Aider les clients à adhérer à des normes de cybersécurité opérationnelle

Publié le 11 octobre 2022
Lane Gibson, Ingénieur logiciel
Lane Gibson
Ingénieur logiciel
Retour aux perspectives

La cybersécurité est un aspect important de tout plan d’affaires réfléchi, mais dans les secteurs fortement réglementés, des règles supplémentaires doivent être suivies rigoureusement. Une importante mise à jour des normes de conformité a été mandatée pour deux clients importants d’Alithya. Ces organisations ont demandé à Alithya d’analyser leurs normes, puis de repérer et de combler les lacunes pour assurer leur conformité.

Détermination des biens électroniques

La première amélioration des normes de conformité consistait à ajouter un critère pour la détermination des biens électroniques. Un bien électronique est un appareil électronique doté de ports de communication et de programmation ainsi que de capacités sans fil, qui accepte les supports amovibles ou qui possède une interface personne-machine. Un appareil est considéré comme étant un bien électronique s’il contient aussi un microprocesseur ou un circuit logique programmable.

Plan d’action complet et consigné en cas d'incident

La deuxième amélioration était l’ajout de nouvelles exigences pour officialiser le besoin d’un plan d’action complet et consigné à utiliser en cas d’incident de cybersécurité. La norme précédente établissait des mesures d’intervention et de reprise en cas d’incident de cybersécurité de manière séparée pour chaque bien électronique. Dans la norme révisée, ces mesures ont été établies d’un point de vue organisationnel. Un plan mettant l'accent sur quatre étapes a été créé :

  1. Détection
  2. Évaluation
  3. Maîtrise
  4. Rétablissement

Des rôles et responsabilités stricts ont été établis pour gérer les situations catastrophiques afin que les composantes cruciales de l’infrastructure informatique continuent de fonctionner ou soient rétablies rapidement après un incident.

Cette amélioration montre un accent accru sur les mesures d’intervention et de reprise en cas d’incident de cybersécurité. Ce changement est logique compte tenu de l’augmentation des cyberattaques à l’échelle mondiale, dont fait état le communiqué de presse dans lequel Gartner Inc. mentionne que 30 % des organisations infrastructurelles essentielles feront l’objet d’une atteinte à la sécurité d’ici 2025.

Chaîne d’approvisionnement pour les biens électroniques essentiels

La troisième amélioration consistait à établir trois exigences pour mieux définir les composantes qui sont nécessaires au programme de chaîne d’approvisionnement pour les biens électroniques essentiels ou les services qui ont une incidence sur les biens électroniques essentiels, comme la maintenance ou le développement de logiciels. Même si ces nouvelles exigences s’appliquent davantage aux biens électroniques essentiels d’importance modérée à élevée, elles aident à garantir que les fournisseurs exercent leurs activités conformément au modèle de confiance existant en matière de cybersécurité. Cela inclut la création d’environnements de développement sécuritaires, l’entreposage et la livraison sécuritaire des biens électroniques essentiels et l’établissement de mécanismes de déclaration des vulnérabilités actuelles et futures.

Architecture de cybersécurité défensive

La nouvelle version de la norme intègre également le concept d’architecture de cybersécurité défensive. Cette architecture combine le regroupement des biens électroniques essentiels en zones et l’application de différents niveaux de contrôle de sécurité pour assurer la défense en profondeur de chaque zone. On compte quatre catégories principales d’exigences :

  1. Exigences pour l’établissement de zones
  2. Exigences pour la communication entre les zones
  3. Exigences appliquées à une zone selon l’importance de ses biens
  4. Exigences relatives à la consignation des zones

L’applicabilité de ces exigences est généralement basée sur la classification des biens électroniques essentiels qui se trouvent dans une zone : compromission posant un danger grave, modéré ou faible. Les biens électroniques dont la compromission pose un danger grave nécessiteront des contrôles de sécurité plus stricts que ceux dont la compromission pose un danger plus faible. Il est important de noter que chaque bien électronique essentiel doit faire partie d’une zone.

Zones de biens électroniques essentiels

Une zone est un groupe de biens électroniques essentiels auxquels s’appliquent des exigences de cybersécurité similaires. Lors de l’établissement du niveau de sécurité d’une zone, il faut prendre en compte la sécurité physique et la sécurité logique de celle-ci. Chaque zone doit avoir des limites clairement établies pour se démarquer des autres zones.

Une limite de sécurité physique est un périmètre physique entourant un ou plusieurs biens électroniques essentiels comprenant ses réseaux et interconnexions, le cas échéant, qui a des contrôles d’accès en place à ses points d’accès physiques. Un immeuble, une pièce ou une armoire, par exemple, peuvent avoir des limites de sécurité physiques.

De la même façon, une limite de sécurité logique est un périmètre logique entourant un ou plusieurs biens électroniques essentiels qui a des contrôles d’accès en place à ses points d’accès logiques. Il pourrait s’agir de groupes de pare-feu, de diodes de données, de routeurs ou de toute combinaison de mécanismes de restriction des communications.

Un point d’accès physique est un emplacement physique pouvant être utilisé par des personnes ou du matériel pour franchir la limite de sécurité physique. La porte verrouillée d’un immeuble, d’une pièce ou d’une armoire en sont des exemples.

Un point d’accès logique est un bien électronique essentiel utilisé sur le périmètre logique pour permettre aux communications électroniques de franchir la limite de sécurité logique. Il pourrait s’agir d’un pare-feu ou d’un routeur du groupe d’appareils de restriction des communications formant la limite de sécurité logique.

Zones pour les biens critiques

Avant qu’une zone puisse être créée, l’organisation responsable des opérations doit d’abord déterminer quels sont les biens qu’elle considère comme les plus importants et les moins importants. Il est aussi utile de noter les fonctions essentielles de ces biens au sein du système, leur emplacement physique, leurs points d’accès physiques et logiques, les adresses logiques (adresses IP ou MAC) qui s’y rattachent, leurs voies de communication et tout équipement de communication connexe, ainsi que toutes les dépendances fonctionnelles avec d’autres biens électroniques essentiels ou non essentiels. Ces renseignements facilitent le regroupement des biens électroniques essentiels selon leurs besoins en matière de sécurité. Ils permettent aussi de réduire les couplages entre zones, de limiter la taille des zones de sécurité physiques et de réduire la complexité fonctionnelle de la zone.

Les changements de normes de cybersécurité peuvent sembler fastidieux, mais l’application de nouveaux principes recèle d'occasions d’innover. Alithya peut aider votre organisation à repérer ces occasions. Pour en savoir plus, cliquez ici. Des questions? Écrivez-nous à ventes@alithya.com.