TL;DR

Vous gérez une infrastructure d'information critique (CII) à Singapour ? Le code de bonnes pratiques en matière de cybersécurité (CCoP) n'est pas une suggestion, c'est une loi en vertu de la loi sur la cybersécurité.

Elle impose des contrôles de sécurité minimaux dans les domaines de la gouvernance, de la détection, de la réponse, de la sécurité OT, etc.

Si vous ne respectez pas une exigence, vous devrez payer des pénalités. C'est la règle du jeu de Singapour pour verrouiller les services essentiels - aucun raccourci n'est autorisé.

Résumé de la fiche d'évaluation du code de pratique de Singapour en matière de cybersécurité (CCoP) :

• Effort du développeur : Modéré (nécessite la mise en œuvre de contrôles spécifiques liés au SDLC sécurisé, au contrôle d'accès, à la sécurité des données, à la gestion des vulnérabilités, au soutien des audits pour les systèmes CII).
• Coût de l'outillage : Modéré à élevé (nécessite des outils pour la gestion des vulnérabilités, la journalisation/SIEM, le contrôle d'accès (PAM), le cryptage, éventuellement des outils spécifiques à la sécurité des technologies de l'information).
• Impact sur le marché : Critique (obligatoire pour les propriétaires d'IIC désignés à Singapour ; la défaillance a une incidence sur la capacité d'exploitation des infrastructures critiques).
• Flexibilité : Modérée (spécifie des exigences minimales mais basées sur des normes établies, permettant une certaine flexibilité dans la mise en œuvre en fonction du risque).
• Intensité de l'audit : Élevée (exige des audits réguliers de la cybersécurité par des auditeurs agréés afin de vérifier la conformité au CCoP et à la loi sur la cybersécurité).

Qu'est-ce que le code de pratique de Singapour en matière de cybersécurité (CCoP) ?

Le Code de pratique de Singapour en matière de cybersécurité (CCoP ) pour les infrastructures d'information critiques (CII) est un ensemble de normes minimales juridiquement contraignantes publiées par le Commissaire à la cybersécurité en vertu de la loi de Singapour sur la cybersécurité de 2018. Publié pour la première fois en 2018 et mis à jour avec le CCoP 2.0 en 2022 (effectif en juillet 2023 après une période de grâce), il décrit les mesures de cybersécurité que les propriétaires désignés d'IIC doivent mettre en œuvre pour protéger leurs systèmes.

L'infrastructure d'information critique (CII) désigne les systèmes informatiques indispensables à la fourniture continue de services essentiels à Singapour (par exemple, l'énergie, l'eau, la banque, les soins de santé, les transports, l'infocommunication, le gouvernement, les médias). Les propriétaires des systèmes CII désignés sont légalement tenus de se conformer au CCoP.

Le CCoP 2.0 est structuré autour de domaines clés reflétant un programme de cybersécurité complet :

• Gouvernance : Mise en place d'un leadership, de rôles, de responsabilités et d'un cadre de gestion des risques en matière de cybersécurité.
• Identification : Gestion des actifs, évaluation des risques, compréhension de la position en matière de cybersécurité.
• Protection : Mise en œuvre de mesures de protection telles que le contrôle d'accès, la sécurité des données (y compris le cryptage et la gestion des clés), la sécurité des réseaux, la gestion des vulnérabilités, les configurations sécurisées, la sécurité physique et la gestion des risques de la chaîne d'approvisionnement. Comprend des exigences spécifiques en matière de gestion des accès privilégiés (PAM).
• Détection : Mise en œuvre de capacités de surveillance pour détecter les menaces et les incidents de cybersécurité (par exemple, SIEM, IDS/IPS).
• Réponse et reprise : Élaboration de plans d'intervention en cas d'incident et de plans de continuité des activités et de reprise après sinistre.
• Cyber résilience : Mesures visant à garantir que les systèmes peuvent résister aux attaques et s'en remettre.
• Formation et sensibilisation à la cybersécurité : Former le personnel.
• Sécurité des technologies opérationnelles (OT) : Considérations spécifiques pour les systèmes de contrôle industriel et les environnements OT, introduites de manière significative dans le CCoP 2.0.

Le CCoP s'inspire fortement des normes internationales et des meilleures pratiques (comme le NIST CSF, ISO 27001) mais les adapte en exigences spécifiques et obligatoires pour le contexte de l'IIC de Singapour.

Pourquoi est-ce important ?

