Académique Documents
Professionnel Documents
Culture Documents
Revue scientifique de
Recherche et examens
Résumé
Les systèmes de contrôle industriel (ICS) ont d'abord été conçus pour fonctionner en circuit fermé ; cependant, la pression pour la réduction des coûts
et l'intégration avec les systèmes d'entreprise ont exigé l'adoption d'une architecture de systèmes ouverts et ont fini par exposer les ICS à des
menaces qui, jusqu'alors, n'étaient limitées qu'aux systèmes de technologie de l'information (TI). Bien que des normes de cybersécurité pour
les systèmes de contrôle industriels soient en place depuis les années 1990, fournissant les connaissances fondamentales nécessaires pour sécuriser
les systèmes de contrôle industriels, les échecs de mise en œuvre et les révélations des médias ont montré q u e l e s organisations ne sont pas encore
prêtes à déployer des contrôles de cybersécurité de manière efficace. Cette recherche a utilisé la science de la conception et l'interaction avec des experts
d'une manière qualitative, explorant de nouvelles perspectives et permettant d'identifier les principaux obstacles au déploiement et à
l'évaluation des systèmes de contrôle industriels. Les résultats de cette recherche comprennent une liste de pratiques pour un déploiement
efficace des contrôles de cybersécurité, une liste de facteurs critiques de succès pour l'évaluation des SCI et une liste des moyens les plus
efficaces pour signaler les risques de cybersécurité au conseil d'administration. Cette recherche a bénéficié de la participation de 200
praticiens et experts d'Europe, d'Asie, des Amériques et d'Océanie.
Mots-clés : Index Termes Systèmes de contrôle industriel ; Cybersécurité ; Recherche en science de la conception ; Recherche sur les systèmes de soutien
de groupe
Énoncé du problème
Bien qu'il semble avoir gagné en importance, le nombre
(ISACA), un organisme de renommée mondiale orienté vers les
praticiens et comptant des membres dans le monde entier - ISACA
Nicholson et al [2], dans son article intitulé "Cybersecurity in the
[3], "s'il est important d'avoir des contrôles correctifs en place
light of a Cyber Warfare", ont également souligné que "si la
pour répondre à une vulnérabilité exploitée, il est plus important
recherche contemporaine a mis en évidence la nécessité de
de s'assurer que les contrôles préventifs fonctionnent de manière
protéger les systèmes SCADA, ces informations sont disparates et
efficace et efficiente afin d'atténuer la probabilité d'une attaque."
ne donnent pas une vision cohérente des menaces et des risques
Plus tôt en 2014, l'ISACA a mené une enquête auprès de 32
résultant de la tendance à intégrer ces systèmes autrefois isolés
organisations néerlandaises afin d'identifier les principales
dans des réseaux d'entreprise susceptibles de subir des
raisons pour lesquelles les entreprises ne parviennent pas à
cyberattaques".
déployer des contrôles de cybersécurité, Franken [4].
Selon l'Information Systems Audit and Control Association
Ce travail est placé sous la licence Creative Commons Attribution 4.0 SJRR.MS.ID.000536. Page 1 de 10
Revue scientifique de recherche et Volume 2 -
d'analyse Numéro 3
les organisations ont des "difficultés à mettre en œuvre des mesures ICS et quels CCA sont pertinents et devraient être ajoutés aux CCA
de cybersécurité". existants.
Évaluations et tests approfondis". Body of Knowledge selon ces praticiens de l'ICS ?
Les travaux d'Auffret [1], de Nicholson [2] et de Franken [4] RQ3 : Quels sont les moyens les plus efficaces pour signaler les
montrent qu'une plus grande attention a été accordée à la risques de cybersécurité ICS/SCADA au conseil d'administration et
cybersécurité des ICS. Toutefois, "les entreprises et les institutions quels sont les principaux sujets à signaler selon les membres du
ne déploient pas efficacement les contrôles de cybersécurité des conseil d'administration ?
