Conseils pour l’élaboration d’une analyse de rentabilisation concernant la sécurité des systèmes de surveillance et d’acquisition de données (SCADA)

Résumé
Plusieurs événements ont contribué à une reconnaissance accrue de la nécessité de renforcer la sécurité des systèmes de surveillance et d'acquisition de données (SCADA). Cette prise de conscience est d'autant plus évidente au sein des organisations publiques et privées qui ont suivi l'évolution de la sécurité nécessaire à la protection des infrastructures essentielles (PIE) et à la protection des infrastructures d'information essentielles (PIIE). Au sein du milieu de la PIE et de la PIIE, qui est relativement petit et souvent fermé, un certain nombre d'initiatives ont été lancées pour accroître la sécurité des réseaux SCADA. Habituellement, les gestionnaires techniques sont les premiers à prendre conscience de ces initiatives, parce qu'ils sont aux prises avec le problème de traduire les enjeux et les options techniques en termes opérationnels.
Le présent guide vise à fournir aux propriétaires de SCADA et aux intervenants internes de l'information de base ainsi qu'à proposer un modèle ou un processus d'analyse de rentabilisation permettant de perfectionner les technologies SCADA pour assurer leur protection contre les cyberattaques.

Il commence par aborder la question du niveau de sécurité requis. La réponse à cette question dépend largement de l'approche opérationnelle adoptée en matière de sécurité. Pour certaines entreprises, il s'agit d'un coût nécessaire dans le monde des affaires; pour d'autres, c'est l'occasion d'améliorer d'autres aspects de l'entreprise. L'une des approches pouvant aider les propriétaires à déterminer le niveau de sécurité requis est la schématisation de leurs objectifs en matière de sécurité à l'intérieur d'un modèle de maturité. Vous trouverez ci‑dessous un exemple de cette approche, qui a été adoptée pour sécuriser les SCADA dans le secteur de l'énergie.

La prochaine section reconnaît qu'il y a de nombreux intervenants externes qui s'intéressent à la sécurité des SCADA. Cet élément revêt une importance particulière si l'entreprise fait partie d'une infrastructure essentielle. Dans ce cas, les intervenants externes se regroupent selon leurs intérêts en matière de gouvernance, de risque et de conformité. Chacun de ces groupes a été associé à un niveau de maturité fondé sur la sphère d'influence de l'intervenant en matière de gouvernance, le nombre de stratégies d'atténuation du risque dont il dispose et sa capacité à imposer des politiques et des règles de conformité. Le présent guide reconnaît également qu'il n'est pas nécessaire que tous les propriétaires d'entreprise et les intervenants externes atteignent le niveau de maturité le plus élevé. La section portant sur les modèles de maturité vise à aider les auteurs à déterminer des objectifs adéquats pour leur entreprise relativement à la sécurité des SCADA ainsi que l'influence possible des intervenants externes. Les exemples et les références donnent une liste d'options à prendre en considération.

Pour aider à la préparation de l'analyse de rentabilisation, des sections distinctes sont consacrées aux :

Enfin, vous trouverez, dans le présent guide, un modèle annoté d'analyse de rentabilisation pour vous aider à structurer les questions dont il faut tenir compte. Les exemples qui y figurent sont expliqués et résumés dans une annexe à la fin du document.

Date de modification :