blog

Questions-réponses sur la cybersécurité dans les systèmes de surveillance GxP

Cybersécurité dans les systèmes de surveillance GxP
Sciences de la vie
Bienvenue à une nouvelle session de questions et réponses sur le webinaire : « Cybersécurité dans votre système de surveillance GxP. » Dans cette vidéo, Paul Daniel, notre expert senior en réglementation GxP, répond aux questions restées en suspens pendant le webinaire. Si vous n'avez pas pu assister au webinaire en direct, vous pouvez le visualiser maintenant. 
 
Si vous avez d'autres questions, postez-les dans la partie Commentaire située sous la transcription de la vidéo.

[00:00:05] Bonjour et bienvenue sur un autre blog vidéo de Vaisala. Le blog d'aujourd'hui répond aux questions que nous avons reçues lors d'un récent webinaire : « Cybersécurité dans votre système de surveillance GxP ».
 
Bienvenue à la session dirigée par notre expert senior en réglementation, Paul Daniel ([email protected]).
 
Première question :
 
« Je dois accéder à de nombreux systèmes différents, et chaque système a son propre mot de passe. Puis-je utiliser un gestionnaire de mots de passe pour gérer mes mots de passe dans une installation conforme aux BPF ? »
Paul : Les gestionnaires de mots de passe sont très pratiques et je les utilise personnellement. Ceci me permet d'avoir des mots de passe complexes et sécurisés pour tous mes comptes en ligne. Et je ne dois mémoriser qu'un seul mot de passe pour accéder au gestionnaire. Mais je n'ai pas vraiment pensé à l'utiliser sur mon lieu de travail car la plupart de nos systèmes sont à authentification unique (SSO) ou utilisent Active Directory. Je suppose que si vous étiez dans une grande entreprise, vous utiliseriez aussi l'authentification unique, sans avoir différents mots de passe en tête. Cette situation peut apparaître dans les petites entreprises. Au niveau de la conception, je ne vois rien qui s'oppose à l'utilisation d'un gestionnaire de mots de passe pour quatre mots de passe BPF, si vous respectez les conditions suivantes :
 
  • Vous répondez aux exigences de complexité des mots de passe.
  • Les mots de passe sont uniques
  • Vous ne les notez pas sur un papier
Étant donné que les mots de passe sont enregistrés virtuellement dans votre gestionnaire de mots de passe, qui est un environnement protégé par un mot de passe complexe, vous remplissez les exigences BPF. Cependant, il peut y avoir ici un problème de logistique car votre gestionnaire de mots de passe devra être installé sur votre poste de travail. Cela pourrait être contraire aux réglementations de l'entreprise. Le plus sûr est probablement de soumettre votre idée aux groupes d'assurance qualité et informatiques de votre entreprise et de voir leurs réactions.
 
Question suivante :
 
« Le risque d'être piraté augmente-t-il dans un système de surveillance basé sur cloud ? La sécurité est-elle mieux garantie dans le cloud ? »
Paul : C'est une question importante car il y a tellement de [types] de clouds qu'il est difficile de savoir par où commencer. En règle générale, la sécurité sera meilleure dans le cloud. Pour ne pas aller trop loin, disons que nous parlons de logiciel en tant que service (SaaS), votre application est alors exécutée sur un cloud public comme Microsoft Azure ou Amazon Web Services (AWS).
 
D'une part, il y a moins de risque car une bonne partie de l'infrastructure et de la programmation provient directement d'Amazon ou de Microsoft. Ils ont davantage de ressources, d'expérience et de compétences que le service informatique moyen, en particulier en matière de sécurité.
 
D'autre part, le risque restera le même car vous devez toujours faire en sorte que votre propre implémentation de l'outil cloud soit sûre et sécurisée. Au final, vous devez respecter les quatre mesures de sécurité élémentaires qui sont décrites dans le webinaire :
 
  • Respect des bonnes pratiques concernant les mots de passe
  • Mise en place des fonctionnalités de sécurité exigeantes des fournisseurs dans vos documents relatant les exigences posées aux utilisateurs
  • Sélection et audit de fournisseurs compétents
  • Respect des bonnes pratiques en matière de sauvegarde, de récupération et de contrôle
Dans l'ensemble, un service cloud vous procure la sécurité nécessaire, mais vous devez continuer à respecter les bonnes pratiques. Maintenant, si nous parlons d'un cloud limité à l'infrastructure en tant que service, vous restez responsable du déploiement de votre serveur et de tout ce qui s'y rapporte. Dans ce cas, vous encourez davantage de risques qu'avec le SaaS, mais cette solution est probablement plus sûre qu'un système à serveur traditionnel.
 