ICS/SCADA, tant au niveau technique qu'au niveau organisationnel,
Méthodologie de recherche
ce qui met en péril les entreprises et les infrastructures critiques et
peut avoir des répercussions sur l'économie et les vies humaines". Elle permet d'examiner, d'enrichir et de valider les pratiques
en matière de cybersécurité des SCI et d'améliorer les
Objectif de la recherche pratiques/cadres actuels d'audit de la cybersécurité des SCI ou d'en
Compte tenu du problème décrit, le principal objectif de la créer de nouveaux. En appliquant la DSR, l'alignement continu
recherche est "d'examiner pourquoi les entreprises et les entre la rigueur et la pertinence est assuré. La figure 1 illustre le
institutions ne parviennent pas à déployer des contrôles de cadrage de cette recherche selon le cadre de la science de la
cybersécurité dans les environnements de systèmes de contrôle conception, la recherche documentaire (base de connaissances)
industriels et de proposer des pratiques qui pourraient leur aidera à atteindre la rigueur requise pour cette recherche scientifique
permettre de faire face efficacement aux risques de tandis que "la recherche en science de la conception comprend des
cybersécurité dans les environnements de systèmes de contrôle activités liées à la construction et à l'évaluation d'artefacts conçus
industriels". pour répondre aux besoins commerciaux identifiés", (validation
des artefacts par les praticiens), "le cycle de pertinence fait le lien
L'objectif est de fournir des détails sur la planification,
entre l'environnement contextuel du projet de recherche et les
l'évaluation et la déclaration des risques liés à la cybersécurité.
activités de science de la conception (analyse documentaire et
Pour atteindre cet objectif, il convient de répondre aux sous-
entretiens avec des spécialistes) ; le cycle de rigueur relie les activités
questions suivantes :
de science de la conception à la base de connaissances des
QR1 : Quels sont les principaux défis liés au déploiement des fondements scientifiques, à l'expérience et à l'expertise qui
contrôles de sécurité sur les systèmes ICS/SCADA et quelles en informent le projet de recherche (validation par les praticiens et
sont les causes profondes selon les praticiens ICS et les les chefs d'entreprise).
responsables de la sécurité ?
Citation : Yuri Bobbert , Anderson Domingues Pereira da Silva. Préparation à la cybersécurité : An Empirical Study of Effective Cybersecurity Page 3 de 19
Practices for Industrial Control Systems (Étude empirique des pratiques efficaces de cybersécurité pour les systèmes de contrôle industriels). Sci J
Research & Rev. 2(3) : 2019. SJRR.MS.ID.000536. DOI: 10.33552/SJRR.2019.02.000536.
Revue scientifique de recherche et Volume 2 -
d'analyse Numéro 3
La pratique a fourni la rigueur nécessaire à l'élaboration des Artefact 3 : Résultats d'une recherche combinée avec des
artefacts, qui ont ensuite été analysés et dont la pertinence a été praticiens et des cadres de niveau C sur la manière de signaler
validée au moyen d'une enquête en ligne réalisée auprès de 16 efficacement les risques de cybersécurité ICS/SCADA au conseil
participants, principalement des praticiens des SCI et des d'administration.
professionnels de la sécurité de l'information ; des cadres de niveau
Principaux défis à relever lors du déploiement des
"C" participant à des conseils d'administration ont également été contrôles de cybersécurité dans les systèmes ICS/SCADA
consultés sur la manière dont les risques de cybersécurité devraient
Interrogés sur les principaux obstacles au déploiement de
être signalés au conseil d'administration (figure 1).
contrôles de cybersécurité dans les systèmes de contrôle
Résultats de la recherche industriels, les deux groupes ont énuméré les mêmes sujets et les
Revue de la littérature ont classés de la même manière. Le manque de sensibilisation et de
priorité de la part des organisations a été cité comme le principal
L'analyse documentaire réalisée au cours des six premiers
obstacle, suivi d'une mauvaise compréhension de la sécurité des
mois a servi de base à l'identification des défis actuels auxquels
SCI. La séance de réflexion avec les praticiens et les spécialistes de
les organisations sont confrontées dans le déploiement de la
la sécurité de l'information sur la principale raison de l'échec du
cybersécurité sur les systèmes de contrôle industriels. Par un
déploiement des contrôles de cybersécurité sur les SCI/SCADA a
raisonnement déductif, il est apparu évident que la prochaine
réaffirmé la nécessité de sensibiliser davantage les entreprises à ce
étape de la recherche devait être l'étude des facteurs qui
sujet et d'acquérir les connaissances nécessaires pour déployer les
influençaient négativement le déploiement de ces contrôles, y
contrôles de cybersécurité. En outre, les contributions de la session
compris les pièges ou les obstacles auxquels les entreprises
de brainstorming ont également permis d'identifier certaines des
étaient confrontées, ce qui a déclenché la première recherche
raisons profondes de l'échec des déploiements de la cybersécurité
exploratoire qui a été menée avec des spécialistes de la sécurité
des SCI, comme par exemple le manque de structures (rôles) et le
de l'information et des praticiens dans le domaine des systèmes de
manque de responsabilité pour les processus décrits dans le tableau
contrôle industriels.
