Les recommandations de l’ENISA pour les certifications de professionnels ICS/SCADA
ENISA publie une nouvelle étude s’intéressant aux défis et fournissant des recommandations concernant le développement de systèmes de certification des compétences des experts en cybersécurité travaillant sur les Systèmes de contrôle industriels (Industrial Control Systems, ICS), et sur le Contrôle de supervision et l’acquisition de données (Supervisory Control and Data Acquisition, SCADA) en Europe.
Une étude en ligne et des entretiens avec des experts des Etats Membres de l’UE et du monde entier analyse comment les initiatives en cours sur les certifications des compétences professionnelles sont liées au sujet de la cybersécurité des ICS/SCADA.
La convergence entre la Technologie des opérations (Operations Technology, OT) pour les processus industriels et la Technologie de l’information (Information technology, IT) augmente le besoin de sécurité des systèmes ICS/SCADA mais aussi de professionnels qualifiés. Il y a actuellement une conscience limitée des systèmes de certifications disponibles dans le secteur, ce qui ne résulte qu’en un nombre limité de professionnels qualifiés.
La complexité des systèmes ICS/SCADA repose principalement sur son caractère multidisciplinaire (cybersécurité, technologie de l’information des opérations) et le vaste champ de secteurs utilisant les systèmes industriels (comme l’automatisation, l’énergie, l’industrie pharmaceutique, etc.) Ainsi, les systèmes ICS/SCADA présentent des différences dans leur processus, leurs procédures opérationnelles, ainsi que leurs conséquences.
L’un des principaux défis des systèmes de certifications actuels est de gérer la convergence de la cybersécurité et de la technologie des opérations. Un autre défi est la complexité des profils professionnels différents et sur plusieurs niveaux et leurs rôles d’un point de vue fonctionnel. En outre, il est nécessaire d'augmenter la pertinence, la crédibilité et la force de certifications futures pour la cybersécurité ICS/SCADA en obtenant le soutien des associations professionnelles.
Le rapport propose une série de recommandations pour harmoniser les certifications de compétences pour les professionnels des ICS/SCADA en Europe. Ces recommandations sont pertinentes à la fois pour les secteurs publics et privés dans l’UE :
- Un comité de pilotage indépendant devrait évaluer les systèmes de certification globaux ou nationaux et définir un système de certification de cybersécurité européen pour les professionnels ICS/SCADA. C’est important afin d’atteindre le degré de connaissance mesuré applicable aux opérations industrielles.
- Les certifications devraient être à plusieurs niveaux afin d’atteindre un large champ de professionnels issus de différents secteurs, incluant les sujets opérationnels et managériaux, et les aspects pratiques.
- Un projet de certification devrait être établit avec du contenu managérial. Cela ajouterait de la valeur, afin de s’assurer que les responsables sont habilités à prendre les bonnes décisions dans des situations de crises.
- Un environnement de simulation devrait être développé à la fois dans un objectif de formation et pour tester les compétences pratiques
Le Directeur exécutif de l'ENISA a déclaré : « La cybersécurité des systèmes ICS/SCADA est au cœur de nombreux processus industriels, c’est un domaine en pleine croissance qui présente de nombreuses opportunités commerciales et industrielles à venir. Des systèmes spécialisés certifiant les compétences des experts en matière de cybersécurité travaillant sur ICS/SCADA seraient avantageux pour les secteurs et sous- secteurs de l'industrie, et important pour assurer le niveau de cybersécurité à travers l'Europe ».
Pour le rapport entier: Certification of Cyber Security skills of ICS/SCADA professionals
Notes aux journalistes:
Figure 1 – Projets pertinents p.6
Table 1 – Cours disponibles sur la cybersécurité pour ICS/SCADA pp.11-12
Table 2 – Besoins de formation et de certification pour les professionnels en cybersécurité ICS pp 13-14
Table 3 – Besoins de formation et de certification pour les professionnels en cybersécurité ICS p.15
Table 4 – Domaines de connaissance et leur contenu p.16-18
Pour toute demande d’interview: Dr. Cédric Lévy-Bencheton, Expert en sécurité des réseaux et de l’information, ENISA Email: cedric.levy-bencheton@enisa.europa.eu, Téléphone: (+30) 2814 409 630
Tags: