Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) s’est joint à la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis (É.-U.) et aux autres partenaires étrangers suivants pour publier des conseils en matière de cybersécurité sur les considérations prioritaires dont les propriétaires et les opérateurs de technologies opérationnelles (TO) doivent tenir compte lors de la sélection de produits numériques :
- Department of Energy, É.-U.
- Environmental Protection Agency (EPA), É.-U.
- Federal Bureau of Investigation (FBI), É.-U.
- National Security Agency (NSA), É.-U.
- Transportation Security Administration (TSA), É.-U.
- Australian Signals Directorate’s (ASD) Australian Cyber Security Centre
- Direction générale des réseaux de communication, du contenu et des technologies, Commission européenne
- Office fédéral pour la sécurité en matière de technologies de l’information (BSI), Allemagne
- Centre national de cybersécurité (NCSC-NL), Pays-Bas
- National Cyber Security Centre (NCSC-UK), Royaume-Uni
Les auteures et auteurs de cybermenace peuvent attaquer des produits de TO ayant des vulnérabilités, comme des contrôles d’authentification faibles, des vulnérabilités logicielles partagées et la journalisation limitée. Si votre organisation utilise un produit de TO qui n’a pas été conçu selon les principes de sécurité dès la conception ou qui est touché par ces vulnérabilités communes, il peut être difficile et coûteux de se défendre contre les compromissions.
Le guide conjoint, qui fait partie de la série Secure by Demand de la CISA, vise à conseiller les propriétaires et les opérateurs de TO sur l’intégration de la sécurité dans leurs processus d’acquisition de dispositifs.
Il énonce les éléments de sécurité clés que les produits de TO doivent posséder, surtout les produits d’automatisation industrielle et de système de contrôle. Voici quelques-uns de ces éléments clés :
- gestion de la configuration;
- journalisation dans le produit de base;
- normes ouvertes;
- droits de propriété;
- protection des données;
- sécurisé par défaut;
- communications sécurisées;
- contrôles sécurisés;
- authentification robuste;
- modélisation des menaces;
- gestion des vulnérabilités;
- outillage pour les mises à niveau et les correctifs.
En se procurant des produits munis de ces éléments clés, votre organisation peut atténuer les risques que représentent les cybermenaces actuelles.
Consultez les conseils conjoints « Exiger la sécurité : Considérations prioritaires dont les propriétaires et les opérateurs de technologies opérationnelles doivent tenir compte lors de la sélection de produits numériques » (en anglais seulement).