Gestion des interventions en cas incident de cybersécurité des SCI : Aller au-delà du confinement, de l’éradication et du rétablissement.

Optimisation
Outils
Typographie

La récente vague de compromissions, d’exploitations malveillantes et d’exposition des vulnérabilités logicielles (p. ex. SolarWinds Orion, Colonial Pipeline, Apache Log4j, etc.), ainsi que l’intégration ou la convergence des systèmes informatiques des entreprises, des SCI et des technologies opérationnelles (TO), prouvent que, de plus en plus souvent, la compromission d’un logiciel ou une cyberattaque n’affecte pas uniquement un seul système informatique, un seul SCI ou un seul environnement de TO, mais aussi directement ou indirectement des activités interfonctionnelles, y compris des processus cyberphysiques.

Dans un précédent article du blogue,1 nous avons présenté certains des éléments fondamentaux à prendre en compte durant l’établissement d’un plan d’intervention en cas d’incident de cybersécurité visant des SCI et des environnements de TO. Dans le présent article, nous allons examiner et explorer une approche qui vise à intégrer les interventions en cas d’incident de cybersécurité aux processus d’intervention en cas d’urgence des entreprises et interorganisations. Nous explorerons l’utilisation du Système de commandement des interventions dans le cadre d’interventions en cas d’incident de cybersécurité affectant les SCI.

Qu’est-ce que le Système de commandement des interventions?

Le Système de commandement des interventions est un système de gestion des urgences structuré qui est conçu pour assurer une gestion rigoureuse et efficace des incidents en misant sur la bonne coordination des installations, des équipements, des effectifs, des procédures et des communications au cours des interventions en cas d’incident. Il a été conçu pour appuyer les interventions interorganismes durant les feux de forêt en Californie et en Arizona.2 Le Système de commandement des interventions est désormais un système de gestion éprouvé et accepté à l’échelle internationale. Il est conçu pour permettre une gestion flexible des événements à différentes échelles. Afin de ne pas confondre avec les SCIs, nous ne utiliserons pas l’abreviation SCI pour référer au système de commandement des interventions.

De nombreuses organisations responsables de systèmes et de processus cyberphysiques, tant publiques que privées, utilisent déjà le Système de commandement des interventions pour organiser et gérer les interventions en cas d’incident physique, par exemple pour coordonner les activités des intervenants d’aide mutuelle qui rétablissent les pannes sur le réseau électrique après une catastrophe naturelle.

Le Système de commandement des interventions présente de nombreux avantages dans le cadre des interventions en cas d’incident de cybersécurité :

  • hiérarchie de gestion uniformisée, quels que soient le type et le nombre de processus et de systèmes cyberphysiques en cause;
  • définition claire et normalisation des rôles et des responsabilités;
  • intégration plus facile des ressources interfonctionnelles ou externes pour appuyer les interventions;
  • utilisation efficiente et efficace des ressources :
    • les experts techniques se concentrent sur les mesures à prendre pour régler l’incident (en utilisant le cycle d’intervention en cas d’incident de cybersécurité, soit contenir, éradiquer et rétablir)3;
    • les employés qui interviennent en cas d’incident ou d’urgence, sont expérimentés et ont reçu une formation sur le Système de commandement des interventions, s’occupent de la coordination de la logistique, de la planification, des finances, des aspects juridiques et des communications avec les dirigeants et les entités externes;
    • les membres de la haute direction et les cadres supérieurs peuvent se concentrer sur la gestion de crise à haut niveau et la continuité des activités sans avoir à superviser les activités d’intervention au quotidien.
  • Gestion par objectif : Les incidents interfonctionnels ne peuvent généralement pas être réglés en quelques heures ou par un seul flux de travail. Des objectifs structurés à court et à long terme et plusieurs flux de travail sont nécessaires pour assurer un transfert en douceur de la gestion et des tâches entre les équipes des différents quarts de travail lorsque le plan d’intervention s’étend sur plusieurs jours, semaines ou plus.

