [13] intitulé "A review of
Cybersecurity risk assessments methods for SCADA systems",
les auteurs ont examiné 24 articles représentant chacun une
méthodologie d'évaluation des risques différente, et bien qu'aucune
des méthodes d'évaluation des risques n'ait démontré être idéale,
leur analyse des exigences peut servir de contribution à ce qui
devrait être une méthode idéale, "Cybersecurity risk assessment
methods for SCADA systems may be improved in terms of
i. Aborder l'étape de l'établissement du contexte du

processus de gestion des risques,
ii. Surmonter l'orientation vers l'attaque ou l'échec,
iii. Prise en compte du facteur humain,
iv. La capture et la formalisation de l'opinion des experts,
v. L'amélioration de la fiabilité des données probabilistes,
vi. l'évaluation et la validation, et
d'analyse Numéro 3
Les répondants ont évalué leur méthode d'audit/évaluation des Selon 46 % des participants, les principales difficultés rencontrées
risques de cybersécurité des SCADA sur une échelle allant de 1 - lors de l'audit/de l'évaluation des mises en œuvre hétérogènes de
Pas efficace à 5 - Très efficace. Comme le montre la figure 3, 50 % systèmes ICS/SCADA résident dans la complexité des
des personnes interrogées ont jugé leur méthode normes/documents existants et dans le manque de priorité au sein
d'audit/d'évaluation actuelle inefficace ou peu efficace, tandis que de l'organisation (voir la figure 4).
12 % seulement l'ont jugée efficace ou très efficace. Lorsqu'on leur
a posé des questions sur
Figure 3 : Évaluation de la méthode actuelle d'audit/d'évaluation des contrôles de

cybersécurité sur les SCI.
Figure 4 : Principaux défis liés à l'audit et à l'évaluation de systèmes ICS/SCADA hétérogènes.
Résultats de la recherche i. Développer les compétences en matière de cybersécurité

