Audit cybersécurité et sécurité des réseaux radio et SCADA

Périmètre technique

• Inventaire et cartographie : recensement des composants applicatifs SCADA (serveurs virtualisés, bases de données, postes opérateurs, certificats), éléments d'infrastructure (pare-feu, DMZ, flux), équipements radio (stations de base, cœur réseau, RTU, backhaul IP, supervision), pylônes et shelters.
• Analyse d'architecture et segmentation : évaluation du cloisonnement IT/OT/Radio, segmentation interne SCADA/Radio, règles pare-feu industrielles, présence/absence de connexions Internet directes, propositions de segmentation et durcissement des flux IP.
• Gestion des accès et authentification : revue des comptes (nominatifs, privilèges), politiques d'habilitation, proposition de MFA, gestion des accès distants via bastion, procédures pour comptes temporaires et revues périodiques des habilitations.
• Chiffrement et transports : vérification du chiffrement radio (AES/TEA), usage de tunnels sécurisés (IPSec/TLS) pour le backhaul et recommandations de durcissement des transports IP.
• Journalisation, supervision et détection : centralisation et horodatage des logs SCADA/Radio, intégration et corrélation SIEM/SOC, détection OT (IDS/IPS) et propositions d'alerting et d'indicateurs de compromission.
• Vulnérabilités, patching et durcissement : inventaire des versions OS/firmware, processus de veille vulnérabilités, politiques de patch OT/Radio, justification des patches non appliqués et durcissement des configurations.
• Continuité et résilience : audit des plans PCA/PRA couvrant SCADA et Radio, redondances, définition de RTO/RPO conformes aux exigences de sécurité critique, recommandations de tests et sauvegardes.
• Chaîne d'approvisionnement : analyse des risques fournisseurs, exigences de sécurité (MFA, bastion, traçabilité des mises à jour), gestion des correctifs tiers et conformité matérielle.
• Gestion des incidents et conformité réglementaire : formalisation d'une procédure unifiée de gestion des incidents SCADA+Radio, classification et registre des incidents, obligations de notification (conformité NISv2) et processus de reporting.
• Sécurité physique : contrôle d'accès des sites radio et SCADA, protection des pylônes/shelters, mesures de vidéosurveillance et gestion des intervenants externes selon criticité.
• Formation et exercices : programme de formation/sensibilisation OT/Radio, exercices de crise conjoints et scénarios liés au brouillage et à la compromission des réseaux radio.

Livrables attendus

• Rapport d'audit complet (synthèse exécutive, analyses SCADA + Radio, cartographies et analyse de risques EBIOS RM, écarts vis-à-vis de NISv2).
• Registres structurés (vulnérabilités, risques) et plan d'actions priorisé (court/moyen/long terme).
• Optionnel : prestations de tests d'intrusion et livrables associés (modalités à préciser si retenues).

Modalités d'exécution

• Travaux en mode mixte présentiel/distanciel : activités d'observation et entretiens sur site en présentiel ; ateliers, réunions et formations possibles à distance.
• Exigences de qualification : fournir preuves d'expériences et qualifications demandées dans les pièces de candidature.