TL;DR

Gérez-vous des infrastructures d'information critiques (CII) à Singapour ? Le Code de pratique en matière de cybersécurité (CCoP) n'est pas une suggestion, c'est la loi en vertu de la loi sur la cybersécurité.

Il impose des contrôles de sécurité minimaux en matière de gouvernance, détection, réponse, sécurité OT, et plus encore.

Manquez une exigence, et vous serez passible de pénalités. C'est la stratégie de Singapour pour sécuriser les services essentiels — aucun raccourci n'est autorisé.

Synthèse du tableau de bord du Code de bonnes pratiques en cybersécurité (CCoP) de Singapour :

• Effort du développeur : Modéré (Nécessite la mise en œuvre de contrôles spécifiques liés au SDLC sécurisé, au contrôle d'accès, à la sécurité des données, à la gestion des vulnérabilités, et au soutien des audits pour les systèmes CII).
• Coût des outils : Modéré à Élevé (Nécessite des outils pour la gestion des vulnérabilités, la journalisation/SIEM, le contrôle d'accès (PAM), le chiffrement, potentiellement des outils spécifiques à la sécurité OT).
• Impact sur le marché : Critique (Obligatoire pour les propriétaires d'infrastructures d'information critiques (CII) désignés à Singapour ; le non-respect a un impact sur la capacité à exploiter les infrastructures critiques).
• Flexibilité : Modérée (Spécifie les exigences minimales mais basées sur des standards établis, permettant une certaine flexibilité dans la mise en œuvre basée sur le risque).
• Intensité de l'audit : Élevée (nécessite des audits de cybersécurité réguliers par des auditeurs agréés pour vérifier la conformité avec le CCoP et la loi sur la cybersécurité).

Qu'est-ce que le Code de pratique de cybersécurité de Singapour (CCoP) ?

Le Code de Pratique de Cybersécurité de Singapour (CCoP) pour les Infrastructures d'Information Critiques (CII) est un ensemble de normes minimales juridiquement contraignantes publiées par le Commissaire à la Cybersécurité en vertu de la Loi sur la Cybersécurité de Singapour de 2018. Initialement publié en 2018 et mis à jour en CCoP 2.0 en 2022 (effectif en juillet 2023 après une période de grâce), il décrit les mesures de cybersécurité que les propriétaires désignés de CII doivent mettre en œuvre pour protéger leurs systèmes.

L'Infrastructure d'Information Critique (CII) désigne les systèmes informatiques essentiels à la prestation continue de services essentiels à Singapour (par exemple, l'énergie, l'eau, les services bancaires, la santé, les transports, l'infocomm, le gouvernement, les médias). Les propriétaires de systèmes CII désignés sont légalement tenus de se conformer au CCoP.

Le CCoP 2.0 est structuré autour de domaines clés reflétant un programme de cybersécurité complet :

• Gouvernance : Établissement du leadership, des rôles, des responsabilités et du cadre de gestion des risques en matière de cybersécurité.
• Identification : Gestion des actifs, évaluation des risques, compréhension de la posture de cybersécurité.
• Protection : Mise en œuvre de mesures de protection telles que le contrôle d'accès, la sécurité des données (y compris le chiffrement et la gestion des clés), la sécurité réseau, la gestion des vulnérabilités, les configurations sécurisées, la sécurité physique et la gestion des risques de la chaîne d'approvisionnement. Inclut des exigences spécifiques pour la gestion des accès à privilèges (PAM).
• Détection : Mettre en œuvre des capacités de surveillance pour détecter les menaces et incidents de cybersécurité (par exemple, SIEM, IDS/IPS).
• Réponse et Récupération : Élaboration de plans de réponse aux incidents et de plans de continuité d'activité/de reprise après sinistre.
• Résilience cybernétique : Mesures visant à garantir que les systèmes peuvent résister aux attaques et s'en remettre.
• Formation et sensibilisation à la cybersécurité : Éducation du personnel.
• Sécurité des technologies opérationnelles (OT) : Considérations spécifiques pour les systèmes de contrôle industriels et les environnements OT, introduites de manière significative dans CCoP 2.0.

Le CCoP s'appuie fortement sur les normes et les meilleures pratiques internationales (comme NIST CSF, ISO 27001) mais les adapte en exigences spécifiques et obligatoires pour le contexte des CII de Singapour.

