Cybersécurité des accès tiers

Les accès de tiers aux réseaux industriels sont fréquents et répondent aux besoins

opérationnels pour la maintenance, la supervision et le diagnostic. Ils permettent d’optimiser

les processus industriels, d’anticiper des actions de maintenance et/ou d’éviter

des déplacements physiques. Dans certains cas ils peuvent même conditionner l’accès

à un service commercial (cas de la maintenance obligatoire du fournisseur de solutions)

ou être réglementaires. Les aspects économiques restent en général une motivation

de premier plan des opérateurs.

Cependant, ces accès peuvent présenter des risques menaçant la sécurité, la sûreté

et la fiabilité des installations industrielles via des intrusions informatiques, l’introduction

de codes malicieux, ou des dénis de service.

Nous ciblons dans ce chapitre en particulier les accès distants de tiers, c’est-à-dire

les accès effectués par du personnel ne dépendant pas de l’opérateur de l’infrastructure

comme c’est par exemple le cas lors d’un fournisseur ou d’un prestataire de service.

Bien qu’ils ne constituent pas la cible, les accès distants effectués par le personnel

de l’opérateur peuvent bénéficier également des éléments de ce chapitre.

Nous décrivons ici les composants d’une architecture typique d’accès tiers, puis,

en lien avec les objectifs de cybersécurité et la gestion des risques, nous proposons

une approche permettant de répondre sur les plans organisationnel et technique. Les

aspects contractuels étant essentiels, les bonnes pratiques du domaine sont exposées

et une check-list pouvant s’intégrer de manière pragmatique dans les usages existants

est proposée. Elle permet de guider le lecteur pour qu’il évalue son besoin (accès permanent

ou temporaire, etc.) et ses contraintes, et puisse formaliser ses exigences.

Le chapitre conclut sur des illustrations de type d’architectures possibles pour

différents cas d’usage.