RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET TRAVAUX DES AUDITEURS INHESJ. Cycle «Sécurité des usages numériques»

Dimension: px
Commencer à balayer dès la page:

Download "RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET TRAVAUX DES AUDITEURS INHESJ. Cycle «Sécurité des usages numériques»"

Transcription

1 Institut national des hautes études de la sécurité et de la justice INHESJ TRAVAUX DES AUDITEURS RISQUES ET SÉCURITÉ Cycle «Sécurité des usages numériques» Travaux de la 4 e promotion ( ) DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET en partenariat avec le DÉCEMBRE 2014

2 L Institut national des hautes études de la sécurité et de la justice publie chaque année des rapports et études sur les champs de la sécurité et à la justice. Dans le cadre du cycle de spécialisation «Sécurité des usages numériques», les auditeurs stagiaires réalisent un travail collectif tutoré par le département sécurité économique de l INHESJ. Ces travaux sont effectués en toute liberté grâce à l indépendance dont les auteurs bénéfi cient au sein de l Institut. L étude ci-dessous publiée est un document à vocation scientifi que. Il ne saurait être interprété comme une position offi cielle ou offi cieuse de l Institut ou des services de l État. Les opinions et recommandations qui y sont exprimées sont celles de leurs auteurs. Le document est publié sous la responsabilité éditoriale du directeur de l Institut. Les études ou recherches de l INHESJ sont accessibles sur le site de l INHESJ. Directeur de la publication M. Cyrille SCHOTT, directeur de l INHESJ

3 AVANT-PROPOS est désormais au cœur des actifs immatériels des organisations et constitue un élément clé de leur performance. L information L entrée dans le monde numérique a par ailleurs conféré aux systèmes d information une dimension incontournable du développement de l économie. La «sécurité des usages numériques» représente donc un enjeu majeur pour la pérennité et la compétitivité des entreprises et des administrations. C est pourquoi, dès 2010, l Institut national de hautes études de la sécurité et de la justice (INHESJ) et le CIGREF (Réseau de Grandes Entreprises) ont convenu de mettre en place un cycle de formation sur les problématiques et les enjeux liés à la sécurité numérique à destination des cadres d entreprises des secteurs privé et public. Ce cycle de spécialisation en «Sécurité des usages numériques» se fi xe pour objectif de délivrer les savoir-faire visant l identifi cation, l évaluation et la maîtrise de l ensemble des risques et des malveillances à tous ceux qui veulent mieux comprendre les enjeux de la sécurité numérique au sein des entreprises. L Institut est heureux de présenter dans sa collection Études et Documents les travaux des auditeurs de ce cycle réalisés sous la supervision du Département sécurité économique de l INHESJ. Cyrille SCHOTT Directeur de l Institut national des hautes études de la sécurité et de la justice Pascal BUFFARD Président du CIGREF INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 3

4 Les AUTEURS Les Auteurs de ce travail intitulé «Sécurité des objets connectés» sont : Carolina MORALES-COLASANTE Véronique WADEL Sylvain ARNOLD Xavier BLANCHARD Bertrand LOCHET Sous la direction de Nicolas Arpagian, directeur scientifi que du cycle «Sécurité des usages numériques».

5 RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET Travaux de la 4 e promotion ( ) du Cycle «Sécurité des usages numériques» Sommaire PRÉAMBULE INTRODUCTION CHAPITRE 1 Les systèmes industriels Historique Composants des systèmes industriels Les principaux objectifs et atouts des Systèmes industriels Domaines d utilisation des systèmes industriels CHAPITRE 2 Les risques et menaces des systèmes industriels Profi l des attaquants et les objectifs de l attaque Typologie des risques Typologie des menaces Moyen d accès d une attaque au système industriel CHAPITRE 3 - Problématiques juridiques de la cyber-sécurité des systèmes industriels «Le droit des robots» «Security by design» Les Systèmes industriels et les objets connectés La cyber-assurance des systèmes industriels Le dispositif juridique français et européen Le rôle de la Direction juridique CHAPITRE 4 Les solutions de sécurisation de la connexion à Internet des systèmes industriels Le retour au déterminisme des systèmes industriels L audit du code Authentifi cation Forte Le chiffrement et le principe ou la chaîne de confi ance Protocoles spécifi ques SCADA par les fabriquant des solutions «endpoint» Approche sémantique «fi rewall sémantique» Amélioration de la Cyber sécurité des réseaux des systèmes industriels Systèmes de détection d intrusion Les «Honeypot» Recherche et analyse de la vulnérabilité La vérifi cation des journaux La sensibilisation à la cyber-sécurité La mise en œuvre des directives et guides de gestion de la sécurité La défense en profondeur La gestion des risques Propositions d architecture et de process CONCLUSION Définitions Références bibliographiques INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 5

