Cliente

Chi è Fives CortX?
Fondata nel 2017, Fives CortX è una filiale del gruppo Fives, specializzata in ingegneria industriale.

Aree di competenza: industria digitale, IoT ed elaborazione dei dati.

Area di specializzazione: sviluppo di modelli predittivi e di classificazione per ottimizzare la produttività dei sistemi industriali e per razionalizzare la loro manutenzione.

Fives CortX si unisce a La Ruche Industrielle nel 2020, un’associazione di Lione formata da 9 attori principali del settore industriale. Fives CortX conclude un partenariato con Wallix nel 2019 e integra Bastion nella sua soluzione.

Fives CortX sta seguendo le raccomandazioni dell’ANSSI, per ottenere la certificazione del portale della sua soluzione CortX Alchemy Edge, un sistema per la raccolta di dati nell’industria 4.0. Consulenza, audit organizzativo, pen test… Advens ha accompagnato Fives CortX in questo processo di omologazione per quasi un anno.

Contesto e sfide

CortX Alchemy Edge: il portale per l’omologazione

CortX Alchemy Edge: il portale per l'omologazione
CortX Alchemy, la piattaforma software robusta e flessibile sviluppata da Fives, che funge da punto d’accesso per tutte le soluzioni di Fives CortX.

Facile da usare, CortX Alchemy integra funzioni di raccolta dati, visualizzazione delle informazioni e modelli predittivi per offrire ai clienti industriali un sistema più avanzato e completo di monitoraggio e controllo delle loro apparecchiature.

CortX Alchemy è disponibile in tre diverse configurazioni: Edge, On Premise e Cloud.

Una collaborazione con WALLIX Inside è stata messa stabilita allo scopo di rafforzare la sicurezza e l’approccio di sviluppo “secured-by-design”: una cassaforte per le password integrata nel gateway.

Fives CortX di fronte alle sfide legate alla cybersecurity dell’industria

L’industria 4.0: un nuovo obiettivo per gli attacchi informatici

L’interconnettività dei dati all’interno dell’Industria 4.0 aumenta notevolmente la vulnerabilità agli attacchi informatici del sistema industriale. L’ambiente industriale deve adottare le misure necessarie per affrontare e prevenire i possibili rischi al fine di:

  • aumentare la protezione dei propri dati e garantire la sicurezza del loro accesso,
  • migliorare la resilienza informatica degli strumenti di produzione, al fine di garantire la continuità dell’attività aziendale.

91 %

Il 91% delle organizzazioni del settore afferma di aver riscontrato almeno un problema di cybersecurity nel proprio ambiente OT nel 2021 (Kaspersky ICS Security Survey 2022).

Esigenze normative sempre più rigorose a livello europeo

I rischi per la cybersecurity aumentano negli ambienti industriali, a causa del contesto geopolitico. L’Unione Europea ha recentemente potenziato le sue normative in materia di cyberdifesa, emanando diversi provvedimenti applicabili a tutti gli Stati membri.

Per l’ANSSI, l’omologazione di sicurezza è “un passo indispensabile per stabilire la fiducia nei sistemi d’informazione e nella loro gestione.”

Fives CortX, come fornitore di servizi, non è ancora soggetto a questi nuovi obblighi. L’azienda ha deciso di adeguarsi in anticipo al possibile inasprimento delle normative, ottenendo la certificazione del portale della sua soluzione. Fives CortX desidera anticipare le restrizioni imposte dal futuro Cyber Resilience Act.

Cyber Resilience Act

L’obiettivo principale di un nuovo standard europeo di sicurezza informatica per dispositivi connessi è:
 

  • rendere i produttori responsabili della sicurezza informatica dei loro prodotti,
  • informare i clienti e gli utenti sulle norme di cybersecurity degli oggetti acquistati e utilizzati,
  • proteggere le aziende dal moltiplicarsi dei fallimenti dell’IoT (Internet of Things) introducendo il concetto di Security by Design: cybersecurity per impostazione predefinita.
Il Cyber Resilience Act

L’omologazione di sicurezza per offrire un prodotto più sicuro

Fives CortX ha deciso di sottoporre il suo gateway a un processo di omologazione per garantire un livello di sicurezza aggiuntivo ai suoi clienti e utenti. Questa omologazione offre numerosi vantaggi:

  • è un approccio rapido e agile, condiviso al più alto livello con la direzione aziendale,
    la gestione viene effettuata prendendo in considerazione le vere vulnerabilità identificate attraverso audit tecnici,
  • le procedure di ottenimento e i test tecnici sono più flessibili, più rapidi e meno costosi di una certificazione.