1.
La méthodologie de la science de la conception exige la validation Tableau 1 : Principales raisons de l'échec du déploiement des contrôles
des artefacts produits par des professionnels ou des experts en la de cybersécurité sur les SCI (professionnels de la sécurité de
l'information et praticiens des SCI).
matière, la validation de chaque artefact et de ses sous-produits
sera effectuée dans ce chapitre, le résultat de cette recherche est la 1 Manque d'appropriation
Citation : Yuri Bobbert , Anderson Domingues Pereira da Silva. Préparation à la cybersécurité : An Empirical Study of Effective Cybersecurity Page 4 de 19
Practices for Industrial Control Systems (Étude empirique des pratiques efficaces de cybersécurité pour les systèmes de contrôle industriels). Sci J
Research & Rev. 2(3) : 2019. SJRR.MS.ID.000536. DOI: 10.33552/SJRR.2019.02.000536.
Revue scientifique de recherche et Volume 2 -
d'analyse Numéro 3
Figure 2 : Question de recherche 1 - Principaux défis liés au déploiement des contrôles de cybersécurité sur
les ICS et SCADA.
Citation : Yuri Bobbert , Anderson Domingues Pereira da Silva. Préparation à la cybersécurité : An Empirical Study of Effective Cybersecurity Page 5 de 19
Practices for Industrial Control Systems (Étude empirique des pratiques efficaces de cybersécurité pour les systèmes de contrôle industriels). Sci J
Research & Rev. 2(3) : 2019. SJRR.MS.ID.000536. DOI: 10.33552/SJRR.2019.02.000536.
Revue scientifique de recherche et Volume 2 -
d'analyse Numéro 3
produits et services cybernétiques. À cette fin, les objectifs des
Sur la base des résultats de l'analyse des données collectées au
parties prenantes doivent être clairement compris et les exigences
cours de deux sessions, les défis suivants et leurs causes profondes
associées doivent être définies avec précision et classées par ordre
respectives ont été identifiés - R-Q1 (Figure 2).
de priorité", Windelberg [11].
Niveau organisationnel
Manque de priorité, ressources limitées et manque de
structure : Il peut s'agir directement d'actions ou de tâches qui ont
été identifiées mais qui ne reçoivent pas l'importance nécessaire
pour être accomplies ; l'établissement de priorités et l'allocation de
ressources sont des activités de gestion typiques nécessaires pour
garantir que les ressources de l'entreprise sont déployées
efficacement afin d'atteindre les objectifs de l'entreprise. Dans ce
c a s , le déploiement des contrôles de cybersécurité peut ne pas
suivre une approche cohérente dans l'ensemble de l'organisation.
Selon le document du CNPI [6] intitulé "Security for Industrial
Control Systems", "un cadre de gouvernance efficace définit des
rôles et des responsabilités clairs, une stratégie actualisée de
gestion des risques liés à la sécurité des systèmes de contrôle
industriel et donne l'assurance que les politiques et les normes
correspondantes sont respectées". Dans son analyse des
métasystèmes de l'organisation à l'aide de modèles de systèmes
viables, Alqirem [8] fait référence à la haute direction de
l'entreprise (système 3) en tant qu'organisme responsable du
contrôle quotidien des opérations (système 1) et de l'interaction
entre les unités opérationnelles.