6 PRÉAMBULE Miser sur la diversité des compétences pour répondre à des menaces protéiformes. La sécurité numérique doit se concevoir sur le modèle des multiples formes d agressions rendues possibles par les technologies de l information et de la communication qui irriguent désormais les organisations économiques, administratives ou militaires. C est la raison pour laquelle la réfl exion et la stratégie en matière de cybersécurité doivent se concevoir en mettant à contribution une grande variété de compétences et d expertises : dans les domaines industriels, techniques, informatiques, juridiques, judiciaires, militaires, policiers et même politiques. De ce croisement de savoir-faire émergeront les stratégies utiles à mettre en place pour concevoir une sécurité numérique plus performante. C est dans cet esprit que chaque année les auditeurs du cycle «Sécurité numérique» de l Institut national des hautes études de la sécurité et de la justice (INHESJ) travaillent à analyser et éclairer une problématique qui se trouve au cœur des intérêts stratégiques des entreprises, et donc des États. Ils ont pour mission d expliquer les enjeux de la thématique qui leur a été confi ée, d en présenter les mécanismes et de formuler des réponses réalistes et concrètes pour réduire ou faire cesser l exposition au risque qu elle représente. Soit une démarche résolument tournée vers une amélioration continue de la notion de sécurité, au bénéfi ce du plus grand nombre. Vous trouverez dans ce document le fruit de leurs réfl exions après une année d étude passée au sein de l INHESJ à échanger entre pairs et à rencontrer les experts et les praticiens les plus expérimentés dans le domaine de la sécurité numérique. Ils aboutissent à chaque fois à des recommandations opérationnelles directement transposables dans la réalité des entreprises et des administrations. Ce sont donc des contributions utiles à une meilleure sécurité numérique. Éric DELBECQUE Nicolas ARPAGIAN Chef du Département Directeur scientifi que du cycle «Sécurité économique» «Sécurité des usages numériques» INHESJ Septembre 2014 Ingérence et politique de sécurité des systèmes d information 7

7 INTRODUCTION Les systèmes industriels sont essentiels au bon fonctionnement de la nation. À l instar de la démarche déjà entreprise par les États-Unis, il s agit aujourd hui de faire de leur cyber-sécurité une priorité stratégique, tant au niveau européen et français qu au niveau international. Les dernières cyber-attaques Stuxnet 1, Spamhaus et plus récemment les vols de données clients chez Orange ont alerté aussi bien les pouvoirs publics que les entreprises exploitant des systèmes industriels. Ces événements confi rment la nécessité de prendre toutes les mesures appropriées pour faire face aux risques encourus, mais aussi pour se conformer au cadre réglementaire qui se met progressivement en place. La connexion des systèmes industriels à Internet n étant pas une nouveauté en soi, il est cependant nécessaire d exposer le contexte spécifi que à ces derniers (Chapitre 1) pour mieux comprendre les risques de leur connexion à Internet (Chapitre 2) avec les problématiques et enjeux juridiques (Chapitre 3). Et, ainsi, pouvoir présenter les différentes mesures de sécurisation de ces systèmes industriels (Chapitre 4). (1) C est le premier ver découvert qui espionne et reprogramme des systèmes industriels, ce qui comporte un risque élevé. Il cible spécifi quement les systèmes SCADA utilisés pour le contrôle commande de procédés industriels. Stuxnet a la capacité de reprogrammer des automates programmables industriels (API). 8 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