Un sistema d’informazione (e tutti i suoi processi) può essere approvato senza che nessuno dei suoi elementi attivi e/o componenti sia certificato. L’omologazione di sicurezza risponde quindi all’esigenza di un prodotto, anche se vengono rilasciate nuove versioni con nuove funzionalità ogni 6 mesi.

Il processo di approvazione non differisce molto da una procedura di certificazione, poiché è incentrato sull’analisi dei rischi e dei controlli, e viene effettuato attraverso audit tecnici. La principale differenza risiede nel fatto che il controllo non viene effettuato da una terza parte (qui entra in gioco Advens), ma rimane una responsabilità interna dell’organizzazione. È la direzione dell’azienda che si assume la responsabilità dei rischi e delle vulnerabilità presentate, inviando un messaggio importante ai suoi clienti.

Perché Fives CortX ha scelto Advens

David Zak, Presidente di Fives CortX, e Kélig Dugué, Direttrice responsabile per la Cybersecurity del gruppo Fives, hanno avviato questa omologazione e hanno scelto Advens per supportarli in questo progetto.

Per loro, essere supportati da Advens, è la garanzia di:

  • capire e applicare autonomamente il processo di omologazione della sicurezza raccomandato dall’ANSSI, per sfruttare le garanzie di sicurezza aggiuntive offerte per 3 anni (se il prodotto dovesse evolvere significativamente durante questo periodo, bisognerà ripetere l’omologazione per garantire la produzione sicura della soluzione),
  • far testare il prodotto da un professionista nel campo della cybersecurity, permettendo in questo modo di correggere eventuali vulnerabilità rilevate.

Abbiamo trovato in Advens un partner a misura d’uomo, in grado di rispondere alle nostre sfide tenendo conto delle specificità e delle caratteristiche del contesto in cui opera. Il loro accompagnamento e la collaborazione hanno contribuito alla crescita e al rafforzamento delle pratiche quotidiane delle persone coinvolte.

David Zak
David Zak • Presidente di CortX

Una conoscenza tecnica approfondita per testare la sicurezza del portale

L’assistenza fornita da Advens ha permesso a Fives CortX di riappropriarsi dei concetti fondamentali riguardo la sicurezza dei dati:

  • a livello di prodotto: revisione delle politiche di sicurezza, implementazione di un processo per garantire una soluzione secured-by-design,
  • a livello umano: creazione di un programma di formazione per i team di sviluppatori.

La parte tecnica dell’assistenza fornita da Advens è consistita nello svolgimento di numerosi test di intrusione (Pen test) molto complessi effettuati per verificare l’affidabilità del gateway e l’assenza di qualsiasi vulnerabilità di sicurezza nel sistema.

La fase di pen test e il piano di risoluzione proposto da Advens ci ha permesso di scoprire e correggere delle vulnerabilità di sicurezza precedentemente sconosciute. Il loro supporto tecnico è stato quindi indispensabile per comprendere meglio il comportamento dei hacker informatici e saper reagire in caso di intrusione

Thomas Lourdaux
Thomas Lourdaux • Responsabile DevOps, Fives CortX

Risultati

Un supporto tecnico indispensabile per il mondo dell’OT

Avevamo già collaborato con Advens e, ancora una volta, i loro team hanno rispettato le nostre aspettative e sono stati all’altezza della situazione. Ciò che mi ha molto interessato in questo progetto è l’analisi dei rischi. È stata condotta in modo approfondito e con metodi appropriati, svelando così tutte le vulnerabilità nelle nostre aree di attività. Questo approccio ci ha permesso di concentrarci sui punti più critici.

Thomas Lourdaux
Thomas Lourdaux • Responsabile DevOps, Fives CortX

Un punto di partenza per l’omologazione la parte Cloud

Fives CortX è oggi molto fiducioso riguardo al livello di cybersecurity del portale della sua soluzione CortX Alchemy Edge, grazie al supporto operativo e tecnico fornito da Advens. L’omologazione permette a Fives CortX di offrire un gateway più sicuro, garantendo così una qualità che rassicura i suoi clienti.

Ma la certificazione è stata solo una fase. Ciò che conta per Fives CortX è ottenere l’omologazione per l’intera piattaforma Cloud… E chi meglio di Advens per continuare il lavoro iniziato?

Gli esperti di Advens hanno dimostrato un’alta competenza tecnica e hanno permesso di identificare e concentrare gli sforzi sulle azioni specifiche da intraprendere in termini di cybersecurity. Questo è per noi un primo passo nel nostro lungo processo per migliorare la nostra maturità cyber. Questa esperienza di successo ci prepara al meglio per prendere in considerazione la certificazione della parte Cloud della soluzione.

Itamar Ferreira Dos Santos
Itamar Ferreira Dos Santos • RSSI, Fives CortX

Scopri le offerte di Advens per l’industria 4.0