Niveau technologique
Complexité : dans le contexte des contrôles de cybersécurité
pour ICS/ SCADA - se réfère à la combinaison des composants
AICS et des composants IT sur sa complexité intrinsèque, lorsqu'il
s'agit de déployer des contrôles de cybersécurité. "L'identification
d'un ensemble raisonnablement efficace de contrôles de sécurité
peut être un processus très compliqué et gourmand en ressources,
qui nécessite des ressources spéciales et une expertise que la
plupart des entreprises ne possèdent pas", Shuchih [10]. Étant
donné que la cybersécurité est encore un domaine nouveau qui
compte très peu de praticiens, le partenariat avec le secteur de la
sécurité de l'information et le fournisseur devrait être la meilleure
solution.
Citation : Yuri Bobbert , Anderson Domingues Pereira da Silva. Préparation à la cybersécurité : An Empirical Study of Effective Cybersecurity Page 8 de 19
Practices for Industrial Control Systems (Étude empirique des pratiques efficaces de cybersécurité pour les systèmes de contrôle industriels). Sci J
Research & Rev. 2(3) : 2019. SJRR.MS.ID.000536. DOI: 10.33552/SJRR.2019.02.000536.
Revue scientifique de recherche et Volume 2 -
d'analyse
Le " manque de connaissances sur l'audit ou l'accès aux ICS " Numéro 3
arrive en troisième position avec 16%, ce qui montre que les
ressources de l'entreprise ne sont pas capables d'auditer ou
d'évaluer les contrôles de cybersécurité, parmi les réponses des
participants, une en particulier peut illustrer la situation : " Les
auditeurs n'ont pas de réelles connaissances sur les systèmes OT
(Operational Technology) et leurs protocoles spécifiques ","Les
résultats correspondent aux études récentes sur la pénurie de
compétences en cybersécurité et son impact dans tous les secteurs
industriels, comme le souligne Oltsik [14] dans son article publié
dans le magazine électronique CSO Online en janvier de cette
année, "Research suggests cybersecurity skills shortage is getting
worse" (La recherche suggère que la pénurie de compétences en
cybersécurité s'aggrave). D'autres défis ont également été
mentionnés : "Complexité de la technologie et limitation de la
conception", "Différences entre l'environnement informatique et
l'environnement opérationnel", puis "Impact sur la production".
Ces défis peuvent être directement liés à la connaissance des
risques de cybersécurité ICS/SCADA et des contrôles de sécurité,
ainsi qu'à une éventuelle incertitude quant à l'impact potentiel sur
l'environnement de production.
Citation : Yuri Bobbert , Anderson Domingues Pereira da Silva. Préparation à la cybersécurité : An Empirical Study of Effective Cybersecurity Page 9 de 19
Practices for Industrial Control Systems (Étude empirique des pratiques efficaces de cybersécurité pour les systèmes de contrôle industriels). Sci J
Research & Rev. 2(3) : 2019. SJRR.MS.ID.000536. DOI: 10.33552/SJRR.2019.02.000536.
Revue scientifique de recherche et Volume 2 -
d'analyse Numéro 3
En ce qui concerne les possibilités d'amélioration de leur i. La direction de l'organisation a-t-elle donné son aval ?
processus d'audit/d'évaluation, les responsables de la sécurité de
ii. Investir dans le développement des compétences en matière
l'information et les spécialistes des SCI considèrent qu'il existe de cybersécurité
des possibilités pour
iii. Définir et déployer des normes alignées sur l'organisation
i. Identifier de meilleurs moyens d'évaluer les risques Besoins
ICS/SCADA,
iv. Constituer une équipe d'audit/évaluation polyvalente
ii. A la recherche d'une assurance et d'une
v. Veiller à ce que les risques identifiés fassent l'objet d'un
iii. Par des améliorations liées à l'organisation. rapport approprié
Fondamentalement, ces trois suggestions sont en parfaite Les moyens les plus efficaces de rendre compte au
résonance avec la récente étude publiée par le cabinet de conseil conseil d'administration
en gestion McKinsey [15], intitulée "A new posture for
Session avec des responsables de la sécurité de
cybersecurity in a networked world" (Une nouvelle posture pour
l'information et des spécialistes ICS
la cybersécurité dans un monde en réseau), selon laquelle [16]
"les cyber-stratégies réussies se construisent étape par étape, en La figure 5 énumère tous les apports de la session GSS tenue
s'appuyant sur une compréhension globale des processus avec des cadres de la sécurité de l'information et des spécialistes
opérationnels pertinents et de l'état d'esprit d e s attaquants ICS à La Haye. La liste a apporté des informations précieuses et les
potentiels. Les trois étapes clés sont la hiérarchisation des actifs réponses ouvertes fournies par tous les participants ont été
et des risques, l'amélioration des contrôles et des processus, et la compilées dans un artefact qui a ensuite été partagé avec les cadres
mise en place d'une gouvernance efficace". Sur la base de cette de niveau C pour leur validation et leurs commentaires.