8 Chapitre 1 LES SYSTÈMES INDUSTRIELS Historique Jusqu en 1940, les premiers systèmes de pilotage connectés étaient des systèmes de contrôle dans les systèmes industriels. Ils étaient destinés à opérer des équipements localisés dans des sites distants. Toutefois, à cette époque, il était nécessaire d avoir du personnel sur chacun des sites ou bien d envoyer une équipe pour opérer l équipement. Les premiers essais de ces systèmes industriels ont débuté par l utilisation d une paire de lignes entre les sites distants. Chaque ligne opérait une seule pièce de l équipement. Cette solution s est avérée très onéreuse mais justifi ée par le besoin d être opérée très fréquemment ou afi n de rétablir le service rapidement. Puis les Relay/Tone system ont vu le jour ; comme des systèmes relais qui créaient des pulsations envoyées au travers d un canal de communication jusqu au site distant. Dans les années 1960, les premiers systèmes industriels voient le jour en tant que système d exploitation électronique d entrée / sortie, avec des transmissions entre une station maître et une station distante. La station «maître» avait pour but de recevoir des données à travers un réseau de télémétrie et de stocker les données sur les ordinateurs centraux. En 1965 pour la première fois, un ordinateur a été utilisé comme station maître, capable d avoir des fonctions en temps réel. Tel était le cas des processeurs PRODAC et GETAC construits par GE et Westinghouse. Progressivement les ordinateurs ont commencé à être dotés de fonctions de scanning de données, du monitoring de données et des statuts, de changements des alertes puis de données des connexions périodiques. La plupart des systèmes industriels américains fonctionnaient alors avec une base de scanning permanent avec l ordinateur maître ; ce dernier envoie alors les requêtes, les sites distants, eux, uniquement des réponses. En Europe, on retrouve les premiers systèmes dans lesquels le site distant continue à envoyer des données sans que le site central envoie des requêtes ; ceci grâce à un canal qui permettait d envoyer et de recevoir en même temps. Ce n est que dans les années 1970 que les systèmes de contrôle distribués (DCS) ont été développés pour contrôler différents sous-systèmes éloignés ; dans les années 1980, avec le développement du micro-ordinateur, le contrôle de processus a pu être réparti entre les sites distants. Puis il y a eu un développement des activités DEC utilisant des contrôleurs logiques programmables (PLC) ; ils avaient la capacité de contrôler les sites sans prendre la direction d un maître. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 9

9 LES SYSTÈMES INDUSTRIELS Chapitre 1 Dans les années 1990, les systèmes industriels avaient des capacités de DCS et étaient adaptés en fonction de certaines caractéristiques de contrôle propriétaires construits par le concepteur. Internet étant utilisé davantage comme un outil de communication, les systèmes de télémesure utilisaient alors des logiciels automatisés avec certains portails de téléchargement des informations ou de contrôle de processus. L Ingénierie des systèmes industriels concerne aujourd hui des processus de contrôle, mais aussi la mesure, la prévision, la facturation, l analyse et la planifi cation. Les systèmes industriels actuels doivent répondre à un tout nouveau niveau d automatisation de contrôle avec un interfaçage aux équipements obsolètes, tout en restant suffi samment souple pour s adapter à l évolution des technologies d information. Les exigences des systèmes industriels relèvent aujourd hui des mises à niveau et mises à jour des versions des systèmes ; il faut alors donner la priorité à la connaissance des composants du système avant de décider quelle interface mettre en place ou quel matériel est nécessaire pour une application particulière. Depuis les années 2000, une transformation profonde a eu lieu : les systèmes isolés et propriétaire sont passés à des systèmes construits sur des architectures et structures aux technologies standard hautement interconnectés sur des réseaux privés, voire sur internet. Ces systèmes, conçus pour durer des dizaines d années à une époque où la cyber criminalité touchant les infrastructures industrielles critiques n était pas encore répandue, n intégraient pas encore nativement la sécurité réseau. Composants des systèmes industriels Un dispositif système industriel, utilisé comme outil de sécurité de consignation d appareil électrique, est généralement composé des sous-systèmes suivants : une interface homme-machine qui présente les données à un opérateur humain : ce dernier peut alors superviser et commander les processus ; un système de supervision et de contrôle informatique faisant l acquisition des données des processus et envoyant des commandes (consignes) aux processus ; une unité terminale distante (RTU) reliant les capteurs convertissant les signaux en fl ux de données numériques et envoyant les données numériques au système de supervision ; des automates programmables industriels utilisés sur le terrain pour leur versatilité et fl exibilité due à leur capacité d être confi gurables ; 10 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