Les résultats du point B concernant l'efficacité de la méthode
ii. Assurer une bonne gouvernance autour du thème de la
existante pour évaluer/auditer les contrôles de cybersécurité du SCI
cybersécurité.
confirment notre hypothèse et démontrent que peu de choses ont
changé par rapport aux résultats de l'enquête sur la cybersécurité de
l'ISACA réalisée en 2014 auprès de 32 entreprises néerlandaises [4],
selon les répondants "le sujet le plus difficile en matière de
surveillance semble être les tests de sécurité et la réalisation
d'audits internes et externes sur une base régulière". Parmi les
principaux défis liés à l'audit et à l'évaluation des contrôles de
cybersécurité des SCI, la "complexité des normes et de la
documentation" et le "manque de priorité au sein de
l'organisation" ont obtenu 23 % chacun, ce qui montre qu'il est
absolument nécessaire d'améliorer les contrôles de cybersécurité
des SCI.
d'analyse
Le " manque de connaissances sur l'audit ou l'accès aux ICS " Numéro 3
arrive en troisième position avec 16%, ce qui montre que les
ressources de l'entreprise ne sont pas capables d'auditer ou
d'évaluer les contrôles de cybersécurité, parmi les réponses des
participants, une en particulier peut illustrer la situation : " Les
auditeurs n'ont pas de réelles connaissances sur les systèmes OT
(Operational Technology) et leurs protocoles spécifiques ","Les
résultats correspondent aux études récentes sur la pénurie de
compétences en cybersécurité et son impact dans tous les secteurs
industriels, comme le souligne Oltsik [14] dans son article publié
dans le magazine électronique CSO Online en janvier de cette
année, "Research suggests cybersecurity skills shortage is getting
worse" (La recherche suggère que la pénurie de compétences en
cybersécurité s'aggrave). D'autres défis ont également été
mentionnés : "Complexité de la technologie et limitation de la
conception", "Différences entre l'environnement informatique et
l'environnement opérationnel", puis "Impact sur la production".
Ces défis peuvent être directement liés à la connaissance des
risques de cybersécurité ICS/SCADA et des contrôles de sécurité,
ainsi qu'à une éventuelle incertitude quant à l'impact potentiel sur
l'environnement de production.
d'analyse Numéro 3
En ce qui concerne les possibilités d'amélioration de leur i. La direction de l'organisation a-t-elle donné son aval ?
processus d'audit/d'évaluation, les responsables de la sécurité de
ii. Investir dans le développement des compétences en matière
l'information et les spécialistes des SCI considèrent qu'il existe de cybersécurité
des possibilités pour
iii. Définir et déployer des normes alignées sur l'organisation
i. Identifier de meilleurs moyens d'évaluer les risques Besoins
ICS/SCADA,
iv. Constituer une équipe d'audit/évaluation polyvalente
ii. A la recherche d'une assurance et d'une
v. Veiller à ce que les risques identifiés fassent l'objet d'un
iii. Par des améliorations liées à l'organisation. rapport approprié
Fondamentalement, ces trois suggestions sont en parfaite Les moyens les plus efficaces de rendre compte au
résonance avec la récente étude publiée par le cabinet de conseil conseil d'administration
en gestion McKinsey [15], intitulée "A new posture for
Session avec des responsables de la sécurité de
cybersecurity in a networked world" (Une nouvelle posture pour
l'information et des spécialistes ICS
la cybersécurité dans un monde en réseau), selon laquelle [16]
"les cyber-stratégies réussies se construisent étape par étape, en La figure 5 énumère tous les apports de la session GSS tenue
s'appuyant sur une compréhension globale des processus avec des cadres de la sécurité de l'information et des spécialistes
opérationnels pertinents et de l'état d'esprit d e s attaquants ICS à La Haye. La liste a apporté des informations précieuses et les
potentiels. Les trois étapes clés sont la hiérarchisation des actifs réponses ouvertes fournies par tous les participants ont été
et des risques, l'amélioration des contrôles et des processus, et la compilées dans un artefact qui a ensuite été partagé avec les cadres
mise en place d'une gouvernance efficace". Sur la base de cette de niveau C pour leur validation et leurs commentaires.
analyse, nous pouvons dresser une liste de 5 facteurs critiques de
succès pour déployer un modèle de cyber-assurance efficace (Artefact
1)
d'analyse Numéro 3
Figure 5 : Contribution des spécialistes des FSI et des SCI sur les moyens les plus efficaces de
signaler les cyberrisques au conseil d'administration.
d'analyse Numéro 3
Validation des méthodes les plus efficaces pour lié à la stratégie ou à l'intérêt de l'entreprise", le deuxième score
signaler au conseil d'administration les risques liés à le plus élevé, vingt-trois (23), a été attribué au "rapport sur les
la cybersécurité des ICS/SCADA risques opérationnels et leur impact", et le troisième score le
Afin de valider les données fournies par les responsables de la plus élevé, vingt-deux (22), a été attribué au "rapport sur les
sécurité de l'information et les spécialistes des SCI, les résultats de risques financiers et d'image", le rapport sur les risques de
l'élément A ont été répartis en deux catégories : le contenu "Ce cybersécurité "comparés à d'autres événements réels ayant affecté
qu'il faut signaler au conseil d'administration" et le format le même secteur ou des secteurs similaires" et le rapport sur les
"Comment le signaler au conseil d'administration". Lors de la indicateurs clés de performance ont obtenu les scores les plus bas, dix-
validation par les cadres supérieurs de ce qui doit être rapporté au neuf (19) et treize (13), respectivement.
conseil d'administration (figure 6), le score le plus élevé, vingt-cinq
(25), a été attribué aux "risques liés à la cybersécurité".
Figure 6 : Que faut-il signaler au conseil d'administration en ce qui

