Symposium sur la sécurité des technologies de l'information et des communications

Il est de notoriété publique que les systèmes d'informations industriels (OT) sont souvent moins bien couverts par les démarches de cybersécurité, malgré les impacts dévastateurs que des attaques les ciblant peuvent avoir. Heureusement, la situation a évolué depuis quelques années et la cybersécurité OT est en pleine expansion, avec des mesures qui sont spécifiques à ces systèmes, ou empruntées à l’IT mais adaptées au contexte industriel. Les tests d’intrusion font partie de ces mesures, et c'est ce que je fais la plupart du temps dans mon travail d'auditrice technique. Vu les spécificités et contraintes de ces systèmes, il n'est pas possible d'appliquer telles quelles les mêmes méthodes de test qu'on emploie habituellement sur l'IT. Comment peut-on procéder dans ce cas ? Dans cette présentation je partagerai mon expérience sur le sujet pour répondre à cette question. Nous verrons ce qu'il est possible ou non de faire, ce qui marche et ce qui ne marche pas et surtout comment s'assurer que nos tests sont les plus sûrs possibles. Ce sera aussi l'occasion d'aborder les situations et problèmes de sécurité qu'on retrouve le plus fréquemment, ainsi que les solutions envisageables.