10 Chapitre 1 LES SYSTÈMES INDUSTRIELS une infrastructure de communication reliant le système de supervision et contrôle aux éléments terminaux ; divers instruments d analyse. À titre d exemple, le schéma ci-dessous expose les différents composants d un système industriel. Les principaux objectifs et atouts des Systèmes industriels Les systèmes industriels ont pour principaux objectifs : de concentrer les données, déporter ou centraliser le pilotage du procédé ; d apporter une vision temps réel des états permettant aux opérateurs de réagir et de décider rapidement ; D apporter les premiers outils d analyses nécessaires aux contrôles des équipements concernés (historiques, courbes, pareto, alarmes, login). Pour parvenir à atteindre ces objectifs, les systèmes industriels sont dotés d un certain nombre d atouts, notamment : des outils de graphisme afi n de représenter les procédés concernés ; des «moteurs» d animation permettant de défi nir les différents choix de dynamismes des objets graphiques ; INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 11

11 LES SYSTÈMES INDUSTRIELS Chapitre 1 la gestion de la base de données en temps réel, parfois propriétaire ; en leur attribuant des propriétés, il est possible de défi nir des variables typées internes ou en liaison avec le système de contrôle commande ; des traitements internes initiés par des déclencheurs multiples (temporels, changement d état, équation combinatoire, ouverture d une fenêtre ) ; ils permettent d appliquer des premiers niveaux de traitement informatique plus ou moins évolués ; une gestion de la sécurité pour un contrôle des accès applicatifs est généralement proposée ; certains superviseurs intègrent également les possibilités de s interfacer avec une base de données relationnelle. Domaines d utilisation des systèmes industriels Les systèmes industriels sont conçus pour soutenir les processus industriels et surveiller et contrôler, en temps réel, un large éventail de processus et d opérations, tels que la distribution de gaz et électricité (classique et nucléaire), le traitement de l eau, le raffi nage de pétrole ou le transport ferroviaire. 2 (2) Défi nition ENISA. Ces systèmes industriels sont utilisés également dans la distribution, la chimie et dans certaines installations expérimentales tels que la fusion nucléaire, le transport des produits chimiques, la recherche et les études scientifi ques et industrielles, les accès aux bâtiments, le contrôle du chauffage et la ventilation des ascenseurs ou du refroidissement des data centers. Parmi les exploitants des systèmes industriels, il y a les Opérateurs à Importance Vitale (OIV). Ces derniers sont défi nis en France par le Code de la Défense dans ses articles R et R comme étant «les opérateurs publics ou privés, exploitant des établissements ou utilisant des installations et ouvrages, dont l indisponibilité risquerait de diminuer d une façon importante le potentiel de guerre ou économique, la sécurité ou la survie de la nation ou de mettre gravement en cause la santé ou la vie de la population». Ces OIV constituent une liste de 200 opérateurs dont 100 sont des entreprises privées. Les infrastructures vitales du pays sont concernées par de nouveaux risques : les cyber-risques. Ces derniers menacent le fonctionnement dont dépendent les infrastructures vitales du pays. En effet, la mise en œuvre systématique du principe de sécurité «de base» des systèmes d information, tels que la surveillance du système, la notifi cation des incidents ou la réalisation régulière d audits ne sont pas systématiquement mis en œuvre. De ce fait, et au regard de la cybermenace grandissante, les instances nationales et européennes ont décidé de renforcer le régime qui leur est applicable. 12 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

