Cas Client

Advens unterstützt Fives CortX bei der Zulassung der Lösung „CortX Alchemy Edge“

Kunde

Wer ist Fives CortX?
Fives CortX wurde 2017 gegründet und ist eine Tochtergesellschaft der Fives-Gruppe, die auf Industrietechnik spezialisiert ist.

Expertise: digitale Industrie, IoT und Datenverarbeitung.

Spezialgebiet: Entwicklung von Vorhersage- und Klassifizierungsmodellen zur Optimierung der Produktivität industrieller Systeme und zur Rationalisierung ihrer Wartung.

Fives CortX hat sich 2020 La Ruche Industrielle angeschlossen, einem Lyoner Zusammenschluss von 9 wichtigen Akteuren des Industriesektors. Fives CortX ist seit 2019 Partner von Wallix und hat Bastion in seine Lösung integriert.

Um den Empfehlungen der ANSSI zu folgen, hat Fives CortX mit der Zulassung des Portals seiner Lösung CortX Alchemy Edge für die Datenerfassung in der Industrie 4.0 begonnen. Beratung, Organisationsaudit, Pentest … Advens hat Fives CortX fast ein Jahr lang bei diesem Zulassungsprozess begleitet.

Hintergrund und Herausforderungen

CortX Alchemy Edge: das zuzulassende Portal

CortX Alchemy Edge: das zuzulassende Portal
CortX Alchemy, die robuste und flexible Software-Plattform von Fives, ist der Einstiegspunkt für alle CortX-Lösungen von Fives.

CortX Alchemy ist benutzerfreundlich und integriert Datenerfassung, Visualisierungsfunktionen und prädiktive Modellierung, um Industriekunden ein erweitertes Dashboard für die Überwachung ihrer Anlagen zu bieten.

Die CortX Alchemy-Lösung ist in drei verschiedenen Architekturen verfügbar: Edge, On Premise und Cloud.

Eine Partnerschaft mit WALLIX Inside wurde eingegangen, um die Sicherheit und den Entwicklungsansatz „Secured-by-Design“ zu stärken: Ein Passwort-Safe ist in das Gateway integriert.

Fives CortX stellt sich den Cyberherausforderungen der Industrie

Industrie 4.0: Ein neues Ziel für Cyberangriffe

Die Datenvernetzung zu Zeiten der Industrie 4.0 erhöht die Angriffsfläche für industrielle Systeme erheblich. Die Industrie muss die notwendigen Maßnahmen ergreifen, um diesen potentiellen Risiken zu begegnen, indem sie:

  • den Schutz ihrer Daten und den Zugang zu ihnen verbessert,
  • die Cyberausfallsicherheit der Produktionsmittel erhöht, um die Kontinuität der Geschäftstätigkeit zu gewährleisten.

91 %

91 % der Industrieunternehmen geben an, dass sie im Jahr 2021 mindestens ein Cybersicherheitsproblem in ihrer OT-Umgebung hatten (Kaspersky ICS Security Survey 2022).

Zunehmend strengere regulatorische Anforderungen auf europäischer Ebene

Die Cybersicherheitsrisiken in industriellen Umgebungen nehmen aufgrund des geopolitischen Umfelds zu. Die Europäische Union hat kürzlich ihre regulatorischen Anforderungen in Bezug auf diese Fragen der Cyberabwehr durch die Verabschiedung verschiedener Texte, die für alle Mitgliedstaaten gelten, verschärft.

Für die ANSSI ist die Sicherheitszulassung „eine Voraussetzung für die Schaffung von Vertrauen in Informationssysteme und deren Betrieb“.

Fives CortX als Dienstleister unterliegt diesen neuen Verpflichtungen noch nicht. Das Unternehmen beschloss, durch die vorzeitige Zulassung des Portals seiner Lösung der Verschärfung der Vorschriften einen Schritt voraus zu sein. Fives CortX möchte die Einschränkungen vorwegnehmen, die durch den zukünftigen Cyber Resilience Act auferlegt werden.

Cyber Resilience Act

Der Grundstein für eine neue europäische Norm für die Cybersicherheit vernetzter Geräte, mit dem Ziel:
 

  • Hersteller für die Cybersicherheit ihrer Produkte verantwortlich zu machen,
  • Kunden und Nutzer über die Cybersicherheitsstandards der von ihnen gekauften und verwendeten Gegenstände zu informieren,
  • Unternehmen durch die Einführung des Konzepts „Security by Design“ vor der Zunahme von IoT-Fehlern zu schützen.
Der Cyber Resilience Act

Sicherheitszulassung für ein sichereres Produkt

Fives CortX hat sich entschieden, sich um die Zulassung seines Gateways zu bemühen, um seinen Kunden und Nutzern eine zusätzliche Sicherheitsgarantie zu bieten. Diese Zulassung hat viele Vorteile:

  • Es handelt sich um einen schnellen und agilen Prozess, der auf höchster Ebene mit dem Management geteilt wird,
    das Management erfolgt risikobasiert, wobei tatsächliche Schwachstellen durch technische Audits berücksichtigt werden,
  • die Verfahren zur Erlangung und die technischen Prüfungen sind flexibler, schneller und kostengünstiger als eine Zertifizierung.

Ein Informationssystem (und alle seine Prozesse) kann zugelassen werden, ohne dass eines seiner Assets und/oder Komponenten zertifiziert ist. Die Sicherheitszulassung erfüllt somit die Anforderungen an ein Produkt, auch wenn alle 6 Monate neue Versionen mit neuen Funktionen erscheinen.