concerne les risques liés à la cybersécurité ?
En ce qui concerne la validation par le niveau C de la manière La troisième note la plus élevée est attribuée aux "rapports sur la
dont les risques liés à la cybersécurité devraient être signalés au cybersécurité" (16), la quatrième à "un tableau de bord avec des
conseil d'administration (figure 7), le score le plus élevé, vingt indicateurs clés de performance" (14) et la dernière à "une
(20), a été attribué à "via des rapports d'entreprises de cybersécurité présentation vidéo" (7).
externes ou de pirates informatiques" et "via des rapports d'audit
interne", le deuxième score le plus élevé, dix-huit (18), a été attribué
à "en tant que résultats de référence", et le deuxième score le plus
élevé, vingt (20), a été attribué à "via des rapports d'audit interne".
Figure 7 : Comment signaler au conseil d'administration les

risques liés à la cybersécurité ?
d'analyse Numéro 3
Résultats En ce qui concerne le contenu de la question "Que faut-il rapporter
au conseil d'administration ?", les options suivantes ont reçu un score
La session d'enquête réalisée auprès de cadres de haut niveau
plus élevé (ordre de priorité), selon les cadres de haut niveau :
pour valider les moyens les plus efficaces de signaler les risques de
cybersécurité ICS/SCADA au conseil d'administration a atteint son
objectif.
d'analyse Numéro 3
i. En accord avec la stratégie ou les intérêts de Les spécialistes ICS, l'accent mis sur l'analyse comparative, les
l'entreprise, références à d'autres événements de haut niveau dans le secteur de
la cybersécurité figurent également dans leurs commentaires, et la
ii. En rapport avec les risques financiers et d'image
référence à l'utilisation des indicateurs de performance clés, bien
iii. Rapporté en termes de risque opérationnel et d'impact. que limitée, semble toujours pertinente pour 33 % des personnes
Interrogés sur le type d'informations, de données ou de interrogées.
contexte à inclure dans un rapport sur la cybersécurité destiné *Le fait que les membres du conseil d'administration
au conseil d'administration, les dirigeants ont insisté sur la préféreraient recevoir ces informations via des rapports
nécessité de signaler l'impact opérationnel ou financier. Le taux d'entreprises externes spécialisées dans la cybersécurité ou via
de réponse élevé concernant les risques de cybersécurité l'audit interne mérite d'être étudié plus en détail ; toutefois, il
"alignés sur la stratégie ou les intérêts de l'entreprise" montre convient de le replacer dans le contexte des questions fermées et
qu'une connaissance spécifique de ce sujet peut contribuer à des options limitées proposées aux cadres dans le cadre de
l'élaboration du rapport et donc à la présentation de résultats plus l'enquête.
conformes aux intérêts du conseil d'administration.
Pratiques recommandées
En outre, en termes de format, sur la façon dont les risques de
La figure 8 vise à fournir un ensemble de "pratiques qui peuvent
cybersécurité devraient être signalés, les options suivantes ont reçu
permettre aux entreprises et aux institutions de faire face
un score plus élevé (ordre de priorité), selon les cadres de haut
efficacement aux risques de cybersécurité dans l'environnement
niveau :
des systèmes de contrôle industriel", ce qui constitue l'objectif
i. Via les rapports d'éternelles entreprises de cybersécurité principal de cette recherche. Ces pratiques sont basées sur
ii. Via l'audit interne l'examen de la littérature existante et sur des entretiens avec des
spécialistes de la sécurité de l'information, des praticiens des
iii. Dans le format des résultats de l'évaluation comparative SCI, des responsables de la sécurité, des universitaires et des
Les réponses des hauts responsables ont été révélées, bien que membres de conseils d'administration. Cela permet de répondre
légèrement différentes de celles des responsables de la sécurité de à la question principale de la recherche, à savoir "Pourquoi les
l'information et des responsables de la sécurité de l'information. entreprises et les institutions ne parviennent-elles pas à déployer
des contrôles de cybersécurité dans l'environnement des
systèmes de contrôle industriels, en proposant des pratiques qui
peuvent leur permettre de faire face efficacement aux risques de
cybersécurité dans l'environnement des systèmes de contrôle
industriels ?
d'analyse Numéro 3
Figure 8 : Pratiques permettant un déploiement efficace des contrôles de cybersécurité

