L'ordonnance PCICSO(Protection of Critical Infrastructures (Computer Systems) Ordinance) est un nouveau cadre mis en place par le gouvernement de Hong Kong afin de renforcer la cybersécurité et la résilience des opérateurs d'infrastructures critiques (CIO). En vigueur depuis janvier 2026, cette ordonnance impose aux OIC des obligations légales visant à protéger leurs systèmes informatiques contre les cybermenaces, à gérer les risques de manière proactive et à réagir efficacement aux incidents de cybersécurité. Cette réglementation stipule clairement que les opérateurs d'infrastructures critiques sont désormais tenus de mettre en place des contrôles stricts et applicables concernant la gestion des systèmes, des appareils et des données.
Ordonnance relative à la protection des infrastructures critiques (systèmes informatiques) (PCICSO)
Le cadre réglementaire du PCICSO s'articule autour de trois obligations fondamentales visant à fournir aux CIO une approche globale et systématique de la gestion des risques cybernétiques. Les CIO sont définis comme des organisations désignées par l'autorité de régulation en fonction de leur dépendance vis-à-vis des opérations essentielles des systèmes informatiques, de la sensibilité des données contrôlées, du niveau de contrôle opérationnel et de gestion de l'infrastructure, ainsi que des informations fournies aux fins de conformité.
Les trois obligations principales auxquelles les directeurs informatiques doivent se conformer sont les suivantes :
- Au niveau organisationnel : les exigences en matière de gouvernance et d'organisation visant à garantir une responsabilité, des politiques et un contrôle clairs en matière de cybersécurité.
- Prévention : mesures préventives et de protection, obligeant les opérateurs à mettre en œuvre des mesures de sécurité techniques et opérationnelles appropriées afin de sécuriser les systèmes informatiques critiques.
- Signalement et gestion des incidents : capacités permettant d'assurer la détection, le traitement et la notification rapides des incidents de cybersécurité majeurs.
Points clés
Bien que l'ordonnance couvre un large éventail d'exigences, il existe quelques points clés que les DSI doivent garder à l'esprit. Conformément à l'annexe 3, partie 1, de l'ordonnance, les opérateurs sont tenus de mettre en place des politiques visant à :
- Identifier, évaluer, surveiller, atténuer et gérer les risques liés à la sécurité des systèmes informatiques et aux vulnérabilités de ces derniers
- Contrôler l'accès aux systèmes informatiques critiques
- Gérer les fournisseurs de services et de produits informatiques utilisés pour les systèmes
Des solutions de pointe pour faciliter la mise en conformité
Endpoint des appareils et Endpoint comme fondement
Les directives du PCICSO accordent une grande importance à la posture Endpoint et à la gestion des vulnérabilités, exigeant que celles-ci soient détectées, évaluées et corrigées en temps opportun. Seuls les appareils conformes doivent être autorisés à interagir avec les systèmes critiques, tandis que les terminaux présentant des correctifs manquants, des logiciels obsolètes ou des risques de sécurité doivent être bloqués ou soumis à des restrictions jusqu’à ce qu’ils soient remis en conformité. MetaDefender garantit la conformité à ces exigences en imposant la conformité des appareils avant l'octroi de l'accès et en évaluant chaque terminal au regard des politiques de l'organisation. Cette évaluation porte notamment sur l'état des vulnérabilités et des correctifs, garantissant ainsi que seuls les appareils répondant aux exigences de sécurité requises puissent se connecter.
De plus, MetaDefender Endpoint la gestion des vulnérabilités et des correctifs sur l'ensemble des terminaux, qu'il s'agisse de systèmes d'exploitation ou d'applications tierces. Il détecte activement les vulnérabilités, corrige les risques et propose des solutions, avec une prise en charge des correctifs pour plus de 1 100 applications. Pour une mise en conformité vérifiable et la gestion des incidents, l'état de sécurité et de conformité de tous les terminaux peut être surveillé et audité de manière centralisée via My Central Management.
Réduire Media amovibles
Le contrôle d'accès est l'un des principaux axes prioritaires de l'ordonnance. Cela renforce la nécessité pour les directeurs informatiques de gérer avec rigueur tous les moyens d'accès aux systèmes critiques, y compris les supports amovibles.
L'utilisation de USB et d'autres supports amovibles reste courante dans les environnements opérationnels, en particulier lorsque les réseaux sont segmentés ou isolés, ce qui en fait un vecteur d'attaque à haut risque dans les environnements OT/ICS. Selon le rapport budgétaire SANS 2025 sur les environnements OT/ICS, 15,2 % des vecteurs d'attaque provenaient de supports amovibles compromis.
Pour atténuer ces risques, OPSWAT les entreprises à prévenir les risques liés aux supports amovibles grâce à :
- Protection Media amovibles au point d'entrée :MetaDefender sécurise les flux de données vers les environnements critiques en analysant et en désinfectant les supports amovibles dès leur arrivée. Il a été intégré au programme DeltaV Silver Alliance d'Emerson, ce qui atteste de son efficacité dans de nombreux environnements et cas d'utilisation.
- Endpoint et contrôle des périphériques avant exécution : MetaDefender offre une protection avancée des terminaux pour les environnements opérationnels en analysant activement les supports amovibles dès leur insertion et en garantissant que seuls les périphériques ou contenus sains puissent accéder aux systèmes critiques.