Pourquoi est-ce important ?

Le CCoP est crucial pour plusieurs raisons à Singapour :

• Exigence légale : Émise en vertu de la loi sur la cybersécurité de 2018, elle rend la conformité obligatoire pour tous les propriétaires d'infrastructures d'information critiques (CII) désignés.
• Protège les services essentiels : Vise à protéger les services critiques (énergie, eau, banque, etc.) dont Singapour dépend contre les cyberattaques potentiellement dévastatrices.
• Sécurité nationale : Renforcer la sécurité des CII est une question de sécurité nationale.
• Élève la base de cybersécurité : Établit un standard minimal de cybersécurité cohérent et élevé pour tous les secteurs critiques.
• Répond aux menaces évolutives : Le CCoP 2.0 intègre spécifiquement les leçons apprises et aborde les menaces plus récentes, y compris les tactiques, techniques et procédures (TTP) sophistiquées, les risques liés à la chaîne d'approvisionnement et les préoccupations de sécurité OT.
• Renforce la responsabilisation : Attribue des responsabilités claires aux propriétaires d'IIC pour la mise en œuvre et le maintien des mesures de cybersécurité, sous réserve de la surveillance réglementaire et des audits.

Pour les organisations exploitant des CII à Singapour, la conformité au CCoP est fondamentale pour leur licence d'exploitation et leur contribution à la résilience nationale.

Quoi et comment implémenter (Technique et Politique)

La mise en œuvre du CCoP implique l'établissement d'une gouvernance robuste en cybersécurité et le déploiement de contrôles techniques et procéduraux spécifiques à travers les domaines définis :

1. Gouvernance et gestion des risques :
   
   • Établir des rôles, des responsabilités et un engagement de la direction clairs en matière de cybersécurité.
   • Mettez en œuvre un cadre de gestion des risques pour identifier, évaluer et traiter les risques de cybersécurité spécifiques aux CII.
2. Mesures de protection :
   
   • Contrôle d'accès: Mettre en œuvre une authentification forte (MFA), les principes du moindre privilège, la gestion des sessions et des solutions robustes de gestion des accès privilégiés (PAM) pour contrôler l'accès aux systèmes et données CII.
   • Sécurité des données : Protéger les données sensibles en utilisant le chiffrement (au repos et en transit) et une gestion sécurisée des clés cryptographiques. Mettre en œuvre des mesures de prévention des pertes de données.
   • Sécurité réseau : Segmentez les réseaux, implémentez des pare-feu, des IDS/IPS et sécurisez les configurations réseau.
   • Gestion des vulnérabilités : Mettre en œuvre des processus et des outils (scanners) pour identifier et corriger les vulnérabilités dans les systèmes et applications dans des délais définis. Des pratiques de développement logiciel sécurisé sont essentielles.
   • Configuration sécurisée : Renforcer les systèmes, désactiver les services/ports inutiles, gérer les configurations de manière sécurisée.
   • Risque lié à la chaîne d'approvisionnement : Évaluer et gérer les risques de cybersécurité associés aux fournisseurs et prestataires de services tiers.
3. Détection :
   
   • Mettez en œuvre des systèmes de gestion des informations et des événements de sécurité (SIEM) et d'autres outils de surveillance pour détecter les anomalies et les incidents de sécurité potentiels en temps réel. Assurez une journalisation adéquate.
4. Réponse et Récupération :
   
   • Élaborer, maintenir et tester régulièrement les Plans de Réponse aux Incidents (PRI) et les Plans de Continuité d'Activité / Reprise après Sinistre (PCA/PRS). Assurer que des sauvegardes sécurisées sont effectuées et testées.
5. Sécurité OT (le cas échéant) :
   
   • Mettez en œuvre des mesures de sécurité spécifiques adaptées aux environnements de technologie opérationnelle, traitant les risques uniques aux systèmes de contrôle industriels.
6. Formation et Sensibilisation :
   
   • Dispenser une formation régulière en cybersécurité à tout le personnel concerné.
7. Audits :
   
   • Faites appel à des auditeurs agréés par la CSA pour mener des audits de cybersécurité réguliers (au moins tous les deux ans) afin de vérifier la conformité avec le CCoP et la Loi.

