Tribune
Clap de fin sur 2024, place à 2025
Lire la suite
Inscription à la newsletter
Systèmes SCADA et conformité NIS2
Article d'expert
Qu’en est-il de la conformité NIS2 (ou NIS1) lorsque le SI inclut un logiciel SCADA ? AREAL répond à quatre questions essentielles que vous pourriez vous poser !
Tous les acronymes utilisés dans cet article sont expliqués à la fin de celui-ci
Faudra-t-il utiliser une solution SCADA certifiée pour être conforme NIS2 (ou NIS1) ?
NON
L’ANSSI recommande d’utiliser une solution certifiée, mais cela n’est pas une obligation. Les SI de certains opérateurs OIV sont déjà conformes NIS1 en utilisant une solution de supervision industrielle non certifiée CSPN, telle que Topkapi à l’heure actuelle.
L’utilisation d’un SCADA certifié CSPN sera-t-elle une garantie d’être protégé contre les cyberattaques ?
NON
Tout d’abord, il faut respecter scrupuleusement les conditions de mise en œuvre cyber préconisées par l’éditeur de la solution SCADA choisie ; conditions souvent très contraignantes.
Ensuite, il faut déployer l’architecture (TOE) de l’éditeur qui a permis la certification. Pour les deux solutions certifiées à ce jour vous ne pourrez pas, par exemple, utiliser de clients Web au sein de votre architecture (ou sinon la certification CSPN n’aura plus de sens), utiliser les outils de paramétrage de la solution au sein de la TOE, ou encore utiliser le protocole de communication de votre choix. Dans ce dernier cas, pour l’une des solutions certifiées, seul le protocole de communication pour l’acquisition de données OPC UA fait partie de la cible de sécurité. Et pour l’autre, aucun protocole n’est spécifié !
Les architectures certifiées sont donc en général très éloignées des besoins terrain des entités… Nous vous invitons à consulter les TOE des éditeurs pour vous en rendre compte : elles sont publiques.
Au final, c’est l’ensemble de votre SI qui doit être conforme. Le logiciel SCADA n’est en général qu’un petit composant de ce dernier et n’est pas ciblé spécifiquement par NIS2. Il faut donc surtout s’assurer que les mécanismes de sécurité implémentés dans votre solution SCADA respectent les recommandations de l’ANSSI. Aujourd’hui, en attendant la finalisation de la transcription NIS2 en droit français par l’ANSSI, les 20 exigences de sécurité de la LPM peuvent servir de référentiel.
Plus d'infos sur NIS2
La directive européenne NIS2 parue en janvier 2023 est en cours de transcription en droit français par l’ANSSI. Les travaux ne sont pas encore finalisés à la date d’écriture de cet article.
Cette directive vise à amener les Entités Importantes et Essentielles (société privées ou publiques) à renforcer leur résilience contre les cyberattaques pour assurer leur continuité de service. Elle élargit fortement le nombre de sociétés ciblées par NIS1 (environ 500 OIV ou OSE) pour le porter à 15 000 selon les premiers chiffres fournis. L’objectif est que ces nouvelles sociétés ciblées protègent leur SI contre les menaces systémiques. Selon l’ANSSI, Il faudra au moins trois ans pour parvenir au résultat souhaité.
AREAL travaille-t-elle à la certification CSPN de sa solution SCADA Topkapi ?
OUI
AREAL est mobilisée depuis de nombreuses années sur le sujet. Le travail est long et coûteux, les exigences de l’ANSSI se durcissent de mois en mois. C’est donc un travail de fond qui mobilise beaucoup de nos ressources de développement et qui se concrétise en matière d’évolutions cyber dans les versions que nous proposons d’année en année (Cf. fiche nouveautés V6.3). Donner une date de certification est prématuré aujourd’hui. Mais sachez que les mécanismes de sécurité intégrés à Topkapi sont (ou seront à court terme) conformes aux recommandations les plus strictes de l'ANSSI.
La directive NIS2 préconisera-t-elle de travailler avec des éditeurs de logiciel dits de confiance en matière de cybersécurité ?
OUI
Vos partenaires ou fournisseurs devront montrer ou prouver leur engagement en matière de cybersécurité tant pour l’entreprise elle-même, que pour les solutions proposées. C’est pour cela qu’AREAL s’est engagée fortement depuis 2014 sur les chemins de la sécurité et vise à court terme une certification ISO 27001 de l’entreprise et ensuite une certification CSPN pour Topkapi.
Lexique cybersécurité
NIS : Network and Information System Security En savoir plus >>
ANSSI : Agence nationale de la Sécurité des Systèmes d’Information En savoir plus >>
OIV : Opérateur d’Importance Vitale
OSE : Opérateur de Service Essentiel
SI : Système d’Information
Menaces systémiques : ce sont en général ‘’les attaques à but lucratif visent à générer un gain financier de façon directe ou indirecte. Elles sont le plus souvent réalisées par des groupes de cybercriminels organisés. La cybercriminalité affecte un large panel d’entités qui se voient ciblées souvent de manière opportuniste par les attaquants’’
TOE : Target Of Evaluation (architecture cible de certification)
CSPN : Certification de Sécurité de Premier Niveau (la seule certification existante pour les systèmes SCADA)
LPM : Loi de Programmation Militaire
