Étude de cas : Cyberrésilience d’une compagnie pétrolière internationale

QinetiQ aide à accroître la sécurité et la conformité cybernétiques maritimes.

Sommaire

Avec le lancement de la Tanker Management Self-Assessment Version 3 (autoévaluation en matière de gestion des navires citernes – TMSA3) en 2017 par l’Oil Companies International Marine Forum (OCIMF), un nouvel élément, l’élément 13, a été introduit pour la cybersécurité. À l'appui de l’élément 13 et en collaboration avec la Lloyd’s Register, QinetiQ a lancé un certain nombre d’offres de service pour aider les entreprises à démontrer leur conformité avec ces directives, lesquelles traitent de l’installation de terminaux de pétrole brut, de produits du pétrole, de produits pétrochimiques et de gaz. Les services de QinetiQ comprennent des services-conseils, la mise à l'essai technique des navires ainsi que des évaluations de la conformité.

maritime tech image

Résumé

Une entreprise qui transporte du gaz naturel liquéfié pour le compte des grandes pétrolières doit démontrer son état de préparation cybernétique et sa conformité à la norme TMSA3 afin de se plier au régime de vérification et aux inspections effectuées par ses clients. La grande compagnie pétrolière internationale a reconnu que la cybersécurité et des contrôles de protection robustes offrent un avantage commercial sur le marché. Par conséquent, l’entreprise souhaitait non seulement répondre aux exigences des directives de la TMSA, mais également satisfaire à celles de la norme ISO 27001-2013 (Technologie de l’information – Techniques de sécurité – Systèmes de gestion de la sécurité de l’information – Exigences). Les services de La Lloyd’s Register et de QinetiQ ont été retenus pour l'aider à adapter ses processus commerciaux afin d'appuyer sa conformité à la norme ISO 27001-2013.

Notre solution

QinetiQ, la Lloyd's Register et les principaux intervenants du client ont travaillé de concert pour définir la portée des travaux. Ensemble, nous avons évalué les capacités actuelles en matière de cyberdéfense avant de cibler les lacunes et les inhibiteurs potentiels à la conformité aux normes TMSA3 et ISO 27001.

QinetiQ a modelé les opérations commerciales du client à l’aide de l'approche Cyber Advantage, approche de modélisation commerciale conçue par QinetiQ pour le MOD du Royaume-Uni fondée sur la modélisation par domaine. L’objectif ne consiste pas à démontrer les contrôles techniques ou un schéma de réseau, mais plutôt à comprendre les flux de données essentiels au sein de l’organisation du client. Un atelier et un rapport de sortie complet ont présenté un aperçu de référence des opérations commerciales actuelles comparativement aux bonnes pratiques recommandées, à d'autres normes de l’industrie, comme la norme ISO 27001, et au Cyber Security Framework (CSF) (Cadre de cybersécurité) de la National Institute of Standards and Technology (NIST).

L’approche « Cyber Advantage » de QinetiQ facilite la modélisation de l'ensemble des opérations d’une entreprise sur une seule page.
Résultats et avantages

Grâce au processus d’engagement entre QinetiQ et la Lloyd’s Register, le client a pu comprendre clairement les lacunes, les risques et les menaces auxquels il était confronté et qui pourraient potentiellement l’empêcher de se conformer aux directives de la TMSA. Le processus comprend:

  • Une analyse de la conformité et des lacunes
  • Une compréhension des coûts financiers liés au cyberrisque
  • Les plans de réhabilitation et les mesures d'atténuation nécessaires
  • La référenciation

Pour faciliter la compréhension, une trousse d'assistance sur mesure a été élaborée pour soutenir notre grand client pétrolier dans sa recherche de la conformité, maximisant ainsi le temps et les efforts déployés sur les activités essentielles. Le projet s’est échelonné sur plusieurs mois afin de combler les lacunes décelées, et d’assurer la création de divers artéfacts de sécurité nécessaires pour soutenir la vérification en vertu de la TMSA. Puisque le client souhaitait dépasser la simple conformité à la TMSA3, la trousse d'assistance abordait les exigences de la norme ISO 27001. Parmi ces exigences, on compte le développement d’un système de gestion de la sécurité de l’information, composante clé de la norme ISO.

La TMSA3 présente quatre niveaux dans ses directives, le niveau 4 étant le plus élevé. Après une vérification par la grande pétrolière qui est son client, notre grand client pétrolier a réussi à obtenir la conformité de niveau 4.

Pour obtenir de plus amples renseignements: customercontact@qinetiq.com