La Traçabilité dans l'Industrie Nucléaire Française, sur SAP : Conformité et cybersécurité

L'industrie nucléaire française est soumise à des normes et réglementations strictes en matière de traçabilité pour garantir la sécurité et la fiabilité de ses activités. La norme ISO 19443 et le Référentiel de Maturité Cyber Français font foi en la matière.

De nombreux industriels ont fait le choix du logiciel SAP pour organiser leurs processus.

Qu’est-ce que la norme ISO 19443 ?

L'ISO 19443 est une norme internationale qui a pour objectif de définir les exigences relatives au système de management de la qualité pour les organisations travaillant dans le domaine nucléaire. Plus spécifiquement, cette norme vise à améliorer la qualité, la sécurité et la fiabilité des activités liées à l'industrie nucléaire en établissant un cadre de gestion de la qualité robuste.

L'ISO 19443 s’applique aux organisations impliquées dans divers aspects de l'industrie nucléaire, tels que la conception, la fabrication, la construction, l'exploitation, la maintenance et le démantèlement d'installations nucléaires. Les principaux objectifs de cette norme sont les suivants :

• Assurer la sécurité nucléaire : L'ISO 19443 vise à garantir que les organisations respectent les normes de sécurité les plus élevées pour minimiser les risques associés à l'énergie nucléaire.
• Améliorer la qualité des produits et des services : La norme encourage l'adoption de processus de gestion de la qualité pour garantir que les produits et les services fournis dans le domaine nucléaire répondent aux normes les plus strictes en matière de qualité.
• Favoriser la conformité réglementaire : L'ISO 19443 aide les organisations à se conformer aux réglementations et aux normes nationales et internationales applicables à l'industrie nucléaire.
• Promouvoir l'amélioration continue : La norme encourage les organisations à mettre en place des mécanismes d'amélioration continue de leurs processus et de leur système de management de la qualité pour garantir une performance constamment élevée.
• Renforcer la culture de la qualité et de la sécurité : L'ISO 19443 encourage la création d'une culture organisationnelle axée sur la qualité, la sécurité et la responsabilité, en impliquant l'ensemble du personnel dans la démarche d'amélioration.

L'ISO 19443 a pour objectif d'établir un cadre rigoureux de gestion de la qualité pour l'industrie nucléaire, en mettant l'accent sur la sécurité, la qualité, la conformité réglementaire et l'amélioration continue. Elle vise à garantir que les organisations travaillant dans ce secteur opèrent de manière responsable et fiable pour minimiser les risques associés à l'énergie nucléaire.

Cette norme s’applique aux grands donneurs d’ordres et en cascade à tous les fournisseurs des rangs suivants.

Mais alors, qu’est-ce que le Référentiel de Maturité Cyber ?

Le référentiel de Maturité Cyber a pour principal objectif d'améliorer la cybersécurité des organisations en évaluant leur niveau de préparation et de maturité face aux menaces et aux risques cybernétiques. Il s'agit d'un cadre de référence qui permet aux organisations de mesurer leur capacité à se protéger contre les attaques informatiques et à gérer les risques liés à la cybercriminalité. Voici les principaux objectifs du référentiel de Maturité Cyber :

• Évaluer la Maturité Cyber : Le référentiel permet aux organisations de réaliser une évaluation de leur maturité en matière de cybersécurité. Il leur permet de comprendre où elles en sont dans leur capacité à détecter, prévenir et répondre aux cybermenaces.
• Identifier les Faiblesses : En utilisant le référentiel, les organisations peuvent identifier leurs lacunes et leurs faiblesses en matière de cybersécurité. Cela inclut l'identification des vulnérabilités potentielles et des points faibles dans leurs systèmes et leurs pratiques de sécurité.
• Établir des Plans d'Amélioration : Une fois les faiblesses identifiées, les organisations peuvent élaborer des plans d'amélioration spécifiques pour renforcer leur cybersécurité. Le référentiel aide à hiérarchiser les actions nécessaires pour atteindre un niveau de maturité plus élevé.
• Renforcer la Gouvernance de la Cybersécurité : Le référentiel encourage la mise en place d'une gouvernance solide en matière de cybersécurité au sein des organisations. Il définit des responsabilités claires et encourage la sensibilisation à la sécurité à tous les niveaux.
• S'adapter aux Menaces Émergentes : La cybersécurité est un domaine en constante évolution. Le référentiel aide les organisations à s'adapter aux menaces cybernétiques émergentes en mettant en place des mécanismes de veille et de réponse appropriés.
• Faciliter la Conformité Réglementaire : Pour de nombreuses entreprises, la conformité aux réglementations en matière de cybersécurité est obligatoire. Le référentiel de Maturité Cyber peut aider à démontrer la conformité aux autorités de régulation.

Le RMC participe de fait à la chaine de confiance entre les acteurs, il donne une bonne visibilité sur la maturité des organisations et n’est pas aussi lourd que l’ISO 27001. De plus, le RMC étant Français, les organisations n’ont pas besoin de soumettre leurs systèmes d’informations à des audits menés par des entreprises étrangères, ce qui limite les risques d’ingérence ou d’espionnage industriel et participe aux objectifs de souveraineté industrielle.

Comment décloisonner vos équipes SAP & Sécurité ?

La sécurité du système d’information passe par la sécurité de SAP si celui-ci est au coeur des processus métiers. Turnkey Consulting fête ses 20 ans d’expertise au service de la sécurité sur SAP.

Que vous soyez ou non dans une démarche ISO 27001 vous avez certainement mis (ou commencé à mettre) en place un SIEM. Ce logiciel qui centralise vos logs d’alertes de sécurité est initialement aveugle s’agissant de ce qui se passe dans SAP.

Nous avons identifié plusieurs solutions permettant de sélectionner les incidents de sécurité significatifs depuis SAP et les faire remonter vers votre SIEM. Ainsi vos équipes cyber —qui n’ont pas nécessairement de compétences SAP— pourront tout de même recevoir et traiter les incidents provenant de votre ERP.

Vous ne savez pas par où commencer ?

Nous vous accompagnons dans l’évaluation de votre maturité cyber en menant un audit technique détaillé de votre paysage SAP, nous recherchons les vulnérabilités dans vos modules installés, les carences de protections, les passe-droits, les portes dérobées dans vos programmes ABAP et mettons en place si besoin un processus de gestion des autorisations robuste et efficace permettant de garder le contrôle sur la Confidentialité, l’Intégrité et la bonne Disponibilité vos données.