analyse, nous pouvons dresser une liste de 5 facteurs critiques de
succès pour déployer un modèle de cyber-assurance efficace (Artefact
1)
Citation : Yuri Bobbert , Anderson Domingues Pereira da Silva. Préparation à la cybersécurité : An Empirical Study of Effective Cybersecurity Page 10 de 19
Practices for Industrial Control Systems (Étude empirique des pratiques efficaces de cybersécurité pour les systèmes de contrôle industriels). Sci J
Research & Rev. 2(3) : 2019. SJRR.MS.ID.000536. DOI: 10.33552/SJRR.2019.02.000536.
Revue scientifique de recherche et Volume 2 -
d'analyse Numéro 3
Figure 5 : Contribution des spécialistes des FSI et des SCI sur les moyens les plus efficaces de
signaler les cyberrisques au conseil d'administration.
Citation : Yuri Bobbert , Anderson Domingues Pereira da Silva. Préparation à la cybersécurité : An Empirical Study of Effective Cybersecurity Page 11 de 19
Practices for Industrial Control Systems (Étude empirique des pratiques efficaces de cybersécurité pour les systèmes de contrôle industriels). Sci J
Research & Rev. 2(3) : 2019. SJRR.MS.ID.000536. DOI: 10.33552/SJRR.2019.02.000536.
Revue scientifique de recherche et Volume 2 -
d'analyse Numéro 3
Validation des méthodes les plus efficaces pour lié à la stratégie ou à l'intérêt de l'entreprise", le deuxième score
signaler au conseil d'administration les risques liés à le plus élevé, vingt-trois (23), a été attribué au "rapport sur les
la cybersécurité des ICS/SCADA risques opérationnels et leur impact", et le troisième score le
Afin de valider les données fournies par les responsables de la plus élevé, vingt-deux (22), a été attribué au "rapport sur les
sécurité de l'information et les spécialistes des SCI, les résultats de risques financiers et d'image", le rapport sur les risques de
l'élément A ont été répartis en deux catégories : le contenu "Ce cybersécurité "comparés à d'autres événements réels ayant affecté
qu'il faut signaler au conseil d'administration" et le format le même secteur ou des secteurs similaires" et le rapport sur les
"Comment le signaler au conseil d'administration". Lors de la indicateurs clés de performance ont obtenu les scores les plus bas, dix-
validation par les cadres supérieurs de ce qui doit être rapporté au neuf (19) et treize (13), respectivement.
conseil d'administration (figure 6), le score le plus élevé, vingt-cinq
(25), a été attribué aux "risques liés à la cybersécurité".
Citation : Yuri Bobbert , Anderson Domingues Pereira da Silva. Préparation à la cybersécurité : An Empirical Study of Effective Cybersecurity Page 12 de 19
Practices for Industrial Control Systems (Étude empirique des pratiques efficaces de cybersécurité pour les systèmes de contrôle industriels). Sci J
Research & Rev. 2(3) : 2019. SJRR.MS.ID.000536. DOI: 10.33552/SJRR.2019.02.000536.
Revue scientifique de recherche et Volume 2 -
d'analyse Numéro 3
Résultats En ce qui concerne le contenu de la question "Que faut-il rapporter
au conseil d'administration ?", les options suivantes ont reçu un score
La session d'enquête réalisée auprès de cadres de haut niveau
plus élevé (ordre de priorité), selon les cadres de haut niveau :
pour valider les moyens les plus efficaces de signaler les risques de
cybersécurité ICS/SCADA au conseil d'administration a atteint son
objectif.