Le CCoP est crucial pour plusieurs raisons à Singapour :

• Exigence légale : Elle est publiée en vertu de la loi de 2018 sur la cybersécurité, qui rend la conformité obligatoire pour tous les propriétaires d'IIC désignés.
• Protection des services essentiels : vise à protéger les services essentiels (énergie, eau, banques, etc.) dont dépend Singapour contre des cyberattaques potentiellement débilitantes.
• Sécurité nationale : Le renforcement de la sécurité des infrastructures d'information critiques est une question de sécurité nationale.
• Relève le niveau de référence en matière de cybersécurité : Établit une norme minimale cohérente et élevée en matière de cybersécurité dans tous les secteurs critiques.
• Prise en compte de l'évolution des menaces : Le CCoP 2.0 intègre spécifiquement les enseignements tirés et aborde les nouvelles menaces, notamment les tactiques, techniques et procédures sophistiquées (TTP), les risques liés à la chaîne d'approvisionnement et les problèmes de sécurité liés aux technologies de l'information.
• Renforcement de la responsabilité : Les propriétaires d'infrastructures d'information critiques sont clairement tenus de mettre en œuvre et de maintenir des mesures de cybersécurité, sous réserve d'une surveillance réglementaire et d'audits.

Pour les organisations opérant des IIC à Singapour, la conformité au CCoP est fondamentale pour leur licence d'exploitation et leur contribution à la résilience nationale.

Quoi et comment mettre en œuvre (technique et politique)

La mise en œuvre du CCoP implique la mise en place d'une gouvernance solide en matière de cybersécurité et le déploiement de contrôles techniques et procéduraux spécifiques dans les domaines définis :

1. Gouvernance et gestion des risques :
   
   • Définir clairement les rôles et les responsabilités en matière de cybersécurité, ainsi que l'engagement de la direction.
   • Mettre en œuvre un cadre de gestion des risques afin d'identifier, d'évaluer et de traiter les risques de cybersécurité propres à l'IIC.
2. Mesures de protection :
   
   • Contrôle d'accès : Mettre en œuvre une authentification forte (MFA), les principes du moindre privilège, la gestion des sessions et des solutions robustes de gestion des accès privilégiés (PAM) pour contrôler l'accès aux systèmes et aux données de l'IIC.
   • Sécurité des données : Protéger les données sensibles en utilisant le cryptage (au repos et en transit) et une gestion sécurisée des clés cryptographiques. Mettre en œuvre des mesures de prévention des pertes de données.
   • Sécurité des réseaux : Segmenter les réseaux, mettre en œuvre des pare-feu, des IDS/IPS et des configurations de réseau sécurisées.
   • Gestion des vulnérabilités : Mettre en œuvre des processus et des outils (scanners) pour identifier les vulnérabilités des systèmes et des applications et y remédier dans des délais définis. Les pratiques de développement de logiciels sécurisés sont essentielles.
   • Configuration sécurisée : Durcir les systèmes, désactiver les services/ports inutiles, gérer les configurations en toute sécurité.
   • Risque lié à la chaîne d'approvisionnement : évaluer et gérer les risques de cybersécurité associés aux fournisseurs et prestataires de services tiers.
3. Détection :
   
   • Mettre en œuvre des systèmes de gestion des informations et des événements de sécurité (SIEM) et d'autres outils de surveillance pour détecter les anomalies et les incidents de sécurité potentiels en temps réel. Assurer une journalisation adéquate.
4. Réponse et récupération :
   
   • Élaborer, maintenir et tester régulièrement les plans de réponse aux incidents (IRP) et les plans de continuité des activités et de reprise après sinistre (BC/DR). Veiller à ce que des sauvegardes sécurisées soient effectuées et testées.
5. OT Security (le cas échéant) :
   
   • Mettre en œuvre des mesures de sécurité spécifiques adaptées aux environnements de technologie opérationnelle, en tenant compte des risques propres aux systèmes de contrôle industriel.
6. Formation et sensibilisation :
   
   • Organiser régulièrement des formations à la cybersécurité pour l'ensemble du personnel concerné.
7. Audits :
   
   • Engager des auditeurs agréés par la CSA pour effectuer des audits réguliers de la cybersécurité (au moins tous les deux ans) afin de vérifier la conformité au CCoP et à la loi.

La mise en œuvre nécessite une approche holistique combinant la technologie (PAM, SIEM, cryptage, scanners de vulnérabilité), des processus bien définis, des politiques claires, une formation continue et des audits réguliers. Des solutions telles que Thales CipherTrust (pour la sécurité des données/gestion des clés) et BeyondTrust (pour le PAM) sont souvent utilisées pour répondre aux exigences spécifiques du CCoP.