La mise en œuvre nécessite une approche holistique combinant technologie (PAM, SIEM, chiffrement, scanners de vulnérabilités), processus bien définis, politiques claires, formation continue et audits réguliers. Des solutions comme Thales CipherTrust (pour la sécurité des données/gestion des clés) et BeyondTrust (pour le PAM) sont souvent utilisées pour répondre aux exigences spécifiques du CCoP.

Erreurs courantes à éviter

Lors de la mise en œuvre du CCoP, les organisations pourraient rencontrer ces problèmes :

1. Gouvernance/Gestion des risques insuffisante : Traiter le CCoP comme purement technique sans établir une gouvernance solide, des processus de gestion des risques et une supervision de la direction.
2. Identification inadéquate des actifs : Ne pas identifier avec précision tous les composants et flux de données liés aux CII désignées, entraînant une protection incomplète.
3. Contrôles d'accès faibles : Particulièrement autour de l'accès privilégié, incapacité à mettre en œuvre des solutions PAM robustes ou à appliquer strictement le principe du moindre privilège.
4. Ignorer la sécurité OT : Pour les organisations disposant d'environnements OT, ne pas prendre en compte les exigences et les risques spécifiques décrits dans le CCoP 2.0 pour ces systèmes.
5. Mauvaise gestion des vulnérabilités : Ne pas disposer de processus ou d'outils efficaces pour identifier et corriger les vulnérabilités dans les délais requis.
6. Manque de surveillance/détection intégrée : Mettre en œuvre des contrôles de sécurité mais manquer de la journalisation et de la surveillance centralisées (SIEM) nécessaires pour détecter efficacement les incidents.
7. Plans de réponse/récupération non testés : Avoir des plans IRP et BC/DR sur papier mais ne pas les tester régulièrement, les rendant inefficaces en cas de crise réelle.
8. Documentation insuffisante : Ne pas documenter adéquatement les politiques, procédures, évaluations des risques, implémentations de contrôles et preuves d'audit comme requis pour la vérification de la conformité.

Ce que les auditeurs pourraient demander (Focus Développeur)

Les auditeurs évaluant la conformité CCoP pour les systèmes CII examineront les contrôles pertinents pour le développement logiciel et la sécurité des applications :

• (Protection - Gestion des vulnérabilités) « Quels processus sont en place pour identifier et corriger les vulnérabilités dans les applications sur mesure et les composants logiciels tiers utilisés au sein du CII ? » (Présenter les résultats SAST/SCA/DAST, les enregistrements de correctifs)
• (Protection - Contrôle d'accès) "Comment l'accès est-il contrôlé pour les développeurs travaillant sur des systèmes ou applications IIC ? Comment les activités de développement privilégiées sont-elles journalisées et surveillées ?"
• (Protection - Sécurité des données) "Comment les données sensibles sont-elles traitées et protégées (par exemple, chiffrées) au sein des applications supportant les IIC ?"
• (Protection - Configuration sécurisée) "Comment vous assurez-vous que des configurations sécurisées sont appliquées aux applications et à l'infrastructure de support ?"
• (Détection) "Comment la journalisation des applications contribue-t-elle aux capacités globales de surveillance et de détection pour les IIC ?"
• (Réponse/Récupération) "Comment les dépendances de l'application sont-elles prises en compte dans les plans de continuité d'activité et de reprise après sinistre pour le CII ?"

Les auditeurs attendent des preuves de pratiques de développement sécurisé, d'une gestion robuste des vulnérabilités, d'une configuration sécurisée, de contrôles d'accès appropriés et d'une journalisation efficace intégrés dans l'environnement CII.

Gains rapides pour les équipes de développement

Les équipes de développement qui soutiennent le CII peuvent contribuer à la conformité CCoP :

1. Intégrer SAST/SCA : Intégrer l'analyse automatisée du code et des dépendances dans les pipelines CI/CD pour les applications liées au CII.
2. Prioriser la remédiation des vulnérabilités : Se concentrer sur la correction des vulnérabilités critiques/élevées identifiées dans des délais conformes aux attentes du CCoP.
3. Améliorer la journalisation des applications : S'assurer que les applications produisent des journaux pertinents pour les événements de sécurité et les intègrent aux systèmes SIEM centraux.
4. Développement d'API sécurisées : Mettez en œuvre une authentification, une autorisation et une validation des entrées robustes pour les API interagissant avec les systèmes CII.
5. Suivre les standards de codage sécurisé : Adhérer aux lignes directrices de codage sécurisé reconnues (par exemple, OWASP) pour minimiser les vulnérabilités courantes.
6. Minimiser le traitement des données : Concevoir des applications pour qu'elles traitent le minimum de données sensibles nécessaire à leur fonction.