- Media comme couche de protection supplémentaire : MetaDefender Endpoint et MetaDefender Media offrent une couche de sécurité supplémentaire en appliquant des politiques d'analyse et de nettoyage.
- Surveillance centralisée de la protection : via My Central Management, MetaDefender et MetaDefender permettent l'application centralisée des politiques pour contrôler l'accès aux appareils, surveiller et gérer l'utilisation des supports amovibles, ainsi que consigner les activités.
Gestion des accès Supply Chain des sous-traitants et Supply Chain , et stockage Secure
Les infrastructures critiques ne pouvant fonctionner en totale isolation, les opérations quotidiennes nécessitent souvent d'accorder un accès au réseau à des appareils externes apportés par des fournisseurs, des sous-traitants et des partenaires. Les appareils temporaires, tels que les ordinateurs portables tiers et les postes de travail de remplacement, peuvent échapper à un filtrage adéquat en raison de contraintes de temps ou d'outils de vérification insuffisants, créant ainsi des vecteurs d'attaque potentiels.
Des données sectorielles récentes issues des rapports « SANS 2025 ICS/OT » et « IBM 2025 Cost of a Data Breach » ont révélé que :
- Les attaques par dispositifs éphémères ont bondi de 221 %
- 27,3 % de tous les incidents liés aux réseaux opérationnels provenaient d'appareils connectés temporairement
- Les violations de sécurité impliquant des tiers et la chaîne d'approvisionnement coûtent en moyenne environ 4,9 millions de dollars par incident
MetaDefender Drive conçu pour résoudre ces problèmes en analysant et en vérifiant les périphériques temporaires avant de leur accorder l'accès à vos réseaux critiques. Grâce à une analyse sécurisée avant le démarrage, les opérateurs peuvent inspecter les périphériques au-delà du système d'exploitation hôte afin de détecter les menaces cachées avant leur entrée sur le réseau.
Pour les systèmes critiques qui ne peuvent pas être mis hors tension en raison de contraintes opérationnelles, MetaDefender Drive prendDrive en charge l'analyse en temps réel, ce qui permet d'inspecter les périphériques pendant que le système d'exploitation est en cours d'exécution, et d'effectuer ainsi une inspection approfondie dans les environnements critiques où tout temps d'arrêt est inacceptable.
De plus, MetaDefender Drive Smart Touch permet un stockage sécurisé des fichiers : il stocke les données comme une USB classique, tout en masquant les fichiers non analysés, de sorte que seuls les fichiers analysés peuvent être partagés ou distribués.
Segmentation du réseau et flux de données unidirectionnel
Au-delà de la segmentation logique, le PCICSO reconnaît que certains systèmes critiques nécessitent des garanties plus solides que celles offertes par les contrôles logiciels. Les pare-feu, les listes de contrôle d'accès (ACL) et les politiques de segmentation restent vulnérables aux erreurs de configuration, à l'utilisation abusive des identifiants et aux exploits de type « zero-day ». Pour les systèmes à fort impact où la disponibilité et l'intégrité sont cruciales, la mise en place physique de limites de confiance constitue un contrôle décisif.
MetaDefender répond à cette exigence grâce à un flux de données unidirectionnel contrôlé par le matériel, qui garantit que les données peuvent sortir des environnements critiques à des fins de surveillance, d'analyse et de reporting de conformité, tout en empêchant les communications entrantes. Contrairement aux contrôles réseau conventionnels qui reposent sur l'application de politiques, cette approche élimine par conception des catégories entières de vecteurs d'attaque. Elle empêche les logiciels malveillants, les commandes à distance et les mouvements latéraux de revenir dans les systèmes protégés, soutenant ainsi l'accent mis par le PCICSO sur la réduction du risque systémique et la limitation des voies d'exposition aux systèmes critiques.
D'un point de vue opérationnel, MetaDefender permet aux DSI de respecter leurs obligations en matière de surveillance, de journalisation et de reporting sans compromettre l'isolation des systèmes. Les journaux, les données de télémétrie et les indicateurs opérationnels peuvent être transmis en toute sécurité vers les environnements informatiques ou SOC pour une analyse centralisée, tandis que les systèmes OT et de contrôle restent intacts, ce qui garantit la conformité avec l'ordonnance.
De la conformité à la résilience
L'application des nouvelles directives de l'ordonnance de Hong Kong sur la cybersécurité aide les organisations à garantir la conformité des appareils, à contrôler les transferts de fichiers, à gérer les supports amovibles et à segmenter les réseaux. Alors que les infrastructures critiques sont de plus en plus interconnectées tout en reposant sur des systèmes qui ne tolèrent aucune interruption, les contrôles de sécurité doivent fonctionner sans perturber les opérations.
OPSWAT regroupe ces fonctionnalités sur l'ensemble des terminaux, des supports amovibles, des appareils temporaires et des flux de données, couvrant ainsi les points d'entrée courants tout en offrant la visibilité attendue par les autorités de régulation. Pour en savoir plus sur la manière dont OPSWAT les organisations gérant des infrastructures critiques à répondre à ces exigences et OPSWAT renforcer leur cyber-résilience, contactez dès aujourd'hui l'un de nos experts.
