Audit CyFUN OT
Bruxelles Energie
Vue d'ensemble
Key Measures
Niveaux de Maturité
Plan d'Action
Key Measures (Mesures Clés)
Analyse détaillée des 13 mesures clés pour le niveau BASIC
2 Conformes
11 Non Conformes
PR.AC-1.1
PROTECT
Non Conforme
Gestion des identités et credentials
Gestion des identités et credentials pour les appareils et utilisateurs autorisés
Score
2.0
Seuil: 2.5
Lacunes identifiées
•
Processus de gestion des identités non formalisés pour les systèmes OT
•
Absence de politique unifiée IT/OT pour la gestion des comptes
•
Documentation incomplète des credentials des équipements industriels
PR.AC-3.2
PROTECT
Non Conforme
Sécurisation des accès distants (MFA)
Sécurisation des réseaux lors d'accès distants, incluant l'authentification multifacteur
Score
2.0
Seuil: 2.5
Lacunes identifiées
•
MFA non systématique pour les accès distants aux systèmes OT
•
Accès distants des fournisseurs insuffisamment contrôlés
•
Absence de VPN dédié pour les accès OT distants
PR.AC-4.1
PROTECT
Non Conforme
Gestion des permissions d'accès
Définition et gestion des permissions d'accès utilisateurs aux systèmes
Score
2.0
Seuil: 2.5
Lacunes identifiées
•
Matrice de droits d'accès OT non formalisée
•
Révisions périodiques des droits non systématiques
•
Processus d'approbation des accès ad hoc
PR.AC-4.2
PROTECT
Non Conforme
Identification des accès critiques
Identification des personnes devant accéder aux informations et technologies critiques
Score
2.0
Seuil: 2.5
Lacunes identifiées
•
Cartographie des accès aux systèmes critiques OT incomplète
•
Classification des données OT non formalisée
•
Absence de matrice de criticité des systèmes industriels
PR.AC-4.3
PROTECT
Non Conforme
Principe du moindre privilège
Limitation de l'accès des employés aux systèmes et informations nécessaires à leurs fonctions
Score
2.0
Seuil: 2.5
Lacunes identifiées
•
Principe du moindre privilège non appliqué systématiquement sur les systèmes OT
•
Comptes génériques partagés entre opérateurs
•
Droits d'accès trop larges sur certains systèmes SCADA
PR.AC-4.4
PROTECT
Non Conforme
Séparation des privilèges administrateur
Aucun utilisateur ne doit avoir de privilèges administrateur pour les tâches quotidiennes
Score
2.0
Seuil: 2.5
Lacunes identifiées
•
Comptes administrateurs utilisés pour des tâches quotidiennes sur certains systèmes OT
•
Absence de comptes distincts utilisateur/administrateur pour les techniciens OT
•
Traçabilité insuffisante des actions administratives
PR.AC-5.1
PROTECT
Non Conforme
Déploiement de firewalls
Installation et activation de firewalls sur tous les réseaux de l'organisation
Score
2.0
Seuil: 2.5
Lacunes identifiées
•
Firewalls industriels non déployés sur tous les segments OT
•
Règles de filtrage OT non documentées formellement
•
Absence de firewall entre certaines zones OT critiques
PR.AC-5.2
PROTECT
Conforme
Intégrité et Segmentation Réseau
Protection de l'intégrité réseau des systèmes critiques par segmentation et ségrégation
Score
3.0
Seuil: 2.5
Cette mesure est conforme au niveau BASIC
PR.IP-4.1
PROTECT
Non Conforme
Sauvegardes des données critiques
Réalisation de sauvegardes des données critiques sur un système différent
Score
2.0
Seuil: 2.5
Lacunes identifiées
•
Sauvegardes des configurations des automates (PLC) non systématiques
•
Absence de sauvegarde automatisée des configurations SCADA
•
Tests de restauration des systèmes OT non documentés
•
Règle 3-2-1 non respectée pour les données OT
PR.MA-1.1
PROTECT
Non Conforme
Gestion des correctifs et mises à jour
Installation des correctifs et mises à jour de sécurité pour OS et composants critiques
Score
2.0
Seuil: 2.5
Lacunes identifiées
•
Politique de patching OT non formalisée
•
Délais de déploiement des correctifs non définis pour les systèmes industriels
•
Absence de processus de test des patches avant déploiement OT
•
Systèmes OT obsolètes sans support constructeur
PR.PT-1.1
PROTECT
Non Conforme
Maintenance et revue des logs
Maintenance, documentation et revue des logs
Score
2.0
Seuil: 2.5
Lacunes identifiées
•
Centralisation des logs OT non implémentée
•
Absence de SIEM pour la corrélation des événements OT
•
Revues des logs OT non systématiques
•
Rétention des logs OT non définie formellement
DE.AE-3.1
DETECT
Non Conforme
Activation des logs de sécurité
Activation, sauvegarde et revue des logs des équipements de protection/détection
Score
2.0
Seuil: 2.5
Lacunes identifiées
•
Logs des firewalls industriels non centralisés
•
Absence de monitoring proactif des événements de sécurité OT
•
Alerting de sécurité OT non configuré
•
Corrélation des événements IT/OT non implémentée
DE.CM-4.1
DETECT
Conforme
Protection Anti-Malware
Installation et mise à jour des programmes anti-virus, anti-spyware et anti-malware
Score
3.0
Seuil: 2.5
Cette mesure est conforme au niveau BASIC