La cybersécurité dans les installations industrielles avec l'IIoT

Lorsqu'une solution IIoT est mise en œuvre dans une installation industrielle, elle contient des données sensibles qui exigent un degré de protection particulier. En outre, la connectivité à Internet requiert une attention et une vigilance permanentes. La technologie connaît des progrès très rapides et chaque système doit suivre continuellement l'évolution de la cybersécurité – dans une installation industrielle tout comme dans un autre environnement.

Une gestion fiable de la sécurité de l'information implique non seulement le cryptage des données, mais aussi une approche globale incluant :

• Conformité à la législation et aux normes : les directives légales pertinentes et les normes recommandées doivent être respectées (p. ex. ISO 27001, ISO 27017, RGPD, etc.).
• Sécurité des données : il est évident qu'une solution IIoT contiendra des données sensibles. Celles-ci doivent être traitées avec soin, selon des processus stricts.
• Emplacements des serveurs : chaque fois que la technologie du cloud computing est utilisée, les données sont stockées sur des serveurs hébergés par le fournisseur. En raison de la juridiction locale, l'emplacement des serveurs implique un niveau de cybersécurité plus ou moins élevé. Les sites européens offrent les normes les plus strictes grâce à la législation sur la confidentialité des données.
• Processus organisationnels : la cybersécurité n'est pas possible sans déploiement de processus organisationnels définissant les données traitées, le responsable, le mode et le moment de leur traitement.
• Transparence : les fournisseurs de solutions numériques dignes de confiance ont un système d'assistance clair et transparent qui indique au client le statut de sa demande à tout moment.
• Fonctionnalités de l'application : toutes les exigences des normes ISO 27001 et ISO 27017 ont été mises en œuvre par Endress+Hauser. Au total, 121 mesures couvrent l'ensemble des activités de l'entreprise. Elles sont surveillées en permanence et mises à jour chaque fois que nécessaire.

Pour fournir une technologie IIoT, tous ces points doivent être pris en compte, mis en œuvre et vérifiés régulièrement. Les cadres d'audit et de normalisation déjà en place, les lois ainsi que les meilleures pratiques peuvent offrir un soutien pratique durant la mise en œuvre.

Endress+Hauser a soumis son écosystème IIoT Netilion à l'évaluation d'organismes de certification tiers et prouvé ainsi qu'il répond à des normes strictes en matière de sécurité de l'information. Dès le départ, les critères relatifs à la gestion de la sécurité de l'information ont bénéficié de la plus grande attention. Ils servent de ligne directrice utile pour mettre en œuvre les services numériques et pour assurer une bonne cybersécurité dans l'industrie.

• Conformité à la législation et aux normes : en établissant une gestion professionnelle de la sécurité de l'information au moyen des technologies IIoT, Endress+Hauser a obtenu les certifications suivantes pour la gestion de Netilion :
• ISO 27001 Management de la sécurité de l'information
• ISO 27017 Code de pratique pour la sécurité de l'information pour les services du nuage
• ISO 9001 Système de management de la qualité
• Sécurité des données : les données des clients stockées et traitées dans l'écosystème Netilion sont toujours gérées avec le plus grand soin. Les utilisateurs ont le droit de saisir, consulter, mettre à jour et supprimer leurs données. Toutes les mesures répondent aux exigences du RGPD.
• Emplacements des serveurs : les serveurs sur lesquels est basé l'écosystème Netilion se trouvent à Francfort et à Dublin. En termes de cybersécurité, les serveurs situés dans l'Union européenne sont considérés comme très sûrs.
• Processus organisationnels : Endress+Hauser a établi des processus, tous conformes au RGPD, pour réagir rapidement en cas d'urgence liée à la sécurité des données. Les parties concernées seront immédiatement informées et des contre-mesures seront déployées.
• Transparence : Endress+Hauser a mis en place un processus d'assistance transparent qui fournit au client des informations claires concernant la manière dont sa demande est traitée.
• Fonctionnalités de l'application : l'interface utilisateur de l'écosystème IIoT Netilion dispose de toutes les fonctionnalités nécessaires, dont des règles de pointe pour la définition des mots de passe, une gestion automatisée des mots de passe, une déconnexion temporisée et des fonctions d'exportation.

L'écosystème Netilion couvre un certain nombre de critères considérés comme essentiels pour une gestion professionnelle de la sécurité de l'information :

• Cryptage des informations sensibles : l'écosystème IIoT Netilion d'Endress+Hauser assure une protection professionnelle de l'information :
• Les mots de passe sont cryptés avec « bcrypt + sel + poivre ».
• L'identification des utilisateurs fonctionne avec des procédures tokenisées compatibles OAuth2.
• La communication est cryptée en https.
• Transfert des données de process via des passerelles : étant donné qu'elle est le point d'accès, la passerelle requiert la plus grande attention en matière de cybersécurité dans les installations industrielles. Les passerelles compatibles Netilion mettent en œuvre une communication unidirectionnelle : les données de terrain sont transmises par la passerelle et envoyées sur le cloud, mais la communication dans l'autre sens est interdite. Cette architecture a pour but de protéger le terrain contre toute manipulation.
• Certification : un organisme de certification tiers a confirmé que l'écosystème IIoT Netilion répond aux exigences de la norme ISO 27017. Cette norme internationale contient des exigences s'appliquant aux plates-formes de cloud. Grâce à la conformité aux exigences de la norme ISO 27017, les clients peuvent faire confiance à l'écosystème Netilion pour stocker leurs données en lieu sûr. De plus, Endress+Hauser Digital Solutions, la société chargée du développement de l'écosystème IIoT Netilion, a obtenu la certification ISO 27001 pour la sécurité de l'information.