Der Zulassungsprozess unterscheidet sich nur geringfügig von einem Zertifizierungsprozess, da er sich auf Risiken und Kontrollen mit technischen Audits konzentriert. Der große Unterschied liegt in der Kontrolle selbst, die nicht von einem Dritten durchgeführt wird (hier kommt Advens ins Spiel), sondern eine interne Angelegenheit bleibt. Es ist das Management, das sich zu den dargestellten Risiken und Schwachstellen bekennt: Das ist eine starke Botschaft an die Kunden.

Warum Fives CortX sich für Advens entschieden hat

David Zak, Präsident von Fives CortX, und Kélig Dugué, Direktorin für Cybersicherheit der Fives Gruppe, haben diese Zulassung initiiert und Advens ausgewählt, sie bei diesem Projekt zu unterstützen.

Für sie bedeutet die Unterstützung durch Advens die Garantie, dass sie:

  • das von der ANSSI empfohlene Verfahren der Sicherheitszulassung verstehen und anwenden können, dass sie autonom sind und dass sie von den zusätzlichen Sicherheitsgarantien für drei Jahre profitieren können (sollte sich das Produkt in diesem Zeitraum wesentlich weiterentwickeln, muss eine neue Zulassung beantragt werden, um die sichere Inbetriebnahme der Lösung zu gewährleisten).
  • ihr Produkt von einem Experten für Cybersicherheit testen lassen können, um eventuell gefundene Schwachstellen zu beheben.

In Advens haben wir einen echten Partner gefunden, der in der Lage ist, auf unsere Herausforderungen zu reagieren und gleichzeitig die Besonderheiten unseres Umsetzungskontextes zu berücksichtigen. Ihre Unterstützung und Zusammenarbeit hat uns wachsen lassen und unsere tägliche Praxis gestärkt.

David Zak
David Zak Präsident von CortX

Ein hohes Maß an technischem Wissen, um die Sicherheit des Portals zu testen

Die Unterstützung durch Advens ermöglichte es Fives CortX, sich die Grundkonzepte der Datensicherheit wieder anzueignen:

  • Auf Produktebene: Überarbeitung der Sicherheitsrichtlinien, Einführung eines Verfahrens zur Gewährleistung von „Secure by Design“,
  • auf menschlicher Ebene: Einführung eines Schulungsprogramms für die Entwicklerteams.

Der technische Teil der Unterstützung durch Advens bestand in der Durchführung zahlreicher, sehr komplexer Penetrationstests (Pentests), um die Zuverlässigkeit des Gateways und die Abwesenheit von Sicherheitslücken zu gewährleisten.

Die von Advens angebotene Pentestphase und der Sanierungsplan ermöglichten es uns, bisher unbekannte Sicherheitslücken zu entdecken und zu beheben. Ihre technische Unterstützung war daher unerlässlich, um das Verhalten von Cyberangreifern besser zu verstehen und im Falle eines Eindringens reagieren zu können.

Thomas Lourdaux
Thomas Lourdaux DevOps-Manager, Fives CortX

Ergebnisse

Unverzichtbare technische Unterstützung für die IOT-Welt

Wir haben schon früher mit Advens zusammengearbeitet und auch diesmal waren die Teams sehr gut. Was mich an diesem Projekt sehr interessiert hat, war die Risikoanalyse. Sie wurde gründlich und mit der richtigen Methodik durchgeführt und deckte alle Schwachstellen in unserem Bereich auf. Dieser Ansatz ermöglichte es uns, uns auf die kritischsten Punkte zu konzentrieren.

Thomas Lourdaux
Thomas Lourdaux DevOps-Manager, Fives CortX

Ein Sprungbrett für die Zulassung der Cloud-Komponente

Mit dieser operativen und technischen Unterstützung von Advens ist Fives CortX heute sehr zuversichtlich, was die Cybersicherheit des Portals seiner Lösung CortX Alchemy Edge betrifft. Die Zulassung ermöglicht es Fives CortX, ein sichereres Gateway anzubieten: eine Qualitätsgarantie, die den Kunden ein gutes Gefühl gibt.

Aber die Zulassung war nur ein erster Schritt. Fives CortX will sich nun um die Zulassung der gesamten Cloud-Plattform bemühen … Und wer wäre besser geeignet, diese Arbeit fortzusetzen, als Advens?

Die Experten von Advens waren technisch sehr versiert und ermöglichten es uns, die notwendigen Cybersicherheitsmaßnahmen zu ergreifen. Dies ist ein erster Schritt in unserem langen Prozess zur Verbesserung unserer Cyberreife. Diese erfolgreiche Erfahrung bereitet uns optimal darauf vor, die Zulassung der Cloud-Komponente der Lösung in Betracht zu ziehen.

Itamar Ferreira Dos Santos
Itamar Ferreira Dos Santos RSSI, Fives CortX

Entdecken Sie die Advens-Angebote für Industrie 4.0

Advens

Lassen Sie uns gemeinsam für ein größeres Wohl handeln

Kunde, Partner oder Kandidat: Engagieren Sie sich mit uns, um die Sicherheit von Organisationen zu wahren, aber auch unseren Lebensstil, unsere Freiheiten und unsere Gesellschaft zu schützen. Lassen Sie uns gemeinsam unsere Leistung in den Dienst sinnvoller Projekte stellen.

Kontakt
Advens

Über Advens

Wir können Ihnen sagen, dass wir der unabhängige Marktführer im Cyber-Bereich in Frankreich sind und dass unsere Experten Sie auf der ganzen Welt bei der Bewältigung der Cyber-Bedrohung unterstützen. Das ist wahr. Aber das ist nicht das, was uns am besten ausmacht. Wir schützen nicht nur Ihre Daten, wir handeln auch gemeinsam angesichts der Notfälle der Welt heute und morgen.

Mehr erfahren