La cybersécurité dès la conception
Les compagnies d’électricité doivent être de plus en plus attentives à la cybersécurité, car le risque de pannes d’électricité est omniprésent. Des problèmes récents ont montré la rapidité avec laquelle de telles perturbations peuvent se produire, ce qui a incité les autorités réglementaires à exercer une pression croissante pour résoudre ce souci. Toutefois, la sécurité est un processus progressif, dont chaque étape mène à un objectif final.
Les équipements de test de protection, par exemple, constituent un vecteur d’attaque potentiel. Si un attaquant détourne l’équipement, il peut produire des tensions ou des courants susceptibles d’endommager les composants actifs du poste et de provoquer une panne de courant. En outre, si un logiciel malveillant infecte l’équipement d’un prestataire de services, il peut facilement être transféré d’un poste A à un poste B, un peu comme s’il se propageait via une clé USB. Bien qu’il s’agisse du scénario d’attaque le plus probable, ce n’est qu’une des nombreuses menaces possibles.
Nous avons mis en place toute une série de mesures de protection dans le CMC 500 pour protéger les infrastructures critiques. Comme pour tout système de sécurité, c’est toujours le maillon le plus faible de la chaîne qui définit le niveau de cybersécurité. C’est comme si vous aviez un grand portail en fer devant votre maison alors que le reste de votre propriété n’est sécurisé que par une haie basse. Une cybersécurité efficace implique de remédier à toutes les vulnérabilités connues.
Pour répondre aux besoins de nos clients, nous avons procédé à une analyse approfondie des menaces et des risques, en identifiant et en évaluant d’autres scénarios d’attaque potentiels. Nous avons adopté une approche de « boîte blanche », en supposant que les attaquants pourraient connaître certaines informations du système. Cette méthode offre une protection bien plus importante que le seul recours au secret.
Notre stratégie de cybersécurité au sein de l’entreprise est basée sur la « sécurité dès la conception », ce qui nous permet d’élaborer des mesures en suivant des lignes directrices claires. Nous utilisons également le processus SSDLC (cycle de vie de développement de logiciel sécurisé), qui aborde la manière de traiter les vulnérabilités potentielles. Ce processus est d’autant plus important que nous utilisons de nombreux packs à licence libre dans nos logiciels et que, si une licence l’exige, nous publions le code source. Dans le cadre de ce processus, nous recherchons régulièrement des vulnérabilités dans nos produits, déterminons si un code nuisible pourrait être exploité et évaluons ce qui pourrait être compromis en cas d’attaque réussie. Nous mettons ensuite en place des mesures pour atténuer ces risques.
Notre équipe a mis au point une solution qui peut résister à un examen rigoureux, notamment en matière de cybersécurité, et c’est une réalisation dont nous sommes très fiers.
En savoir plus:
1: Parés pour l’avenir? Challenge accepté!
2: La cybersécurité dès la conception
3: La sécurité des utilisateurs ne doit jamais être négligée
4: Avez-vous tout ce qu’il faut?