Cybersécurité pour les manufacturiers - Par où commencer ?
Que l’on parle d'hameçonnage ou de fraude du Président, d'une attaque relativement courante (mais très grave) de rançongiciel, d’un piratage complexe de la chaîne d'approvisionnement comme Solarwinds ou d’un piratage drastique de type Stuxnet (qui visait les contrôleurs SCADA iraniens contrôlant les centrifugeuses pour le traitement de l'uranium), les manufacturiers sont quotidiennement confrontés à des risques de cyberattaques graves et bien particuliers.
En d’autres mots, cela signifie que vous faites face à des enjeux importants dans vos chaînes de production automatisées. À savoir, toute la robotique, les systèmes de stockage, à travers toutes les interconnexions qui vous relient à votre chaîne d'approvisionnement et à votre chaîne de distribution - c'est la réalité de l'industrie 4.0. Les frontières entre les technologies de l'information (TI) et les technologies opérationnelles (OT) s'estompent.
Alors, ça vous inquiète, n'est-ce pas ? Les risques sont réels et faire l’autruche n'est pas une bonne solution. La bonne nouvelle, c'est qu'il existe des mesures bien précises que vous pouvez prendre pour réduire les risques, maximiser la résilience et minimiser les impacts.
Arrêtez. Pensez. Agissez.
Dans cet article, nous nous concentrerons sur les deux premières actions que vous devez poser une fois que vous avez réalisé que votre cybersécurité n'est pas à niveau. Vous pensez peut-être que la première chose à faire est d'appeler certains fournisseurs et d'acheter des logiciels de sécurité. Bien que ce soit un élément essentiel de l'équation, ce n'est pas la première chose à faire. Pour la plupart des organisations, si vous ne l'avez pas fait l'année dernière, les deux premières étapes consistent à réaliser un audit et, en fonction des résultats de cet audit, créer un plan d'actions hiérarchisées. Et peut-être même une autre chose que nous mentionnerons directement ci-bas.
On ne vous le dira jamais assez : Selon un récent article sur ZDNet, 33 % des intrusions sont dues à des vulnérabilités non corrigées et seulement 50 % des entreprises interrogées ont appliqué tous les correctifs dans un délai d'une semaine. Une autre enquête récente du Ponemon Institute a révélé que 57% des organisations ont répondu que le piratage était dû à des vulnérabilités dans des logiciels non patchés. Pire encore, 34% ont admis avoir eu connaissance de l'existence de logiciels non patchés avant que le piratage n'ait lieu. Si vous n’appliquez pas les correctifs de sécurité à vos logiciels, aucune mesure de cybersécurité ne pourra vous aider. Voilà, c’est dit. |
Dresser un bilan . Effectuer un audit de sécurité
Avant d'essayer de trouver de nouvelles technologies, de constituer un SOC ou d'engager un fournisseur MSSP, vous devez comprendre votre posture actuelle en matière de cybersécurité. Un audit comprenant une analyse des risques de sécurité est essentiel. Analyser et documenter les facteurs tels que les politiques de sécurité de l'entreprise, le matériel informatique, les logiciels, les systèmes dans le cloud et les applications SAAS. Vous devez également avoir une vue d'ensemble des données que vous détenez et de leur degré de sensibilité.
Pour commencer, constituez une équipe d'audit pour la réalisation de celui-ci et ensuite, présentez-le à la haute direction. Si vous ne disposez pas de l'expertise nécessaire à l’interne, vous devrez peut-être trouver un consultant externe pour vous donner un coup de main. Pour vous aider à démarrer, nous avons élaboré un gabarit d'audit express spécialement destiné aux manufacturiers. Vous pouvez la télécharger ici.
À faire
Veillez à ce que votre audit inclut les services informatiques, les OT et tout autre service ayant un lien avec la cybersécurité (par exemple, la conformité).
À ne pas faire
Ne travaillez pas en silo. Vous devez avoir un aperçu global de votre situation actuelle en matière de cybersécurité. Cela sera essentiel au moment de formuler des recommandations et de créer un plan de sécurité.