Citation : Yuri Bobbert , Anderson Domingues Pereira da Silva. Préparation à la cybersécurité : An Empirical Study of Effective Cybersecurity Page 13 de 19
Practices for Industrial Control Systems (Étude empirique des pratiques efficaces de cybersécurité pour les systèmes de contrôle industriels). Sci J
Research & Rev. 2(3) : 2019. SJRR.MS.ID.000536. DOI: 10.33552/SJRR.2019.02.000536.
Revue scientifique de recherche et Volume 2 -
d'analyse Numéro 3
i. En accord avec la stratégie ou les intérêts de Les spécialistes ICS, l'accent mis sur l'analyse comparative, les
l'entreprise, références à d'autres événements de haut niveau dans le secteur de
la cybersécurité figurent également dans leurs commentaires, et la
ii. En rapport avec les risques financiers et d'image
référence à l'utilisation des indicateurs de performance clés, bien
iii. Rapporté en termes de risque opérationnel et d'impact. que limitée, semble toujours pertinente pour 33 % des personnes
Interrogés sur le type d'informations, de données ou de interrogées.
contexte à inclure dans un rapport sur la cybersécurité destiné *Le fait que les membres du conseil d'administration
au conseil d'administration, les dirigeants ont insisté sur la préféreraient recevoir ces informations via des rapports
nécessité de signaler l'impact opérationnel ou financier. Le taux d'entreprises externes spécialisées dans la cybersécurité ou via
de réponse élevé concernant les risques de cybersécurité l'audit interne mérite d'être étudié plus en détail ; toutefois, il
"alignés sur la stratégie ou les intérêts de l'entreprise" montre convient de le replacer dans le contexte des questions fermées et
qu'une connaissance spécifique de ce sujet peut contribuer à des options limitées proposées aux cadres dans le cadre de
l'élaboration du rapport et donc à la présentation de résultats plus l'enquête.
conformes aux intérêts du conseil d'administration.
Pratiques recommandées
En outre, en termes de format, sur la façon dont les risques de
La figure 8 vise à fournir un ensemble de "pratiques qui peuvent
cybersécurité devraient être signalés, les options suivantes ont reçu
permettre aux entreprises et aux institutions de faire face
un score plus élevé (ordre de priorité), selon les cadres de haut
efficacement aux risques de cybersécurité dans l'environnement
niveau :
des systèmes de contrôle industriel", ce qui constitue l'objectif
i. Via les rapports d'éternelles entreprises de cybersécurité principal de cette recherche. Ces pratiques sont basées sur
ii. Via l'audit interne l'examen de la littérature existante et sur des entretiens avec des
spécialistes de la sécurité de l'information, des praticiens des
iii. Dans le format des résultats de l'évaluation comparative SCI, des responsables de la sécurité, des universitaires et des
Les réponses des hauts responsables ont été révélées, bien que membres de conseils d'administration. Cela permet de répondre
légèrement différentes de celles des responsables de la sécurité de à la question principale de la recherche, à savoir "Pourquoi les
l'information et des responsables de la sécurité de l'information. entreprises et les institutions ne parviennent-elles pas à déployer
des contrôles de cybersécurité dans l'environnement des
systèmes de contrôle industriels, en proposant des pratiques qui
peuvent leur permettre de faire face efficacement aux risques de
cybersécurité dans l'environnement des systèmes de contrôle
industriels ?
Citation : Yuri Bobbert , Anderson Domingues Pereira da Silva. Préparation à la cybersécurité : An Empirical Study of Effective Cybersecurity Page 14 de 19
Practices for Industrial Control Systems (Étude empirique des pratiques efficaces de cybersécurité pour les systèmes de contrôle industriels). Sci J
Research & Rev. 2(3) : 2019. SJRR.MS.ID.000536. DOI: 10.33552/SJRR.2019.02.000536.