Question suivante :
 
« L'Internet des objets industriel (IIoT) rend les gens nerveux parce qu'il fait sauter les systèmes aux niveaux supérieurs du modèle Purdue, au niveau 2 relié directement à Internet. Que dois-je faire pour me mettre à l'aise avec l'IIoT ? »
Paul : Si vous êtes dans mon cas et que vous venez d'entendre parler des modèles Purdue, vous pensez certainement, qu'est-ce que c'est ? Fondamentalement, l'architecture de référence d'entreprise Purdue (PERA) est un moyen de comprendre et de contrôler le système industriel en séparant les parties de la couche. Le niveau deux englobe les contrôleurs et les capteurs qui sont placés par exemple sur votre ligne de production. L'Internet est à un niveau beaucoup plus élevé, au niveau cinq. Donc, cette question se résume à dire : « Si j'utilise l'IIoT et que je monte davantage de capteurs sur la ligne de production, dois-je ouvrir un portail entre Internet et ma ligne de production ? »
 
Je dois dire que je suis d'accord que cela semble risqué. Notre webinaire portait sur la manière de défendre un système à serveur complexe contre les cyberattaques. Dans notre propre logiciel - le système de surveillance continue viewLinc - nous avons beaucoup de correctifs connus, de ressources pour corriger facilement les erreurs.
 
Mais avec IIoT, vous avez peut-être affaire à de nombreux périphériques tiers sans grandes ressources pour les contrôles de sécurité ou l'évolutivité. Je reconnais que nous exposons ces périphériques à des attaques potentielles sur Internet. Je ne pense pas que je puisse dire quoi que ce soit qui vous mettra à l'aise, car je ne suis pas à l'aise avec l'IIoT. Tant qu'il n'existe pas de procédures de sécurité normalisées pour les périphériques IoT, je pense qu'il y a tout simplement trop de risques. Je suis pour le multiplexage. Nous pouvons améliorer la productivité grâce à l'interconnexion dans un réseau privé, mais je me méfie de l'intégration d'appareils industriels critiques à Internet.
 
Nul doute que dans les années à venir, nous verrons d'autres progrès dans ce domaine. Il a fallu plus de 30 ans à la sécurité Internet pour en arriver là où elle en est aujourd'hui. La sécurité IIoT a juste besoin d'un peu de temps pour rattraper son retard.
 
Dernière question :
 
« Est-ce que Vaisala charge des entreprises de sécurité de contrôler viewLinc à la recherche de problèmes spéciaux, ou offre-t-elle des primes pour les bogues trouvés ? »
Paul : Non. Vaisala n'a pris aucune disposition pour les bogues trouvés dans nos systèmes. Et oui, nous recourons aux services de cabinets de conseil en sécurité pour contrôler nos systèmes afin de nous aider à identifier les faiblesses et à améliorer nos logiciels. Notre dernière série de mises à jour de la sécurité était basée sur quatre problèmes spécifiques que nous avons découverts grâce au soutien d'une société de conseil en sécurité. Je ne dirais pas que nous cherchions des exploits, mais un moyen d'améliorer notre logiciel. Je pense qu'il est incorrect de dire que nous les aurions embauchés pour trouver des exploits.

Conclusion : Merci à tous ceux qui se sont joints à nous pour le webinaire en direct. Si vous visualisez le webinaire enregistré et avez des questions, veuillez envoyer un courriel à Paul ou saisir vos commentaires dans les champs ci-dessous.
Pour en savoir plus sur les mises à jour de sécurité dans viewLinc 5.1, cliquez ici.
 
 

Technologie de mesure à l'épreuve de l'espace

Comment vos processus de mesure et de surveillance GxP bénéficient-ils de la technologie à l'épreuve de l'espace de Vaisala ? En savoir plus sur les solutions Vaisala dans le programme d'exploration de Mars de la NASA.

Visualiser maintenant

 

Ajouter un nouveau commentaire