Architecte technique IOT

Notre client, leader dans le transport de gaz, a engagé une étude d’amélioration de son Système de Contrôle Industriel (SCI). Dans ce cadre, il cherche un architecte infrastructure spécialisé IT/OT au sein du pôle Service et Projets.

En tant qu'opérateur de services essentiels (OSE), notre client exploite des systèmes de contrôle industriel (ICS) pour superviser et piloter ses installations de distribution. Ces systèmes, au cœur du périmètre industriel de l'entreprise, garantissent la continuité de service, la sécurité des installations et la protection des personnes.

Dans un contexte de transformation digitale et d'évolution constante des menaces cyber, la sécurisation de ces systèmes de contrôle constitue un enjeu stratégique majeur. L'intégrité et la disponibilité de ces infrastructures sont indispensables pour maintenir l'approvisionnement énergétique national et respecter les obligations réglementaires en matière de sécurité des Opérateurs de Services Essentiels (OSE).

L’augmentation des menaces cyber ciblant les environnements industriels (ransomware, attaques Supply Chain, compromission d’accès distants) impose une élévation significative du niveau de sécurité du SCI conformément :

·       Aux exigences réglementaires sectorielles (NIS2, CRA, RED)

·       Aux référentiels ISA/IEC 62443

·       Aux bonnes pratiques ANSSI relatives aux systèmes industriels

Le Système de Contrôle Industriel (SCI) actuel présente plusieurs axes d’amélioration :

·       Absence de zone réseau SCI strictement cloisonnée

·       Dépendance partielle à l’Active Directory IT

·       Gestion hétérogène des mises à jour Windows IoT

·       Absence d’outillage centralisé de cartographie OT

·       Insuffisance de journalisation centralisée OT

·       Pratiques de prise en main à distance non homogènes

·       Applications métiers hébergées hors zone SCI (dont AWS)

Mission

La présente consultation a pour objet la mise en place d’une prestation d’Architecte transverse infrastructure sur cette phase d’étude.

Un programme structurant en 10 projets a été identifié :

1.    Configuration d’une zone réseau dédiée SCI

2.    Construction d’un nouvel Active Directory dédié SCI

3.    Déploiement d’une PKI dédiée SCI (sujet pris en main par le cyber dans leur DFE)

4.    Déploiement d’un outil de cartographie / inventaire OT

5.    Gestion d’une souche Windows IoT

6.    Centralisation des logs opérationnels et cyber OT

7.    Gestion des vulnérabilités et patching OT

8.    Mise en œuvre d’une solution de prise en main à distance (PMAD) OT sécurisée

9.    Relocalisation de l’application SIAS dans la zone SCI

10. Reconstruction de l’application SIRSE hébergée sur AWS vers un hébergement on-premise dans la zone SCI

Compte tenu de l’ampleur et de l’interdépendance des chantiers, un cadrage transverse d’architecture et de pilotage programme est indispensable avant engagement CAPEX.

L’étude vise à :

·       Définir l’architecture cible SCI

Ø  Modèle de segmentation réseau

Ø  Architecture AD OT isolée et modèle de confiance

Ø  Architecture PKI industrielle (sujet pris en main par le cyber dans leur DFE)

Ø  Schéma directeur de journalisation OT

Ø  Architecture de patch management spécifique OT

Ø  Architecture de bastion et PMAD

·       Cadrer les 10 projets

Ø  Périmètre fonctionnel et technique détaillé

Ø  Macro-planning consolidé

Ø  Estimation budgétaire CAPEX/OPEX

Ø  Identification des dépendances

Ø  Analyse de risques projet

·       Définir la trajectoire de migration

Ø  Analyse d’impact sur la production

Ø  Stratégie de bascule applicative

Ø  Plan de conduite du changement OT

Ø  Plan de tests et qualification

·       Structurer la gouvernance du programme

Ø  RACI transverse IT/OT

Ø  Modèle d’exploitation cible

Ø  Indicateurs de pilotage sécurité OT

Résultats attendus (valeur ajoutée pour les utilisateurs, QoS, Performance économique, cadrage et évaluation des coûts d'un projet…)

L’étude devra produire :

·       Dossier d’architecture globale SCI cible

·       Dossiers d’architecture détaillée par projet

·       Business Case consolidé du programme SI-37

·       Planning directeur 3 ans

·       Estimation budgétaire consolidée

·       Analyse de risques cybersécurité & opérationnels

·       Roadmap priorisée

Valeur ajoutée :

·       Réduction du risque cyber sur actifs critiques

·       Alignement avec normes industrielles

·       Meilleure résilience opérationnelle

·       Meilleure visibilité OT (cartographie et logs)

·       Maitrise des coûts via cadrage consolidé

·       Sécurisation des accès distants industriels

La prestation sera effectuée en étroite collaboration avec un Chef de Projet technique ainsi qu’avec les autres équipes du domaine ingénierie et des autres domaines de la DSI notamment le domaine exploitation. La prestation sera réalisée sous l’autorité directe du responsable de pôle, ainsi que des responsables internes du domaine Ingénierie. Le consultant aura à conduire les projets d’infrastructure depuis les phases d’étude et de conception jusqu’au déploiement et à l’intégration complète dans le respect des engagements projets : qualité, coûts, délais et sécurité. Ainsi que l’accompagnement au changement.

Envionnement technique

Infrastructure réseau physique CISCO
Infrastructure sécurité des réseaux physique (Palo Alto, Fortinet)
ELK (Elastic Search Kibana)

 Cyberark PAM

vSphere (vCenter et ESXi)
AD

PKI/Patching/Bastion

AWS