Revue scientifique de recherche et Volume 2 -
d'analyse Numéro 3
Citation : Yuri Bobbert , Anderson Domingues Pereira da Silva. Préparation à la cybersécurité : An Empirical Study of Effective Cybersecurity Page 15 de 19
Practices for Industrial Control Systems (Étude empirique des pratiques efficaces de cybersécurité pour les systèmes de contrôle industriels). Sci J
Research & Rev. 2(3) : 2019. SJRR.MS.ID.000536. DOI: 10.33552/SJRR.2019.02.000536.
Revue scientifique de recherche et Volume 2 -
d'analyse Numéro 3
répondants, neutres à 18,8 % et limités à 6,3 %, ce qui indique peut-
Cette étude a permis d'examiner les raisons pour lesquelles les
être que la formation à la sécurité du SCI peut ne pas être efficace
entreprises et les institutions ne parviennent pas à déployer des
si elle n'est pas abordée parallèlement à la gouvernance et à un
contrôles de cybersécurité dans l'environnement ICS, ce qui n'a été
programme de cybersécurité ; une autre solution pourrait consister à
possible que grâce à la contribution de nombreux professionnels de
embaucher ou à externaliser les tâches liées à la cybersécurité.
l'industrie des systèmes de contrôle industriel, de cadres et de
spécialistes de la sécurité de l'information, de professionnels de L'examen de la manière dont les entreprises procèdent à
l'assurance et de hauts responsables. X participants ont pris part à l'assurance des contrôles de cybersécurité a abordé des points
cette étude. Si l'on se réfère aux premières lectures sur les incidents similaires, tels que le manque de compétences ou de connaissances
de cybersécurité touchant l'industrie manufacturière [15] et le et le manque d'appropriation.
secteur des infrastructures critiques et aux raisons respectives
attribuées à ces incidents, il est assez facile de tirer des conclusions
et d'affirmer immédiatement que bon nombre de ces incidents ont
été causés par des processus mal conçus, des systèmes obsolètes et
un manque de connaissances, exploités par toutes sortes de
menaces allant des virus aux pirates informatiques hyperqualifiés.
Outre la peur, l'incertitude et le doute (FUD), il n'y a pas beaucoup
d'enseignements tirés de ces événements qui pourraient aider
efficacement les entreprises à se protéger contre les menaces liées à
la cybersécurité.
Une fois que les responsabilités sont plus claires et que les
priorités sont définies, i l est nécessaire de définir une stratégie
pour s'attaquer au problème, ce qui peut être réalisé avec l'aide
d'un programme de cybersécurité correctement financé et
soutenu. Ces deux sujets, l'établissement de la gouvernance et la
définition d'un programme de cybersécurité, ont été inclus dans
la liste des pratiques recommandées et, lors de l'enquête de
validation, ils ont tous deux été jugés très efficaces ou efficaces
par 81,3 % des personnes interrogées. Les praticiens ont
également fait part de leurs préoccupations concernant le
manque de connaissances spécifiques en matière de sécurité des
SCI, ce qui signifie qu'ils ne savent pas comment sécuriser les
SCI, comme l'ont répondu 25 % des personnes interrogées. Au
cours de l'enquête de validation, les investissements dans le
développement des compétences en matière de cybersécurité
ont été jugés très efficaces à 43,8 % et efficaces à 31,3 % par les
Citation : Yuri Bobbert , Anderson Domingues Pereira da Silva. Préparation à la cybersécurité : An Empirical Study of Effective Cybersecurity Page 16 de 19
Practices for Industrial Control Systems (Étude empirique des pratiques efficaces de cybersécurité pour les systèmes de contrôle industriels). Sci J
Research & Rev. 2(3) : 2019. SJRR.MS.ID.000536. DOI: 10.33552/SJRR.2019.02.000536.
Revue scientifique de recherche et Volume 2 -
d'analyse NuméroInternational
Information Security Alignment and Artefact Engineering. 3
En ce qui concerne les méthodes d'évaluation de la cybersécurité, Journal of IT/Business Alignment and Governance 8 : 28-41.
de 1 - non efficace à 5 - très efficace, 50 % des personnes
6. CNPI (2015) Security for Industrial Control Systems - Establishing ongoing
interrogées ont jugé leurs méthodes d'évaluation actuelles non governance, A Good Practice Guide.
efficaces ou peu efficaces, ce qui est étonnant et confirme que les 7. Harrell B (2018) Améliorer la gouvernance de la cybersécurité dans la salle
entreprises ne peuvent pas valider leurs contrôles de cybersécurité. du conseil.
