Du soutien aux systèmes aéroportés à la garantie du bon fonctionnement des signaux ferroviaires, la technologie opérationnelle qui soutient les réseaux de transport à travers le pays est essentielle à la vie quotidienne et extrêmement vulnérable aux menaces.

Pour Katherine Rawls, directrice de l’engagement cybersécurité au sein du département des Transports, reconnaître cette réalité engendre de nombreux débats sur la manière de relever ces défis de manière proactive.

« Nous parlons de préserver la sécurité et la fiabilité des systèmes OT sur lesquels des millions de personnes comptent chaque jour, » a déclaré Rawls. « Nous nous concentrons donc sur la manière d’intégrer la cybersécurité dans tous les systèmes de gestion des risques liés à la sécurité. Comment créer des synergies entre… la communauté de la cybersécurité et celle de la sécurité ? »

Lors d’un événement organisé par le Scoop News Group, Rawls et d’autres responsables fédéraux en cybersécurité ont exploré ces questions, en mettant l’accent sur l’importance d’une approche intersectorielle en matière de sécurité OT et sur la façon dont diverses innovations peuvent renforcer les protections des infrastructures critiques.

Au sein du département des Transports, Rawls fait partie d’un nouveau bureau qui examine une « approche unie du DOT », évaluant les risques cybers pour l’agence ainsi qu’avec des partenaires externes. Cet effort implique une coordination étroite avec le Département de la Sécurité intérieure, tous deux désignés comme Agences de gestion des risques co-sectorielles pour le secteur des systèmes de transport.

Ensemble, le DOT et le DHS identifient divers risques au sein du secteur des transports, puis cherchent à « développer des ressources collaboratives pour soutenir les très petites, petites et grandes entreprises qui soutiennent les systèmes dont nous dépendons au quotidien, » a ajouté Rawls.

Le DOT met l’accent sur une collaboration accrue entre les agences, Rawls citant des partenariats spécifiques avec l’Agence de cybersécurité et de sécurité des infrastructures, la Garde côtière américaine et l’Administration de la sécurité des transports. Elle a également évoqué le développement de lignes directrices sur la passation des marchés par le DOT, le Département de l’Énergie et ses laboratoires nationaux.

Ces recommandations, qui expliquent comment intégrer au mieux les mesures de cybersécurité dans les achats de matériel de recharge pour véhicules électriques, illustrent les « bénéfices concrets du travail conjoint à travers les secteurs que nous constatons dans le secteur des transports, » a souligné Rawls.

Kristin Ruiz, chef adjointe des systèmes d’information à la TSA, a déclaré lors d’une table ronde distincte qu’il existe un défi culturel à surmonter dans le cadre des partenariats, notamment pour « amener les personnes à comprendre que leur technologie opérationnelle… est une composante essentielle » de cette collaboration. Il est crucial, a-t-elle ajouté, de s’assurer que les partenaires de la TSA mettent en œuvre des exigences de cybersécurité de base « dès le départ. »

Les normes de cybersécurité revêtent une importance particulière pour l’agence alors qu’elle poursuit une importante initiative d’architecture ouverte aux points de contrôle TSA, qui, selon Ruiz, « stimulera l’innovation » et « réduira le verrouillage des défenseurs. » Les responsables informatiques de la TSA travaillent également sur un prototype d’évaluation de la cybersécurité OT, permettant à l’agence de réaliser des tests automatisés sur les systèmes et « de limiter au final l’impact sur l’OT. »

Une grande partie du travail de la TSA sur la technologie opérationnelle ces dernières années a été influencée par l’attaque par ransomware de 2021 sur Colonial Pipeline, qui a amené l’agence à demander davantage d’exigences en matière de cybersécurité aux propriétaires de pipelines. Le mois dernier, la TSA a renforcé ces demandes initiales en émettant, dans un avis de réglementation proposé, un ensemble exhaustif d’exigences en matière de cybersécurité pour les pipelines, les opérateurs ferroviaires et les compagnies aériennes.

« Nous avons vraiment documenté et défini nos exigences en matière de cybersécurité pour l’OT, et nous les avons transmises à nos partenaires dans ces industries, et nous avons collaboré avec eux, » a déclaré Ruiz. « Et nous avons travaillé de manière collaborative. »

En fin de compte, Ruiz et Rawls nourrissent l’espoir que cette approche collaborative avec les partenaires de l’industrie des transports garantisse le respect des fondamentaux de la cybersécurité et que les systèmes OT bénéficient de meilleures protections à l’avenir.

« L’une de nos priorités clés est de souligner l’importance persistante des auto-évaluations en matière de cybersécurité, de comprendre votre posture en matière de cybersécurité, de réaliser des évaluations des risques et de prioriser la réduction des risques les plus élevés, » a déclaré Rawls. « Ce n’est pas nouveau, mais nous voulons souligner cela comme quelque chose qui aide vraiment. »

Notre point de vue

La cybersécurité dans le secteur des transports représente un enjeu majeur qui nécessite une approche intégrée et proactive. En tant que professionnels, nous devons non seulement comprendre les défis techniques, mais également adopter une culture collaborative qui transcende les silos traditionnels. Cela implique un dialogue constant entre secteurs, une évaluation rigoureuse des risques et une volonté collective d’innover. À l’ère numérique, la protection des infrastructures critiques ne doit pas être un simple objectif, mais un impératif partagé par tous les acteurs concernés.



  • Source image(s) : cyberscoop.com
  • Source : https://cyberscoop.com/operational-technology-cybersecurity-challenges-collaboration-strategies-department-of-transportation/


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *