Politique de sécurité IoT-OT

La Politique de sécurité IoT / OT (P35) établit un ensemble complet d’exigences obligatoires de sécurité de l’information pour le déploiement, l’exploitation, la surveillance et la mise hors service des systèmes de l'Internet des objets (IoT) et des systèmes de technologies opérationnelles (OT) dans l’ensemble de l’organisation. Son objectif principal est d’intégrer ces technologies au système de gestion de la cybersécurité de l’organisation, en assurant une protection robuste contre la compromission, l’usage abusif ou le sabotage de la production. Le champ d’application de cette politique couvre tous les systèmes de l'Internet des objets (IoT) et les systèmes de technologies opérationnelles (OT), qu’ils soient détenus par l’entreprise, loués ou issus de tiers, utilisés dans tout environnement opérationnel, administratif ou de production. Les dispositifs IoT couverts incluent les capteurs environnementaux, les mécanismes de contrôle d'accès, l’éclairage intelligent, les équipements de surveillance et les dispositifs portables, tandis que les systèmes OT vont des automates programmables industriels et du système de supervision et d’acquisition de données (SCADA) / systèmes de contrôle distribués (DCS) aux panneaux d’interface homme-machine (IHM) et contrôleurs de terrain. La politique décrit les exigences pour tous les environnements (sur site, informatique en nuage, dispositifs en périphérie du réseau), les étapes du cycle de vie (conception, approvisionnement, déploiement, exploitation, mise hors service) et les parties prenantes, y compris les utilisateurs internes, les intégrateurs, les fournisseurs tiers et les contractants. Les objectifs clés visent à protéger ces infrastructures contre des menaces telles que le déni de service, l’accès non autorisé, les rançongiciels et l’altération des micrologiciels. La politique impose l’adoption des méthodologies Sécurité dès la conception et Défense en profondeur, en exigeant que tous les déploiements respectent les contrôles standard de base tels que ISO/IEC 27001 et les lignes directrices pertinentes du secteur (IEC 62443, NIST SP 800-82). L’intégration sécurisée avec les opérations de sécurité, y compris l’escalade de la réponse aux incidents, la classification des événements OT critiques pour l’activité et la documentation des procédures interservices, constitue un composant essentiel. Les exigences de gouvernance précisent les configurations de sécurité des équipements (identifiants uniques, certificats liés au matériel, démarrage sécurisé), imposent une segmentation des réseaux stricte entre IT/OT et interdisent les protocoles non sécurisés sauf s’ils sont sécurisés et font l’objet d’une acceptation du risque. La surveillance et la détection des menaces sont continues, avec des activités des équipements et du réseau examinées au moyen d’outils de détection passive spécifiques aux ICS/SCADA, d’ensembles de règles SIEM spécifiques à l’OT, d’inspection approfondie des paquets et de pratiques de conservation des journaux. L’application de correctifs et la validation des micrologiciels signés sont intégrées, et la mise hors service des équipements en fin de vie exige l’effacement des données, la révocation des identifiants d’appareil et la mise à jour de l’inventaire des actifs. La gestion des exceptions et le traitement des risques sont clairement définis pour les systèmes hérités incapables de satisfaire aux exigences, nécessitant une documentation formelle, des contrôles d’atténuation des risques, des sous-réseaux restreints dédiés et la surveillance. La politique est étroitement intégrée aux politiques connexes régissant la gestion des risques, l’inventaire des actifs, la protection des terminaux, la politique de journalisation et de surveillance, la réponse aux incidents et l’audit et conformité. Des revues sont réalisées annuellement ou lors de changements significatifs des systèmes, des fournisseurs ou du paysage des menaces, afin d’assurer un alignement continu avec les exigences réglementaires, contractuelles et opérationnelles. Les mécanismes de mise en application incluent des revues d’audit, des procédures disciplinaires, des sanctions fournisseurs et l’escalade d’actions juridiques en cas de violation réglementaire ou de sabotage.