La principale solution à ce problème peut également résider dans 8. Alqirem, Raed (2003) Un modèle de système viable pour analyser le
l'adhésion de la direction générale, l'un des CCA jugé très efficace métasystème d'une organisation.
par 56,3 % et efficace par 37,5 % des personnes interrogées,
obtenant un score plus élevé que d'autres CCA identifiés tels que
l'investissement dans le développement des compétences en
cybersécurité (très efficace-18,8 %, efficace-62,5 %) et les normes
alignées sur les besoins de l'organisation (très efficace-25 %,
efficace-43,8 %), qui ont également obtenu un bon taux mais n'ont
pas été considérés comme aussi efficaces que le premier CCA.
Remerciements
Aucun.
Conflit d'intérêts
Pas de conflit d'intérêts.
Références
1. Auffret JP, Jane l Snowdon, Angelos Stavrou, Jeffrey katz, Diana
Kelley, et al. (2017) Cybersecurity Leadership : Compétences,
gouvernance et technologies pour les systèmes de contrôle industriels.
Journal of Interconnection Networks 17(1).
2. Nicholson, S Webber, S Dyer, T Patel, H Janicke (2012) "SCADA
security in the light of Cyber-Warfare," Computers & Security 31(4) :
418-436,
3. Fitzgerald T J (2017) ISACA - Auditing Cybersecurity : Evaluating Risk
and Auditing Controls, ISACA.
4. Franken W, Fabri M Vlaanderen K (2014) ISACA Governance of
Cybersecurity, ISACA Chapter NL.
5. Yuri Bobbert (2017) On Exploring Research Methods for Business
Citation : Yuri Bobbert , Anderson Domingues Pereira da Silva. Préparation à la cybersécurité : An Empirical Study of Effective Cybersecurity Page 17 de 19
Practices for Industrial Control Systems (Étude empirique des pratiques efficaces de cybersécurité pour les systèmes de contrôle industriels). Sci J
Research & Rev. 2(3) : 2019. SJRR.MS.ID.000536. DOI: 10.33552/SJRR.2019.02.000536.
Revue scientifique de recherche et Volume 2 -
d'analyse Numéro 3
9. Von Solms R (2009) Gouvernance de la sécurité de l'information. ISBN 14. Oltsik, J (2018) La recherche suggère que l a pénurie de compétences
978-0-387- 79984-1. en cybersécurité s'aggrave.
10. Chang Shuchih Ernest, Ho Chienta (2006) Organizational factors to the 15. Mckinsey (2018) Une nouvelle posture pour la cybersécurité dans un monde
effectiveness of implementing information security management. en réseau.
Gestion industrielle et systèmes de données.
16. Rothrock RA, Kaplan J, Van der Oord E (2017) Le rôle du conseil
11. Windelberg Marjorie (2015) Objectives for managing cyber supply d'administration dans la gestion des risques de cybersécurité. MIT Sloan
chain risk. Journal international de la protection des infrastructures Management Review.
critiques.
17. Lee R M, Assante M J, Conway T (2014) SANS Institute, ICS defense.
12. ENISA (2011) Protecting Industrial Control Systems, recommendations for
Europe and Member States. 18. Obama Barack (2013) Executive Order - Improving Critical
Infrastructure Cybersecurity (Décret sur l'amélioration de la
13. Cherdantseva Yulia, Burnap Pete, Blyth Andrew, Eden, Jones, et al.
cybersécurité des infrastructures critiques).
(2016) A Review of cyber security risk assessment methods for
SCADA systems. Computers & Security 56 : 1-27.
Citation : Yuri Bobbert , Anderson Domingues Pereira da Silva. Préparation à la cybersécurité : An Empirical Study of Effective Cybersecurity Page 18 de 19
Practices for Industrial Control Systems (Étude empirique des pratiques efficaces de cybersécurité pour les systèmes de contrôle industriels). Sci J
Research & Rev. 2(3) : 2019. SJRR.MS.ID.000536. DOI: 10.33552/SJRR.2019.02.000536.