sur les SCI.
Limites et conclusion par la science de la conception. Cette recherche a été

soigneusement menée pour s'assurer que toutes les données saisies
La réalisation d'une étude dans trois domaines distincts de la
restent fiables et reproductibles, ce qui a permis d' étendre encore
connaissance et dans des secteurs d'activité différents implique
ce travail de recherche ; l'outil GSS a permis de documenter chaque
certaines limites auxquelles il a été remédié par l'adoption de
étape, garantissant ainsi la reproductibilité. Cette recherche était
méthodes, de procédures et d'outils garantissant le respect de la
également limitée dans le temps, c'est pourquoi les informations
rigueur requise.
présentées ici reflètent les études réalisées jusqu'à ce jour.
d'analyse Numéro 3
répondants, neutres à 18,8 % et limités à 6,3 %, ce qui indique peut-
Cette étude a permis d'examiner les raisons pour lesquelles les
être que la formation à la sécurité du SCI peut ne pas être efficace
entreprises et les institutions ne parviennent pas à déployer des
si elle n'est pas abordée parallèlement à la gouvernance et à un
contrôles de cybersécurité dans l'environnement ICS, ce qui n'a été
programme de cybersécurité ; une autre solution pourrait consister à
possible que grâce à la contribution de nombreux professionnels de
embaucher ou à externaliser les tâches liées à la cybersécurité.
l'industrie des systèmes de contrôle industriel, de cadres et de
spécialistes de la sécurité de l'information, de professionnels de L'examen de la manière dont les entreprises procèdent à
l'assurance et de hauts responsables. X participants ont pris part à l'assurance des contrôles de cybersécurité a abordé des points
cette étude. Si l'on se réfère aux premières lectures sur les incidents similaires, tels que le manque de compétences ou de connaissances
de cybersécurité touchant l'industrie manufacturière [15] et le et le manque d'appropriation.
secteur des infrastructures critiques et aux raisons respectives
attribuées à ces incidents, il est assez facile de tirer des conclusions
et d'affirmer immédiatement que bon nombre de ces incidents ont
été causés par des processus mal conçus, des systèmes obsolètes et
un manque de connaissances, exploités par toutes sortes de
menaces allant des virus aux pirates informatiques hyperqualifiés.
Outre la peur, l'incertitude et le doute (FUD), il n'y a pas beaucoup
d'enseignements tirés de ces événements qui pourraient aider
efficacement les entreprises à se protéger contre les menaces liées à
la cybersécurité.
L'examen effectué auprès des praticiens montre que les