12 Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Un autre élément qui n est pas négligeable est qu historiquement, les systèmes industriels étaient dévoués à la protection de la sûreté de fonctionnement (SDF), en utilisant une analyse statistique et des techniques de redondance, ce qui permettait de faire le traitement du risque de défaillance des équipements. Toutefois la SDF ne couvre pas les risques et menaces des cyber-attaques qui évoluent très rapidement. Les standards de sûreté de fonctionnement des systèmes industriels doivent alors s adapter pour prendre en compte la cybersécurité et éviter que l intégrité des Systèmes Instrumentés de Sécurité (SIS) assurant la sécurité des personnes puisse être remise en cause par une attaque informatique. (3) «Global State of Information Security Survey 2013, Tendances et enjeux de la sécurité de l information» Etude Price WaterhouseCooper, 30 janvier La cybercriminalité désigne les infractions pénales commises par le biais de réseaux informatiques et de l information électronique. Elle concerne aussi bien les atteintes aux biens (escroquerie, contrefaçon, vol des données, etc.) que les atteintes aux personnes (terrorisme, incitation à la haine raciale, pédopornographie, etc.) ; elle se situe à la quatrième place des fraudes les plus rencontrées par les entreprises. Le budget cyber-sécurité représente un budget annuel de 60 milliards de dollars. Ce montant devrait augmenter de 10% dans les trois à cinq années à venir. 3 Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Depuis que l affaire Stuxnet a dévoilé au grand public les failles des systèmes industriels, les risques et menaces pour ces derniers deviennent une préoccupation majeure pour les exploitants, ainsi que pour les États et les particuliers. Si l appréhension d une sécurité se fait essentiellement au travers de bonnes pratiques, il convient aussi de recenser les vulnérabilités auxquelles l entreprise doit faire face. Profi l des attaquants et les objectifs de l attaque Les auteurs ou les cyber-attaquants ont des profi ls divers, notamment le hacker isolé, le salarié mécontent, les réseaux organisés, les cellules de renseignement. Ils ont une multitude des motivations, tels que le défi informatique, le vol de données à des fi ns lucratives, le hackeractivisme, l espionnage à des fi ns économiques ou industrielles, etc.) (cf. fi gures 1 et 2). INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 13

13 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2 Figure Typologie des attaquants attaquant 14 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

14 Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Les cyber-attaques peuvent provenir de : l intérieur de l entreprise exploitant le système industriel (menaces internes du fait de comportements inadaptés des personnels à l usage des nouvelles technologies ou d une malveillance et du fait d un défaut de gouvernance augmenté, par exemple, par l admission et gestion du BYOD et des connexions WI-FI). l extérieur de l entreprise : hacktivisme, APT. Typologie des risques La typologie de ces risques est résumée dans le tableau ci-dessous. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 15

15 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2 Typologie des menaces Les menaces sur les systèmes industriels proviennent aussi bien de phénomènes naturels, d actes malveillants et d accidents, que de procédures irrégulières ou de défaillances techniques. Historiquement, ces menaces ne concernaient que les éléments internes au système industriel en question, notamment les membres du personnel, l organisation des exploitants d installations ou du personnel support technique. D autres exemples de menace sur les systèmes industriels sont : des vers autonomes qui cherchent au hasard des chemins de propagation ; (DDoS) virus (dont les chevaux de Troie) ; le terrorisme ; les perturbations des services publics ; le bruit sur les lignes électriques ; les interférences électromagnétiques (EMI) et de fréquences radio (RFT) ; la fermeture de l usine pour l entretien et démarrage après l entretien (de nombreux événements néfastes se produisent pendant l arrêt et le démarrage) ; la mauvaise application de correctifs logiciels ; l interdépendance avec les autres réseaux et les éléments de support technique. Moyen d accès d une attaque au système industriel Aujourd hui tous les systèmes industriels sont connectés à Internet, aux différents réseaux d entreprise, aux réseaux publics commutés de téléphone, aux satellites et aux systèmes de communication sans fi l (Wifi, WiMax). Ainsi, les moyens d accès au réseau de contrôle du système industriel les plus communs sont : les connexions Internet, les réseaux métiers ou réseau d entreprise, les connexions à d autres réseaux qui contiennent des vulnérabilités, les réseaux privés virtuels compromis (VPN), les connexions par Backdoor à travers les modems d accès à distance, les connexions sans fi l non sécurisés découverts par les utilisateurs de portables, les ports informatiques ouverts, tels que les ports UDP ou TCP qui ne sont pas protégés ou ouverts inutilement, l authentifi cation faible dans les protocoles et les composants des systèmes industriels, l hameçonnage de maintenance (maintenance hooks) ou de portes dérobées (trap doors), qui sont des moyens de contourner les contrôles de sécurité au cours du développement du système industriel, les attaques par débordement de tampon sur les serveurs de contrôle du système industriel, accessibles par les automates et les interfaces homme-machine. 16 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

