L’importance de disposer d’un plan d’intervention complet en cas d’incident
La plupart des organisations disposent de plans d’intervention en cas d’incident de cybersécurité pour leur infrastructure informatique. Toutefois, dans bien des cas, les plans d’intervention pour les systèmes de contrôle industriel (SCI) et les processus critiques ne sont pas aussi perfectionnés, ou ne concernent que les risques physiques. Les dispositifs SCI les plus répandus sont :
- les dispositifs de télémétrie sur le terrain, tels que les instruments et les capteurs;
- les contrôleurs sur le terrain, tels que les terminaux à distance, les dispositifs électroniques intelligents et les automates programmables;
- les interfaces personne-machine, qui permettent aux opérateurs de surveiller et de contrôler les processus.
Les auteurs des cyberattaques peuvent exploiter les points faibles de ces dispositifs ou d’autres systèmes connectés au réseau qui ont une incidence sur vos dispositifs et systèmes SCI. C’est pourquoi il est important de disposer d’un plan d’intervention complet en cas d’incident qui vise précisément les SCI de votre organisation.
Pour élaborer un plan de réponse aux incidents efficace, voici une liste des sujets les plus importants à inclure dans votre plan :
Équipe d’intervention
Une équipe d’intervention en cas d’incident doit être formée à l’avance et indiquée dans le plan de réponse. Des responsabilités clairement définies sont attribuées aux divers membres de l’équipe. Cette dernière est composée de personnes qui sont familiarisées avec le traitement des incidents et l’intervention lors d’incidents, et qui ont l’autorité et le soutien de la direction pour prendre des décisions importantes. Cependant, il est essentiel de disposer d’un personnel technique ayant une connaissance pratique de l’architecture du système de contrôle et de l’équipement SCI en place. En fonction du nombre d’installations de votre organisation et de leur emplacement, l’équipe d’intervention peut être centralisée, distribué ou une combinaison des deux.
Détection
Une description des méthodes d’identification des incidents de cybersécurité est requise; elle doit comprendre à la fois des systèmes automatisés (tels qu’un système de détection d’intrusion ou un système d’information de sécurité/gestion d’événement) et l’observation humaine pour détecter un comportement anormal d’un système ou d’un composant. Des méthodes permettant de cerner les défaillances des systèmes automatisés sont également recommandées, car ces systèmes sont des cibles potentielles pour les cyberattaquants.
Classement
Il est nécessaire de définir et de décrire ce que l’on entend par incident de cybersécurité et incident autre. Une organisation peut décider d’avoir différents types ou niveaux d’incidents de cybersécurité, en fonction de leur portée ou de leur impact. Cela permettra d’échelonner correctement les ressources et les efforts de mobilisation requis pour y répondre, et de hiérarchiser les interventions en présence d’incidents multiples.
Notification
Des procédures doivent être établies pour aviser les membres de l’équipe d’intervention en cas d’incident et les organismes externes concernés, tels que les fournisseurs, les organismes d’application de la loi ou les organismes gouvernementaux de sécurité. Toutes les coordonnées pertinentes doivent être incluses (numéro de téléphone, adresse courriel, etc.).
Intervention
Des procédures détaillées doivent être élaborées pour chaque catégorie d’incident de sécurité, indiquant comment contenir l’attaque, éradiquer le danger et rétablir le fonctionnement normal. La conservation des données devrait être incluse à l’appui des analyses criminalistiques futures, des leçons apprises et des poursuites judiciaires. Les situations d’urgence, telles que l’exploitation sans interruption, les intervenants indisponibles et les pannes d’électricité ou de communications, devraient être prises en compte.
Une fois votre plan d’intervention en cas d’incident en place, il sera important :
- De veiller à ce que tous les intervenants désignés soient formés et connaissent leurs responsabilités.
- De maintenir le plan à jour. Les intervenants désignés peuvent changer de rôle ou quitter l’organisation et, dans ce cas, ils doivent être rapidement remplacés. Les coordonnées peuvent changer, et les listes de contacts devront être mises à jour sans tarder. Les technologies ou systèmes automatisés peuvent être mis à niveau ou remplacés, et les procédures d’intervention doivent alors être mises à jour.
- De mettre le plan en pratique de façon régulière. Toutes les leçons apprises devraient être documentées et intégrées au plan. Si le plan est mis à jour, il faut s’assurer qu’il est distribué à tous les intervenants désignés.
Pour conclure
Les incidents de cybersécurité des SCI peuvent mener à des incidents physiques ou entraver les processus de sécurité. Il faut donc envisager de tirer parti des structures et des approches organisationnelles existantes d’intervention en cas d’incident; par exemple en intégrant l’intervention lors d’incidents de cybersécurité des SCI aux plans sur les processus matériels et sur les interventions en cas d’incident de sécurité.
Si votre organisation a besoin d’aide pour mettre en place un nouveau plan d’intervention en cas d’incident ou pour réviser un plan existant, n’hésitez pas à communiquer avec nous pour en discuter.