Développer une méthodologie pour contenir les risques de cybersécurité chez un fabricant de pièces de camion

Le contexte

Pour ce projet, qui concerne une multinationale fabriquant des pièces de camion, Eraneos a été engagé pour aider à créer une méthodologie et un processus définis pour l’exécution d’une évaluation des risques structurée et comparable en matière de cybersécurité. 
 
Le problème était que l’organisation possédait une gamme très variée d’appareils de technologie opérationnelle (OT), utilisés sur sa chaîne de production automobile. Son réseau comptait environ 10 000 appareils et plus de 20 lignes pour une seule usine. 
  

L’approche

Nous avons commencé par planifier et créer un process de risk management (RM) couvrant toutes les étapes de ce domaine. Nous avons aussi développé une méthodologie permettant une évaluation holistique des risques de l’atelier. Cette méthodologie se base sur un modèle. Elle est axée sur l’exécutabilité et l’optimisation des ressources, tout en produisant des résultats comparables. 
 
Dans le même temps, nous avons introduit des critères communs basés sur des scénarios de risque pré-évalués, comprenant notamment un chemin d’attaque et un catalogue de contrôle. Cela a permis de simplifier l’exécution de l’évaluation des risques. Enfin, nous avons créé un registre des risques, utilisé pour visualiser une carte des risques. 

Le résultat

Pour mener à bien ce projet, Eraneos a créé une approche sur mesure IEC62443 permettant à l’équipementier poids lourd de modéliser les risques de manière comparable (ISO 15408). L’impact concret, ici, tient au fait que le fabricant dispose à présent d’un prix réel en utilisant un flux de valeur. 
 
Un autre résultat qui doit être salué est le fait que la zone de production de l’entreprise est désormais hautement rationalisée et organisée en flux de valeur, suite à son approvisionnement en matériel de traction, ce qui laisse peu de place aux interruptions de production causées par des cyberattaques.