16 Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Après avoir eu accès au système industriel, l attaquant cherche à tout prix à obtenir un certain niveau de contrôle de ses composants, en fonction des protections associées à chaque composant, à la visibilité de l attaquant et aux capacités et intentions de ce dernier. La réalisation d une ou plusieurs cyber-menaces au sein d un système industriel peut donc avoir des conséquences telles que la divulgation des données sensibles, des dommages matériels aux biens et aux personnes, des risques de santé publique et l atteinte à l image et à la réputation. C est pour cette raison que les problématiques juridiques de la cyber-sécurité des systèmes industriels doivent être prises très au sérieux. Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Dans l objectif de faire un état des problématiques juridiques liées aux systèmes industriels et à leur cyber-sécurité, il est nécessaire d envisager les dispositifs juridiques qui n ont pas pour l instant fait l objet d une formalisation dans le droit positif et les normes existantes («le droit des robots» et «Security by design»). Puis, les interactions des systèmes industriels avec les objets connectés et également la problématique récente en droit français liée à la cyber-assurance de ces systèmes industriels. Enfi n, une présentation de l état du droit positif aussi bien français, qu européen et américain est nécessaire afi n de comprendre la multitude des textes applicables et dont la mise en œuvre par les exploitants afi n d être en conformité avec celles-ci peut s avérer diffi cile, d où l importance du rôle des directions juridiques au sein des entités exploitant ces systèmes industriels. «Le droit des robots» (4) Défi nition de l ALTIF (Analyse et traitement informatique de la langue française). Un robot peut être défi ni comme «un appareil effectuant, grâce à un système de commande automatique à base de micro-processeur, une tache précise pour laquelle il a été conçu dans le domaine industriel, scientifi que ou domestique» 4. À la différence de l automate, le robot est doté de capteurs dont les actions sont décidées par l intermédiaire de son programme, en fonction de l environnement. Les dernières générations des systèmes industriels peuvent être considérées comme des robots ; à ce titre, il est légitime de s interroger sur le régime juridique applicable. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 17

17 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3 Les dispositions juridiques existantes applicables aux fabriquants et/ou fournisseurs des systèmes industriels concernent d une part le droit des contrats, à savoir l article 1603 du Code civil. Le fabriquant et/ou fournisseur du système industriel est fait débiteur des obligations suivantes : mise à disposition du système ; délivrance conforme ; garantie de jouissance paisible ; absence de défaut de la chose vendue. La prise en compte des différents dispositifs de cyber-sécurité des systèmes industriels sont donc compris aussi bien dans l obligation de «délivrance conforme» du système (conformité par rapport aux diverses normes et référentiels applicables et aux attentes exprimées dans son cahier des charges) que dans les obligations de garantie de jouissance paisible (un système industriel avec des failles de sécurité inhérentes à celui-ci ne permet pas à son exploitant de disposer paisiblement de ce système) et dans l obligation d absence de défauts de la chose vendue. De même, le régime de la responsabilité lié aux produits défectueux (article et suivants du Code civil) peut être invoqué afi n d engager la responsabilité délictuelle du fabriquant et/ou fournisseur. Il peut également s appliquer à l exploitant du système industriel en cas d un défaut de sécurité (informatique) du système qui serait à l origine d un dommage aux personnes. Les dispositions de la Directive 2006/42/CE du 17 mai 2006 (entrée en application le 29 décembre 2009) relative aux machines, imposent des exigences de sécurité. Des réfl exions sont actuellement en cours au sein des communautés des juristes 5 sur le fait d accorder, ou non, une personnalité juridique (avec des droits et des obligations afférentes) à ces robots qui peuvent, dans leur fonctionnement (programmés et contrôlés par un humain), prendre des initiatives. Toutefois, cette piste de réfl exion est confrontée au fait que la jurisprudence refuse de reconnaître la responsabilité de la machine en raison du défaut de capacité de discernement. Ainsi est tenu pour responsable l exploitant qui a le contrôle du système industriel, gardien de ce dernier, en tant que personne physique ou morale. Charge à lui, dans un tel cas, d apporter les preuves qui écartent sa responsabilité. (5) Tel est le cas de Maître Alain Bensoussan cf. l article «Vers un droit des robots» du 21 avril 2014 et Maître Murielle Cahen. «Security by design» Il apparaît aujourd hui impératif de prendre en charge la sécurité des systèmes industriels dès le stade de leur conception, c est-à-dire dès la rédaction du cahier des charges et de l expression des besoins par l utilisateur fi nal. Ainsi l exploitant commanditaire du système industriel en question se doit d imposer ses choix, d exiger l utilisation des produits certifi és et de prévoir des clauses «d audit de fournisseurs». 18 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

