Dubaï est devenu le premier émirat des Émirats arabes unis à mettre des normes sur les systèmes de contrôle industriels (SCI), car il y a une augmentation des incidents de sécurité OT (technologie opérationnelle) au Moyen-Orient et la dynamique de transformation numérique va aggraver la menace le paysage devient plus sophistiqué.
Les systèmes informatiques (technologies de l'information) sont les systèmes de stockage, la technologie informatique, les applications commerciales et l'analyse des données, tandis que les systèmes OT sont les équipements de machines, les systèmes de surveillance des actifs, les systèmes de contrôle industriel (ICS) et les dispositifs SCADA.
Le Dubai Electronic Security Center (DESC), l'autorité de régulation de Dubaï, intervient au bon moment alors que les systèmes informatiques et OT fusionnent et se connectent à Internet.
Le malware iranien Shamoon 1, en 2012, aurait détruit des milliers d'ordinateurs à Saudi Aramco et à RasGas au Qatar. Shamoon 2 a lancé des attaques similaires en 2016 et 2017, tandis que Shamoon 3 a lancé une nouvelle vague d'attaques contre des cibles dans les usines pétrolières et gazières du Moyen-Orient en décembre 2018.
En 2017, les cybercriminels derrière Triton, également appelé Trisis, ont ciblé les contrôleurs de système instrumenté de sécurité (SIS) Triconex vendus par Schneider Electric, entraînant la fermeture de l'usine, en raison de failles dans les procédures de sécurité.
En 2019, Triton a de nouveau ciblé les systèmes de contrôle industriels (ICS) dans une autre société au Moyen-Orient.
Le premier était Stuxnet, connu pour avoir été développé par les États-Unis et Israël pour saboter les ambitions nucléaires de l'Iran en 2009 tandis que le deuxième malware, Duqu était un programme de reconnaissance et il contenait 20 fois plus de code que Stuxnet et est beaucoup plus répandu que Duqu.
L'Industroyer (également connu sous le nom de Crashoverride) est un framework de malware considéré comme ayant été utilisé dans la cyberattaque du réseau électrique ukrainien.
Havex est un cheval de Troie d'accès à distance découvert en 2013 dans le cadre d'une vaste campagne d'espionnage ciblant les systèmes de contrôle industriel (ICS) utilisés dans de nombreuses industries aux États-Unis et en Europe.
Selon le cabinet d'études Gartner, la taille du marché de la sécurité OT autonome en 2018 était évaluée à 250 millions de dollars, passant à 1,1 milliard de dollars en 2022, soit un taux de croissance annuel de 45,7%.
Sommaire
Protéger l'infrastructure numérique
Amer Sharaf, directeur de la conformité, du soutien et des alliances au DESC, a déclaré que la mise en œuvre de la norme, après l'avoir comparée aux normes internationalement reconnues, par les entités gouvernementales compétentes à Dubaï aidera à fournir un cadre nouveau et amélioré pour la sécurité industrielle et à garantir un cadre de risque minimal pour renforcer l'infrastructure numérique du secteur industriel contre l'augmentation des cyberattaques sur ce secteur à l'échelle mondiale.
Le Dr Bushra Al Blooshi, directeur de la recherche et de l'innovation au DESC, a déclaré que Enoc, la Dubai Electricity and Water Authority (Dewa), les aéroports de Dubaï et la Roads and Transport Authority (RTA) ont joué un rôle clé dans l'élaboration et la mise en œuvre de la nouvelle norme de sécurité. .
Elle a dit que RTA mettra en œuvre la norme dans le tramway et le métro; Dewa dans la production et la transmission d'eau, la production et la transmission d'énergie; Enoc dans la transmission de carburant et les aéroports.
«Les normes ont été développées en collaboration avec ces quatre entités et elles ont jusqu'en novembre pour commencer à déployer les normes. À partir d'avril, nous organiserons des ateliers avec ces entités et nous leur demanderons des informations sur les défis auxquels elles peuvent être confrontées lors de la mise en œuvre des normes », a-t-elle déclaré.
Interrogée sur la norme pour les entités privées, elle a déclaré que la norme pour les secteurs privés est imposée par les entités gouvernementales mais heureusement, aucun secteur privé à Dubaï n'utilise ICS.
Lorsqu'on lui a demandé s'il y aurait une date limite pour changer les anciens systèmes OT, il a répondu que certains d'entre eux devaient mettre en place un plan et non un changement brusque. La méthodologie d'évaluation des risques donnera de la flexibilité, en fonction des systèmes à risque élevé à faible, et ils peuvent élaborer un plan pour réduire le risque.
DESC a la norme (Information Security Regulation) pour les systèmes informatiques et a été mandaté en 2012.
Course à la transformation numérique
En décembre 2019, DESC, en association avec la Dubai Health Authority (DHA), a lancé la norme de sécurité pour les appareils biomédicaux électroniques (EBMD) à travers l'émirat dans le but de limiter les violations dans le secteur des soins de santé et de protéger les informations sensibles des patients.
Lorsqu'on lui a demandé s'il y aurait une norme de sécurité unifiée des EAU pour ICS, Al Blooshi a déclaré: «Nous collaborons avec TRA et Abu Dhabi Digital Authority pour l'aligner à travers les EAU. Si la mise en œuvre de Dubaï réussit, la même norme ou après un peu de réglage fin sera mise en œuvre au niveau fédéral. C'est la TRA qui la portera au niveau fédéral. »
En outre, elle a déclaré que les Émirats arabes unis se sont engagés à mener la course à la transformation numérique en adoptant des outils d'intelligence artificielle (IA), l'application de l'Internet des objets (IoT) et d'autres technologies intelligentes, en particulier qui reposent sur les réseaux 5G.
«La dernière norme de sécurité est une étape cruciale vers la protection des données numériques dans tous les secteurs et à tout prix», a-t-elle déclaré.
Sharaf a déclaré que les auditeurs de DESC iront évaluer les systèmes de conformité de la sécurité dans les organisations gouvernementales et semi-gouvernementales.
«Il existe différents KPI pour le programme d'excellence du gouvernement de Dubaï et l'un d'eux est la conformité. Si une entité obtient de meilleurs scores, elle peut gravir les échelons du programme d'excellence, qui fait partie d'un mécanisme incitatif », a-t-il déclaré.