efforts déployés pour sécuriser les systèmes de contrôle
industriels contre les cybermenaces sont encore minimes. Selon les
praticiens, il n'y a pas de priorité fixée, il y a un manque
d'appropriation, un manque de connaissances et quelques
participants ont même mentionné "l'absence d'un grand incident ici",
soulignant que les organisations ne prêtent pas attention à ces
risques, citant Rothrock [17], "la direction de l'entreprise doit
avoir une compréhension sans ambiguïté des éléments clés de la
sécurité et de la résilience". Selon 60 % des praticiens, le
principal obstacle au déploiement des contrôles de sécurité dans
l'environnement ICS est le "manque de priorité ou d'implication des
parties prenantes" et 4 % d'entre eux affirment qu'il s'agit d'un
manque de gouvernance. Sur cette base, il est possible d'affirmer
que les entreprises devraient se concentrer davantage sur la mise en
place d'une gouvernance appropriée, non seulement en définissant les
priorités et en attribuant la propriété, mais aussi en reliant les
indicateurs de cybersécurité à leurs objectifs en matière de
sécurité et de fiabilité.
Une fois que les responsabilités sont plus claires et que les
priorités sont définies, i l est nécessaire de définir une stratégie
pour s'attaquer au problème, ce qui peut être réalisé avec l'aide
d'un programme de cybersécurité correctement financé et
soutenu. Ces deux sujets, l'établissement de la gouvernance et la
définition d'un programme de cybersécurité, ont été inclus dans
la liste des pratiques recommandées et, lors de l'enquête de
validation, ils ont tous deux été jugés très efficaces ou efficaces
par 81,3 % des personnes interrogées. Les praticiens ont
également fait part de leurs préoccupations concernant le
manque de connaissances spécifiques en matière de sécurité des
SCI, ce qui signifie qu'ils ne savent pas comment sécuriser les
SCI, comme l'ont répondu 25 % des personnes interrogées. Au
cours de l'enquête de validation, les investissements dans le
développement des compétences en matière de cybersécurité
ont été jugés très efficaces à 43,8 % et efficaces à 31,3 % par les
d'analyse NuméroInternational
Information Security Alignment and Artefact Engineering. 3
En ce qui concerne les méthodes d'évaluation de la cybersécurité, Journal of IT/Business Alignment and Governance 8 : 28-41.
de 1 - non efficace à 5 - très efficace, 50 % des personnes
6. CNPI (2015) Security for Industrial Control Systems - Establishing ongoing
interrogées ont jugé leurs méthodes d'évaluation actuelles non governance, A Good Practice Guide.
efficaces ou peu efficaces, ce qui est étonnant et confirme que les 7. Harrell B (2018) Améliorer la gouvernance de la cybersécurité dans la salle
entreprises ne peuvent pas valider leurs contrôles de cybersécurité. du conseil.
La principale solution à ce problème peut également résider dans 8. Alqirem, Raed (2003) Un modèle de système viable pour analyser le
l'adhésion de la direction générale, l'un des CCA jugé très efficace métasystème d'une organisation.
par 56,3 % et efficace par 37,5 % des personnes interrogées,
obtenant un score plus élevé que d'autres CCA identifiés tels que
l'investissement dans le développement des compétences en
cybersécurité (très efficace-18,8 %, efficace-62,5 %) et les normes
alignées sur les besoins de l'organisation (très efficace-25 %,
efficace-43,8 %), qui ont également obtenu un bon taux mais n'ont
pas été considérés comme aussi efficaces que le premier CCA.
La principale question qui subsiste à l'heure actuelle est la