Préparer un plan de match. Créer un plan d'action.
Une fois votre audit terminé, dressez un plan d'action et hiérarchisez les initiatives que vous devez prendre pour améliorer votre posture de sécurité. Vous pensez qu’il est finalement le temps d'acheter un logiciel de sécurité? Après tout, vos chaînes de production sont menacées, votre réseau de distribution est peut-être mal protégé et vos précieux secrets commerciaux peuvent être vulnérables. Mais attendez. Il y a encore une autre étape à franchir d’abord. Si des années d'expérience pratique en matière de cybersécurité nous ont appris une chose, c'est qu'il vous faut un plan avant de commencer à investir dans la technologie, le personnel de cybersécurité ou les services.
Hiérarchiser
Lorsque vous commencerez votre processus de planification, souvenez-vous de ce dicton : quand tout est prioritaire, rien n'est prioritaire. Hiérarchiser le tout vous permettra de construire un calendrier réaliste. Votre audit vous aura permis d’identifier vos facteurs de risque et de définir les initiatives qui s'attaquent à ceux-ci. Établissez un ordre de priorité pour ces initiatives. De ce fait, votre plan doit couvrir les résultats de votre audit ainsi que des facteurs suivants : les besoins en nouvelles technologies de sécurité (pour l'informatique et l'OT), la gestion des données/gouvernance, la sensibilisation des employés face à la cybersécurité, les bonnes pratiques, ainsi que la réponse aux incidents et la relance des activités. Là encore, n'oubliez pas que vous devez adopter une vue d'ensemble de votre processus de planification, car les pirates informatiques ne respectent pas les silos.
Faites vite. Laissez les détails pour plus tard.
Vous devez prévoir 2 à 3 semaines pour élaborer votre plan - un délai plus long vous fera perdre votre élan. Comme le processus de planification est sensible au temps, il faut donc en tenir compte. N’oubliez pas, si vous avez besoin d'une expertise extérieure, faites appel à un spécialiste. Le calendrier peut sembler insensé pour quelque chose d'aussi important, mais votre plan d'action initial est comme une feuille de route. Il guide votre prise de décision. Au fur et à mesure de la mise en œuvre de votre plan, vous pouvez vous écarter de votre itinéraire à mesure que vous obtenez plus d'informations. Mais si vous n'avez pas de plan pour vous guider, comment saurez-vous quelle destination vous voulez atteindre ?
À faire
Créez un plan d'action réaliste qui répond à vos besoins prioritaires. Faites-le rapidement. Présentez-le aux dirigeants et obtenez votre budget le plus rapidement possible. Les pirates n'attendront pas le prochain cycle budgétaire.
À ne pas faire
N’attendez pas d'avoir mis tous les points sur le "I" et les barres sur les "T". Vous ne pouvez pas tout savoir ni prévoir toutes les éventualités. Votre plan évoluera à mesure que vous le mettrez en œuvre.
Prochaines étapes
Une fois que vous avez élaboré votre plan, les prochaines étapes consistent à protéger votre réseau, à mettre en œuvre de bonnes pratiques de sécurité et à mettre en place de solides pratiques de gouvernance des données afin de minimiser vos risques. Si vous souhaitez obtenir plus de détails sur ces prochaines étapes et obtenir de l'aide pour réfléchir à la manière de budgétiser toutes ces exigences, vous pouvez télécharger notre document intitulé "Priorités en cybersécurité et plan budgétaire pour les PME”.
Besoin d'aide ? StreamScan est là.
Que vous ayez besoin d'aide pour mener un audit de sécurité, élaborer un plan de sécurité ou mettre en œuvre une solution de Détection et Réponse Gérées (MDR), StreamScan dispose d'experts ayant des années d'expérience dans le secteur manufacturier qui peuvent vous aider. Contactez-nous à l'adresse securitepme@streamscan.ai ou appelez-nous au 1 877 208-9040.