Les erreurs courantes à éviter

Lors de la mise en œuvre du CCoP, les organisations peuvent rencontrer ces problèmes :

1. Gouvernance insuffisante et focalisation sur les risques : Traiter les CCoP comme des éléments purement techniques sans mettre en place une gouvernance solide, des processus de gestion des risques et un contrôle de gestion.
2. Identification inadéquate des actifs : L'absence d'identification précise de tous les composants et flux de données liés à l'IIC désignée, ce qui conduit à une protection incomplète.
3. Contrôles d'accès faibles : En particulier en ce qui concerne l'accès privilégié, l'absence de mise en œuvre de solutions PAM robustes ou l'application stricte du principe du moindre privilège.
4. Ignorer la sécurité des systèmes informatiques : Pour les organisations dotées d'environnements OT, ne pas tenir compte des exigences et des risques spécifiques décrits dans le CCoP 2.0 pour ces systèmes.
5. Une mauvaise gestion des vulnérabilités : Ne pas disposer de processus ou d'outils efficaces pour identifier les vulnérabilités et y remédier dans les délais impartis.
6. Absence de surveillance/détection intégrée : Mise en œuvre de contrôles de sécurité mais absence d'enregistrement et de surveillance centralisés (SIEM) nécessaires pour détecter efficacement les incidents.
7. Plans d'intervention et de reprise non testés : Disposer de plans d'intervention et de secours sur papier, mais ne pas les tester régulièrement, ce qui les rend inefficaces en cas de crise réelle.
8. Documentation insuffisante : L'absence de documentation adéquate sur les politiques, les procédures, l'évaluation des risques, la mise en œuvre des contrôles et les preuves d'audit, comme l'exige la vérification de la conformité.

Ce que les auditeurs pourraient demander (Developer Focus)

Les auditeurs qui évaluent la conformité au CCoP des systèmes d'IIC examineront les contrôles relatifs au développement de logiciels et à la sécurité des applications :

• (Protection - Gestion des vulnérabilités) "Quels sont les processus mis en place pour identifier les vulnérabilités des applications sur mesure et des composants logiciels tiers utilisés au sein de l'IIC et pour y remédier" (montrer les résultats des SAST/SCA/DAST, les enregistrements des correctifs) ?
• (Protection - Contrôle d'accès) "Comment l'accès est-il contrôlé pour les développeurs qui travaillent sur les systèmes ou les applications de l'IIC ? Comment les activités de développement privilégiées sont-elles enregistrées et contrôlées ?"
• (Protection - Sécurité des données) "Comment les données sensibles sont-elles traitées et protégées (par exemple, cryptées) dans les applications prenant en charge l'IIC ?"
• (Protection - Configuration sécurisée) "Comment vous assurez-vous que des configurations sécurisées sont appliquées aux applications et à l'infrastructure de soutien ?"
• (Détection) "Comment la journalisation des applications contribue-t-elle aux capacités globales de surveillance et de détection de l'IIC ?"
• (Réponse/Rétablissement) "Comment les dépendances des applications sont-elles prises en compte dans les plans de continuité des activités et de rétablissement après sinistre de l'IIC ?"

Les auditeurs attendent des preuves de pratiques de développement sécurisées, d'une gestion solide des vulnérabilités, d'une configuration sécurisée, de contrôles d'accès appropriés et d'une journalisation efficace intégrée à l'environnement d'IIC.

Des gains rapides pour les équipes de développement

Les équipes de développement qui soutiennent l'IIC peuvent contribuer à la conformité au CCoP:

1. Intégrer SAST/SCA : Intégrer l'analyse automatisée du code et des dépendances dans les pipelines CI/CD pour les applications liées à l'IIC.
2. Établir un ordre de priorité pour la correction des vulnérabilités : Se concentrer sur la correction des vulnérabilités critiques/élevées identifiées dans des délais compatibles avec les attentes du CCoP.
3. Améliorer la journalisation des applications : Veiller à ce que les applications produisent des journaux significatifs pour les événements de sécurité et les intégrer aux systèmes SIEM centraux.
4. Développement d'API sécurisées : Mettre en œuvre une authentification forte, une autorisation et une validation des entrées pour les API qui interagissent avec les systèmes CII.
5. Respecter les normes de codage sécurisé : Respecter les lignes directrices reconnues en matière de codage sécurisé (par exemple, OWASP) afin de minimiser les vulnérabilités courantes.
6. Minimiser le traitement des données : Concevoir les applications de manière à ce qu'elles ne traitent que le minimum de données sensibles nécessaires à leur fonctionnement.