Ignorez ceci et... (Conséquences de la non-conformité)

Le non-respect par un propriétaire d'IIC du CCoP ou d'autres exigences en vertu de la loi singapourienne de 2018 sur la cybersécurité peut entraîner des conséquences importantes appliquées par la CSA :

• Sanctions financières : La loi prévoit des amendes en cas de non-conformité, bien que les montants spécifiques liés directement au CCoP puissent dépendre de la nature de la violation et des directives émises. Les amendements de 2024 pourraient augmenter les cadres de sanctions.
• Directives du Commissaire : Le Commissaire à la cybersécurité peut émettre des directives exigeant du propriétaire d'une CII de prendre des mesures spécifiques pour sécuriser la CII ou remédier à une non-conformité. Le non-respect des directives constitue une infraction.
• Intervention directe de la CSA : Dans les cas graves où un incident représente une menace significative, la CSA a le pouvoir de prendre des mesures directes pour gérer la menace de cybersécurité concernant les CII.
• Impact opérationnel : Les activités de remédiation requises ou les interventions de la CSA peuvent entraîner des perturbations opérationnelles.
• Atteinte à la réputation : La non-conformité ou les incidents qui en résultent affectant les services essentiels peuvent gravement nuire à la confiance du public et à la réputation de l'organisation.
• Responsabilité légale : Selon l'impact d'un incident résultant d'une non-conformité, des responsabilités civiles potentielles pourraient être engagées.

La conformité est essentielle pour maintenir la licence d'exploitation de services critiques à Singapour.

FAQ

Qui doit se conformer au CCoP ?

Propriétaires de systèmes informatiques désignés comme Infrastructures d'Information Critiques (IIC) par le Commissaire à la Cybersécurité en vertu de la loi sur la cybersécurité de Singapour de 2018. Il s'agit de systèmes nécessaires à la prestation continue de services essentiels dans des secteurs tels que l'énergie, l'eau, la banque, la santé, les transports, etc.

Quelle est la version actuelle du CCoP ?

Le CCoP 2.0, publié en juillet 2022, est la version actuelle et remplace les versions précédentes. Il inclut des exigences mises à jour, notamment en matière de sécurité OT et de risque lié à la chaîne d'approvisionnement.

La conformité CCoP est-elle obligatoire ?

Oui, pour les propriétaires d'infrastructures d'information critiques (CII) désignés à Singapour, la conformité au CCoP est une exigence légale en vertu de la loi sur la cybersécurité de 2018.

À quelle fréquence les audits CCoP sont-ils requis ?

Les propriétaires de CII doivent effectuer des audits de cybersécurité de leur conformité à la Loi et au CCoP au moins une fois tous les deux ans, réalisés par un auditeur agréé par la CSA, sauf indication contraire du Commissaire.

Comment le CCoP se rapporte-t-il aux normes internationales comme ISO 27001 ou NIST CSF ?

Le CCoP s'inspire largement des normes internationales établies et des bonnes pratiques, y compris des concepts issus de l'ISO 27001, du NIST CSF et d'autres. Il adapte ces principes en exigences spécifiques et obligatoires, adaptées au contexte des CII (Critical Information Infrastructure) de Singapour. L'obtention de la certification ISO 27001 peut aider à satisfaire de nombreuses exigences du CCoP, mais la conformité au CCoP doit être évaluée spécifiquement.

Quelle est la différence entre le CCoP et le PDPA de Singapour ?

Le CCoP se concentre sur la cybersécurité des systèmes d'infrastructures d'information critiques (CII) désignés. Le Personal Data Protection Act (PDPA) régit la collecte, l'utilisation et la divulgation des données personnelles par les organisations de manière plus générale à Singapour. Bien que les mesures de cybersécurité exigées par le CCoP contribuent à protéger les données personnelles potentiellement hébergées sur les CII, le PDPA a ses propres obligations spécifiques en matière de protection des données.

Où puis-je trouver le document officiel CCoP ?

Le Cybersecurity Code of Practice for Critical Information Infrastructure (CCoP 2.0) officiel peut être consulté sur le site web de la Cyber Security Agency of Singapore (CSA).