Cet article examine l'importance de la certification des produits et des entreprises pour soutenir les propriétaires d'actifs dans leur cheminement vers la conformité aux normes IEC 62443.
"Soutien de la direction
Actifs critiques
Avant de se pencher sur les aspects techniques, la première recommandation importante des normes IEC 62443 est de considérer la justification commerciale et d'obtenir le soutien de la direction. Afin d'obtenir ce soutien, l'entreprise doit avoir une compréhension claire des systèmes, sous-systèmes et composants respectifs qui sont essentiels ou critiques pour le fonctionnement et la sécurité. Une fois cela établi, il sera plus facile de communiquer à la direction les conséquences possibles si l'un des composants est touché. Les actifs critiques comprennent tout dispositif qui, s’il est compromis, peut générer un impact élevé sur les finances, la santé, la sécurité ou l'environnement d'une organisation. La liste des actifs critiques de l'entreprise constitue la base de l'analyse de la gestion des risques et sera utilisée pour guider les décisions ultérieures.
Justification commerciale
Une fois que l'entreprise a identifié les actifs critiques, il est nécessaire d'impliquer la direction et de l'amener à s'engager à investir dans le plan de cybersécurité qui sera élaboré. Sans ce soutien, le plan a très peu de chances de réussir. La direction de haut niveau doit approuver et participer à la définition de la justification commerciale afin de s'assurer que le CSMS disposera de suffisamment de ressources et de soutien pour déployer les changements nécessaires dans le système et dans l'ensemble de l'organisation. Dans certains cas, il est nécessaire de créer une analyse de rentabilisation ou une justification commerciale comme le suggèrent les normes IEC 62443, à présenter à l'équipe de direction. L'analyse de rentabilisation ou la justification commerciale contient une liste des menaces potentielles et des conséquences possibles pour l'entreprise, avec une estimation des coûts annuels ainsi que le coût des contre-mesures. Cela permet d'avoir une vue d'ensemble claire des risques et des coûts d'atténuation à des niveaux acceptables, ce qui augmente les chances d'obtenir le soutien de la direction"