suivante : "Pourquoi les entreprises et les institutions ne
bénéficient-elles pas du soutien de la direction générale en ce qui
concerne la sécurisation de leur environnement ICS ? Pour
répondre à cette question, il est nécessaire de réfléchir à la nécessité
de créer des exigences ou, en d'autres termes, de sensibiliser la haute
direction à la nécessité d'améliorer les contrôles de cybersécurité,
ce qui peut se faire par le biais du signalement et de la remontée
des risques de cybersécurité à la haute direction ou en tant
qu'exigence d'une loi ou d'une réglementation spécifique à un
pays, les entretiens avec les membres du conseil
d'administration ont montré qu'ils étaient intéressés par les
risques de cybersécurité ; en ce qui concerne les
réglementations, le cadre nord-américain de sécurité de la
cybersécurité, Obama [18], n'impose pas la nécessité de protéger les
infrastructures critiques, puisque son adoption se fait sur une base
volontaire. Dans l'ensemble, la mise en œuvre de contrôles de
cybersécurité solides nécessite l'implication des entreprises par
le biais d'une gouvernance appropriée, de niveaux de
technologie de sécurité, de gestion, de compétences en matière
d'éducation et de vigilance qui vont bien au-delà des exigences
de conformité réglementaire, complétant ce que Franken [4]
déclare dans le document de l'ISACA intitulé "Governance of
cybersecurity.
Remerciements
Aucun.
Conflit d'intérêts
Pas de conflit d'intérêts.
Références
1. Auffret JP, Jane l Snowdon, Angelos Stavrou, Jeffrey katz, Diana
Kelley, et al. (2017) Cybersecurity Leadership : Compétences,
gouvernance et technologies pour les systèmes de contrôle industriels.
Journal of Interconnection Networks 17(1).
2. Nicholson, S Webber, S Dyer, T Patel, H Janicke (2012) "SCADA
security in the light of Cyber-Warfare," Computers & Security 31(4) :
418-436,
3. Fitzgerald T J (2017) ISACA - Auditing Cybersecurity : Evaluating Risk
and Auditing Controls, ISACA.
4. Franken W, Fabri M Vlaanderen K (2014) ISACA Governance of
Cybersecurity, ISACA Chapter NL.
5. Yuri Bobbert (2017) On Exploring Research Methods for Business
d'analyse Numéro 3
9. Von Solms R (2009) Gouvernance de la sécurité de l'information. ISBN 14. Oltsik, J (2018) La recherche suggère que l a pénurie de compétences
978-0-387- 79984-1. en cybersécurité s'aggrave.
10. Chang Shuchih Ernest, Ho Chienta (2006) Organizational factors to the 15. Mckinsey (2018) Une nouvelle posture pour la cybersécurité dans un monde
effectiveness of implementing information security management. en réseau.
Gestion industrielle et systèmes de données.
16. Rothrock RA, Kaplan J, Van der Oord E (2017) Le rôle du conseil
11. Windelberg Marjorie (2015) Objectives for managing cyber supply d'administration dans la gestion des risques de cybersécurité. MIT Sloan
chain risk. Journal international de la protection des infrastructures Management Review.
critiques.
17. Lee R M, Assante M J, Conway T (2014) SANS Institute, ICS defense.
12. ENISA (2011) Protecting Industrial Control Systems, recommendations for
Europe and Member States. 18. Obama Barack (2013) Executive Order - Improving Critical
Infrastructure Cybersecurity (Décret sur l'amélioration de la
13. Cherdantseva Yulia, Burnap Pete, Blyth Andrew, Eden, Jones, et al.
cybersécurité des infrastructures critiques).
(2016) A Review of cyber security risk assessment methods for
SCADA systems. Computers & Security 56 : 1-27.

Cybersecurity Readiness An Empirical Stu FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cybersecurity Readiness An Empirical Stu FR

Transféré par

Droits d'auteur :

Formats disponibles

Abonnez-vous à DeepL Pro pour traduire des fichiers plus volumineux.

Visitez www.DeepL.com/pro pour en savoir plus.

ISSN : 2687-8097 DOI: 10.33552/SJRR.2019.02.000536

Article de synthèse Copyright © Tous droits réservés par Yuri Bobbert

Cy bersecurity Readiness : Une étude empirique des

Date de réception : 11 décembre 2019

d' incidents impliquant des systèmes SCADA continue d'augmenter.

RQ2 : Quels sont les facteurs critiques de succès (CSF) dans le

Figure 1 : Encadrement de cette recherche selon le

livraison de trois artefacts. 2 Pas de responsabilités claires

Le manque de connaissances : Il peut s'agir d'un manque de

Dépendance à l'égard du fournisseur : Étant donné que les

L'absence d'une méthode appropriée d'évaluation des

i. Aborder l'étape de l'établissement du contexte du

Figure 3 : Évaluation de la méthode actuelle d'audit/d'évaluation des contrôles de

Figure 4 : Principaux défis liés à l'audit et à l'évaluation de systèmes ICS/SCADA hétérogènes.

Résultats de la recherche i. Développer les compétences en matière de cybersécurité

Figure 6 : Que faut-il signaler au conseil d'administration en ce qui

Figure 7 : Comment signaler au conseil d'administration les

Figure 8 : Pratiques permettant un déploiement efficace des contrôles de cybersécurité

Limites et conclusion par la science de la conception. Cette recherche a été

L'examen effectué auprès des praticiens montre que les

La principale question qui subsiste à l'heure actuelle est la

Vous aimerez peut-être aussi