Ignorez ceci et... (Conséquences de la non-conformité)

Le non-respect par le propriétaire d'une IIC du CCoP ou d'autres exigences prévues par la loi de 2018 sur la cybersécurité de Singapour peut avoir des conséquences importantes appliquées par l'ASC :

• Sanctions financières : La loi prévoit des amendes en cas de non-respect, bien que les montants spécifiques liés directement au CCoP puissent dépendre de la nature de la violation et des directives émises. Les modifications apportées en 2024 pourraient accroître le cadre des sanctions.
• Instructions du commissaire : Le commissaire à la cybersécurité peut donner des instructions obligeant le propriétaire de l'IIC à prendre des mesures spécifiques pour sécuriser l'IIC ou remédier à la non-conformité. Le non-respect de ces instructions constitue une infraction.
• Intervention directe de l'ASC : Dans les cas graves où un incident constitue une menace importante, l'ASC est habilitée à prendre des mesures directes pour gérer la menace de cybersécurité qui pèse sur l'IIC.
• Impact opérationnel : Les activités de remédiation requises ou les interventions de l'ASC peuvent entraîner des perturbations opérationnelles.
• Atteinte à la réputation : La non-conformité ou les incidents qui en résultent et qui affectent les services essentiels peuvent gravement nuire à la confiance du public et à la réputation de l'organisation.
• Responsabilité juridique : En fonction de l'impact d'un incident résultant d'un non-respect des règles, des responsabilités civiles potentielles peuvent être engagées.

La conformité est essentielle au maintien de l'autorisation d'exploiter des services essentiels à Singapour.

FAQ

Qui doit se conformer au CCoP ?

Les propriétaires de systèmes informatiques désignés comme infrastructure d'information critique (CII) par le commissaire à la cybersécurité en vertu de la loi sur la cybersécurité de Singapour de 2018. Il s'agit de systèmes nécessaires à la fourniture continue de services essentiels dans des secteurs tels que l'énergie, l'eau, la banque, la santé, les transports, etc.

Quelle est la version actuelle du CCoP ?

Le CCoP 2.0, publié en juillet 2022, est la version actuelle, qui remplace les versions précédentes. Elle comprend des exigences actualisées, notamment en ce qui concerne la sécurité des technologies de l'information et les risques liés à la chaîne d'approvisionnement.

La conformité au CCoP est-elle obligatoire ?

Oui, pour les propriétaires d'IIC désignés à Singapour, la conformité au CCoP est une obligation légale en vertu de la loi de 2018 sur la cybersécurité.

Quelle est la fréquence des audits du CCoP ?

Les propriétaires d'infrastructures d'information critiques doivent effectuer des audits de cybersécurité de leur conformité à la loi et au CCoP au moins une fois tous les deux ans, par un auditeur agréé par les CSA, sauf indication contraire du commissaire.

Quelle est la relation entre le CCoP et les normes internationales telles que ISO 27001 ou NIST CSF ?

Le CCoP s'inspire largement des normes internationales établies et des meilleures pratiques, notamment des concepts de la norme ISO 27001, du NIST CSF et d'autres. Il adapte ces principes en exigences spécifiques et obligatoires adaptées au contexte de l'IIC de Singapour. L'obtention de la norme ISO 27001 peut aider à répondre à de nombreuses exigences du CCoP, mais la conformité au CCoP doit faire l'objet d'une évaluation spécifique.

Quelle est la différence entre le CCoP et la PDPA de Singapour ?

Le CCoP se concentre sur la cybersécurité des systèmes d'infrastructures d'information critiques désignés. La loi sur la protection des données personnelles (PDPA) régit la collecte, l'utilisation et la divulgation des données personnelles par les organisations de manière plus générale à Singapour. Si les mesures de cybersécurité exigées par le CCoP contribuent à protéger les données à caractère personnel susceptibles de résider dans les CII, la PDPA a ses propres obligations en matière de protection des données.

Où puis-je trouver le document officiel du CCoP ?

Le code de pratique officiel en matière de cybersécurité pour les infrastructures d'information critiques (CCoP 2.0) est disponible sur le site web de l'Agence de cybersécurité de Singapour (CSA).