Comment Prosys OPC UA Forge permet de répondre aux obligations de NIS2

La cybersécurité industrielle évolue : d’une simple recommandation de « bonnes pratiques », elle devient un cadre juridique que les entreprises disposant d’infrastructures critiques et d’opérations de production doivent respecter. En particulier, la directive européenne sur la sécurité des réseaux et de l’information 2 (Network and Information Security 2 – NIS2) introduit un ensemble d’exigences de sécurité que les organisations ne peuvent plus ignorer.

Pour la plupart des entreprises industrielles, la principale difficulté pour se conformer à ces exigences ne réside pas dans la compréhension de la directive, mais dans la mise en œuvre de l’architecture technique nécessaire pour répondre à leurs besoins dans des environnements industriels existants.

NIS2 s’applique aux entités essentielles et importantes, selon leur effectif ou leur chiffre d’affaires annuel :

• Les entités essentielles, employant au moins 250 personnes ou ayant un chiffre d’affaires annuel supérieur à 50 millions d’euros et un bilan annuel supérieur à 43 millions d’euros ;
• Les entités importantes, si elles ne sont pas entités essentielles et employant au moins 50 personnes ou ayant un chiffre d’affaires et un bilan annuel supérieur à 10 millions d’euros.

Outre les infrastructures critiques traditionnelles (énergie, eau, transports), elle couvre un large éventail d’entreprises de 18 secteurs, notamment les secteurs manufacturiers suivants :

• Agroalimentaire
• Chimie
• Électronique
• Machines
• Pharmaceutique et médical
• Équipements de transport

Si la date limite de mise en conformité complète avant sanction est à fin 2027, dès à présent, les entités doivent se déclarer auprès de l’ANSSI (voir ci-après). Les sanctions vont de 7 à 10 millions d’euros d’amende ou de 1,4 à 2% du CA annuel, la responsabilité personnelle des dirigeants pourra être engagée.

NIS2 implique 3 obligations majeures :

• L’enregistrement auprès de l’ANSSI
• La gestion des risques par la mise en place de mesures juridiques, techniques et organisationnelles.
• La déclaration des incidents de sécurité auprès de l’ANSSI.

Par conséquent, l’exigence fondamentale de NIS2 est l’adoption d’un modèle fondé sur les risques (article 21), imposant aux organisations de mettre en œuvre des mesures de prévention, de détection et de gestion des incidents. Dans les environnements OT, cela signifie que les entreprises doivent segmenter leur réseau, sécuriser leurs communications et appliquer un contrôle d’accès strict.

NIS2 couvre tous les aspects de la gouvernance au signalement des incidents. Prosys OPC UA Forge n’est pas une solution miracle pour l’ensemble de la directive, mais résout le défi technique le plus complexe : l’échange sécurisé de données entre les réseaux OT et IT.

Bien que NIS2 encourage fortement l’utilisation du chiffrement et de l’authentification sécurisée, la quasi-totalité des protocoles industriels transmettent les données en clair, sans aucune protection.

Prosys OPC UA Forge agit comme une couche d’intégration sécurisée. Il se connecte aux équipements existants via leurs protocoles natifs et convertit ces données au format OPC UA. OPC UA offre de nombreuses améliorations de sécurité par rapport aux protocoles existants, notamment :

• Communication chiffrée
• Signature des messages et authentification des applications
• Gestion de la confiance par certificat
• Contrôle d’accès basé sur les rôles
• Journalisation des audits
• + de nombreuses autres fonctionnalités de sécurité

Grâce à l’utilisation conjointe de Forge et de la segmentation du réseau, toutes les données quittant le réseau OT sont entièrement sécurisées et authentifiées, conformément aux exigences de NIS2 en matière d’intégrité des données.

Bien que Forge sécurise les transferts de données, la conformité totale exige des mesures organisationnelles supplémentaires. Les organisations doivent également prendre en compte les points suivants :

• Accès distant sécurisé : utiliser, par exemple, des postes de test gérés par le service informatique pour toute intervention d’ingénierie et de maintenance sur les ressources OT.
• Réponse aux incidents : NIS2 exige que les « incidents importants » soient signalés dans les 24 heures. Cela nécessite des processus internes pour la détection et l’escalade des incidents de sécurité.
• Sécurité de la chaîne d’approvisionnement : les organisations doivent évaluer le niveau de sécurité de leurs fournisseurs de logiciels et de matériels et l’intégrer à leur gestion des risques.
• Cybersécurité : mettre en place des processus clairs et conformes aux bonnes pratiques pour les politiques de sécurité de base, telles que les politiques de mots de passe, la gestion des correctifs et la formation du personnel.

NIS2 représente un changement majeur dans la sécurité industrielle pour les milliers d’entreprises concernées : des mesures organisationnelles doivent être mises en œuvre mais aussi des architectures techniques repensées.

En utilisant Prosys OPC UA Forge, plateforme de DataOps industrielle sécurisée, comme passerelle de sécurité entre les systèmes OT et les systèmes IT, vous pouvez réduire considérablement votre surface d’attaque tout en poursuivant votre transformation numérique grâce à ses fonctions de traitement avancé pour l’intégration des données.

—

Article original publié par Prosys OPC Ltd : Securing Industrial Networks for NIS2: How Prosys OPC UA Forge Solves the Connectivity