Les technologies numériques, l’Internet des objets (IdO) et les appareils connectés et intégrés sont désormais répandus dans de nombreux produits et services industriels et commerciaux. Même si leur utilisation vise à accroître les capacités et à réaliser des gains d’efficacité, ces technologies s’accompagnent de nouveaux cyberrisques et risques d’atteinte à la vie privée. Les entreprises et les consommateurs peuvent considérer que les produits et services numériques qu’ils reçoivent ont été conçus en fonction de considérations relatives à la sécurité et qu’ils ont été soumis à des essais de sécurité et à des évaluations. Cependant, en l’absence d’exigences réglementaires claires et uniformes, ces principes ne sont pas toujours appliqués avec constance ou, pire encore, ils peuvent ne pas être appliqués du tout. Cela fait en sorte que les organisations et les personnes sont exposées à des logiciels malveillants et à des cyberattaques, souvent avec des effets dévastateurs sur des entreprises et des infrastructures critiques.

Même si certaines organisations ont créé un cadre de sécurité élémentaire pour renforcer la cybersécurité de leurs systèmes, de leurs pratiques et de leurs produits, il se peut que d’autres aient besoin de lignes directrices sur la façon d’intégrer des mesures de sécurité afin de réduire les risques potentiels pour leurs entreprises, clients et utilisateurs. Pour combler ce besoin, le Groupe CSA et les membres bénévoles de son comité ont élaboré une méthode qui permettrait d’évaluer les organisations selon leur cybermaturité et leurs pratiques de développement de produits logiciels afin de contribuer à atténuer les risques généraux associés au déploiement des technologies numériques.

Des besoins des services publics à une norme pour tous

Le concept de la nouvelle norme binationale CSA/ANSI T200:22, Evaluation of software development and cybersecurity programs (publié en anglaise), provient du secteur des services publics. Quand les organisations de services publics ont commencé à installer des thermostats intelligents et des produits similaires dans les maisons, des questions ont été soulevées à propos des vulnérabilités en matière de cybersécurité auxquels ces produits pourraient exposer les consommateurs chez eux et auxquelles ils pourraient exposer les organisations de services publics elles-mêmes.

Cela a mis en lumière la nécessité d’une norme sur la cybersécurité fondée sur des pratiques exemplaires de l’industrie qui évaluerait tant les organisations que leurs produits. Un cadre commun de pratiques exemplaires en cybersécurité aiderait aussi les organisations de services publics à évaluer les solutions numériques et connectées proposées par leurs fournisseurs. Par la même occasion, le cadre offrirait aux fournisseurs un ensemble d’attentes claires, ce qui constituerait une base de référence commune tout en contribuant à réduire les risques pour la cybersécurité. De plus, un tel cadre pourrait aider à établir la conformité au programme de protection des infrastructures essentielles de la North American Electric Reliability Corporation (NERC CIP-013-1), dont l’objectif est d’assurer une alimentation en électricité efficace et fiable en Amérique du Nord.

Cela a mené à la création du Groupe CSA sur la vérification de la cybersécurité. Ce comité regroupe des experts en fabrication, en services publics, en génie, en sécurité et de diverses organisations et parties prenantes. Le but était d’élaborer une norme applicable à l’ensemble des industries et des secteurs et traitant de l’IdO ainsi que des produits et solutions connexes.

La nouvelle norme aide à tracer la voie vers la cybersécurité

La norme CSA/ANSI T200:22 sur la cybersécurité qui en a découlé se penche sur la cybersécurité d’un point de vue global. La norme établit une méthodologie pour l’évaluation de la cybermaturité de l’organisation, de ses processus, de ses produits et de ses solutions. Elle s’applique à tout le cycle de vie d’un produit, de sa conception jusqu’à sa fin de vie utile, en passant par sa mise en service.

La norme CSA/ANSI T200:22 contient un modèle de maturité, ce qui offre aux organisations une approche souple plutôt qu’un ensemble d’exigences applicables à tous. Cela signifie que les organisations peuvent définir des niveaux de cybermaturité pour leurs fournisseurs et que les fournisseurs peuvent optimiser les coûts liés à la certification de leurs produits et services. En outre, le modèle de maturité à niveaux multiples favorise l’amélioration continue de la sécurité des organisations et des produits, ce qui encourage les entreprises à considérer la cybersécurité avec une efficacité accrue.

La norme donne un aperçu du contexte de la menace liée à l’IdO et des composants des produits et solutions d’IdO, en plus de décrire les mesures de contrôle de base pour la cybersécurité des produits ainsi que les concepts dont il faut tenir compte. Elle contient aussi des exigences et des recommandations pour le processus d’autoévaluation, de vérification, d’essai et de validation permettant de déterminer le niveau de maturité atteint par l’organisation. Qui plus est, un complément d’information ajouté à la norme porte spécifiquement sur les organisations de services d’électricité et sur des mesures de sécurité adaptées à leurs chaînes d’approvisionnement et à leurs fournisseurs tiers afin de contribuer à accroître la sécurité et la fiabilité des infrastructures électriques.

Visiter la boutique CSA pour en apprendre plus sur la norme CSA/ANSI T200:22.