Cyber ​​assurance pour les installations nucléaires civiles

Ce document présente une feuille de route sur la manière dont les organisations du secteur nucléaire civil peuvent explorer leurs options et examiner leur exposition aux cyberrisques. Les installations et organisations nucléaires civiles détiennent des informations sensibles sur les autorisations de sécurité, la sécurité nationale, la santé et la sécurité, les questions de réglementation nucléaire et les obligations d'inspection internationales. La sensibilité et la variété de ces données signifient que les produits conçus pour assurer l'industrie nucléaire civile ont évolué de manière indépendante et continueront probablement de le faire. Les «lacunes» - des mesures conçues pour isoler les systèmes informatiques d'Internet - doivent être maintenues en permanence pour les systèmes industriels. Pourtant, des années de preuves indiquent que le bon entretien de ces protections fait souvent défaut (principalement parce qu'il existe des moteurs économiques très réels qui poussent les utilisateurs à maintenir les infrastructures connectées). En effet, même lorsque les entrefers sont maintenus, des brèches de sécurité peuvent encore se produire. Même si une organisation particulière a du personnel hautement qualifié, prêt et capable de gérer un accident technologique, une attaque de piratage ou une incidence de sabotage d'initié, elle doit toujours faire des affaires et / ou communiquer avec d'autres organisations qui peuvent ne pas avoir l'essentiel de la cybersécurité en place. Que le choix soit fait de souscrire une assurance externe ou de réserver des revenus en prévision d'incidents coûteux, l'approche du calcul du cyber-risque devrait être la même. La prévention est une partie de l'équation, mais une organisation devra également tenir compte des ressources et des mesures d'urgence à sa disposition en cas d'échec des stratégies de prévention. Peut-il équilibrer la probabilité de réussite d'un pirate par rapport au coût maximum pour l'organisation, et mettre de côté suffisamment de capital et de main-d'œuvre pour traverser une crise? Toutes les installations nucléaires civiles devraient considérer la création d'équipes de réponse aux incidents de sécurité informatique (CSIR) comme une préoccupation pertinente, si de tels arrangements ne sont pas déjà en place. L'existence d'une équipe CSIR sera une condition préalable à toute installation cherchant à obtenir une cyber-assurance nucléaire civile. La prévention des attaques telles que celles impliquant le phishing et les ransomwares nécessite de bonnes pratiques de cyber-hygiène dans l'ensemble du personnel. Réduire le «temps de rétablissement» d'une organisation demande de la formation et du dévouement.