Préparation en vue d’utiliser le Système de commandement des interventions pour régler les incidents de cybersécurité des SCI

La préparation est la clé du succès des interventions en cas d’incident et elle comprend les volets suivants :

  • Planification
    Vous devez avoir un plan documenté qui décrit clairement les rôles et responsabilités de l’équipe ou des équipes d’intervention en cas d’incident, les méthodes de détection, les critères de classification et les procédures de signalement, de mobilisation et d’intervention. Pour obtenir des conseils, consultez notre précédent article de blogue sur les plans interventions en cas d’incident1.
  • Formation et exercices
    Mettez régulièrement votre plan d’intervention en cas d’incident à l’essai et procédez aux mises à jour nécessaires, au besoin, selon les leçons apprises, les changements organisationnels ou autres changements. Veillez à ce que les employés qui participeront aux activités d’intervention en cas d’incident (experts techniques, gestionnaires ou autres ressources) aient la formation sur le Système de commandement des interventions appropriée pour s’acquitter de leurs responsabilités. Au Canada, de nombreux organismes de gestion des urgences provinciaux proposent une formation sur le Système de commandement des interventions. Aux États-Unis, la Federal Emergency Management Agency (FEMA) offre des cours et des ressources en ligne gratuits dans le cadre de son National Incident Management System (NIMS).4

Une initiative internationale intersectorielle, appelée ICS4ICS, a commencé à appuyer l’adoption du Système de commandement des interventions pour les interventions en cas d’incident de cybersécurité des SCI.

Qu’est-ce que l’ICS4ICS?

Au milieu de 2021, la Global Cybersecurity Alliance de l’International Society of Automation (ISAGCA) a publié un webinaire5 et un blogue6 qui expliquent comment utiliser le Système de commandement des interventions pour régler les incidents de cybersécurité des systèmes de contrôle industriels (ICS4ICS).

L’ISAGCA, la Cybersecurity and Infrastructure Security Agency (CISA) ainsi que les experts en cybersécurité et en intervention en cas d’incident de nombreuses organisations appuient les travaux visant à faire en sorte que le cadre du Système de commandement des interventions soit adopté pour établir la structure d’intervention, les rôles et l’interopérabilité de l’approche ICS4ICS.7 Pour plus d’information et pour participer à ces travaux, rendez-vous sur le portail du groupe de travail ICS4ICS.8

Conclusion

Les menaces ne cessent d’évoluer et de prendre de l’ampleur. Il vaut mieux être bien préparés pour le jour où vos processus et systèmes cyberphysiques des SCI et environnements de TO seront attaqués, compromis ou indirectement affectés. Bien qu’elle en soit encore à ses débuts, l’initiative ICS4ICS promet de faciliter l’organisation des interventions en cas d’incidents de cybersécurité des SCI et l’intégration des différentes mesures d’urgence aux plans d’intervention internes et externes.

BBA publiera bientôt un guide pour aider les organisations à établir un plan d’intervention en cas d’incident de cybersécurité des SCI et à utiliser le Système de commandement des interventions durant les interventions associées à ces incidents.

Si votre organisation a besoin d’aide pour établir un nouveau plan d’intervention en cas d’incident de cybersécurité des SCI, pour réviser un plan existant ou pour adopter le Système de commandement des interventions, veuillez nous contacter pour en discuter.

Références

  1. bba | Do you have an incident response plan for your industrial…
  2. Incident Command System - Wikipedia
  3. SP 800-61 Rev. 2, Computer Security Incident Handling Guide | CSRC (nist.gov)
  4. Emergency Management Institute - National Incident Management System (NIMS) (fema.gov)
  5. https://www.youtube.com/watch?v=j1boIDFmFkM
  6. Addressing the Downstream Effect of a Cyber Attack (isa.org)
  7. Call for Volunteers: ICS4ICS Improves Management of ICS Cybersecurity (isa.org)
  8. ISAGCA and ICS4ICS Cybersecurity First Responder Program

bba 7nov22 2A propos de l'auteur

Pierre Janse Van Rensburg, GCIH, est Expert-Conseil Principal, Cybersécurité des Systèmes de Contrôle Industriels chez BBA

 


Source : BBA