18 Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Cette préoccupation doit être également au cœur des négociations des accords de connexion à internet, des contrats de travail des salariés des Industries et également lors de la rédaction des Chartes d Accès à ce Systèmes industriels connectés à Internet. Les entreprises administrant des systèmes industriels ne doivent nullement négliger les avancées des technologies de l information et de la communication. Elles doivent intégrer dans leurs analyses des risques les risques et menaces «involontaires» issues de l utilisation des dispositifs mobiles, souvent mis à disposition de l entreprise par le salarié lui-même. Ainsi la mise en place et/ou la mise à jour d une charte régissant l usage des technologies de l information et de la communication par les salariés et par les prestataires externes est impérative et en tout cas fortement conseillée. Les rédactions et négociations des contrats portant sur l acquisition de ces systèmes industriels connectés à Internet, impliquent d être vigilant quant au contenu des articles de confi dentialité, sécurité et évolutivité du système, obligations du fournisseur de conformité réglementaire, audit, responsabilité et mise en place d un niveau d engagements de service (SLA) conforme aux besoins exprimés dans le cahier des charges. De même, compte tenu de la vitesse à laquelle évoluent et changent les cyber-menaces, il est judicieux de ne pas négocier un contrat statique et de prévoir la possibilité pour l exploitant du service, en accord avec le fournisseur, de faire évoluer les dispositions contractuelles et d adapter ou pallier aux conséquences de ces évolutions. Les Systèmes industriels et les objets connectés Avec la disponibilité commerciale du cloud computing, les systèmes industriels ont de plus en plus adopté les technologies de l Internet des objets. Cette démarche réduit considérablement les coûts d infrastructure et augmente la facilité d entretien et d intégration. En conséquence, les systèmes industriels peuvent désormais transmettre des données en temps quasi réel et utiliser les facteurs d échelle autorisés par le cloud computing. Ainsi, des algorithmes de contrôle plus complexes que ce qui pouvait être fait avec les automates programmables industriels peuvent être mis en œuvre. En outre, l utilisation de protocoles de réseaux ouverts, tels que TLS inhérents à l Internet des objets, offre un périmètre de sécurité plus compréhensible et gérable que le mélange hétérogène de protocoles réseau propriétaires typiques de nombreuses implémentations des Systèmes industriels décentralisées précédentes. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 19

19 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3 La cyber-assurance des systèmes industriels Sur les 12 risques majeurs menaçant les entreprises, le cyber-risque occupe la troisième position. La cyber menace évoluant, des solutions d assurances tendent à se développer. La France est cependant en retard sur ce point. Il est nécessaire pour l entreprise candidate à l assurance, afi n d obtenir un «scoring», d associer un expert technique à l assureur. Il réalisera un état de la maturité organisationnelle de l entreprise versus l analyse et le contrôle opérationnel des cyber-risques. L assureur devra donc faire la transformation de l analyse en probabilité de l apparition du cyber-risque et déterminer l impact sur le patrimoine du client : matériel, production, immatériel. Aux États-Unis et au Royaume-Uni, plus de 30 % des entreprises ont déjà souscrit à une police de cyber-risques. Après les récentes attaques chez Sony ou Target, selon Ponemon, le coût moyen d une donnée volée est de 145 UD. L atteinte à l image est incluse dans cette évaluation. Les offres actuelles dans le marché français proposent des garanties couvrant tous les aspects des cyber-risques à savoir la responsabilité civile, les mesures palliatives, la gestion de la crise, la communication, les dommages intérêts dus aux clients et la perte d exploitation entre autres. En revanche, le terrorisme est systématiquement exclut. Le dispositif juridique français et européen Le cadre juridique français de la cyber-sécurité La France dispose d un arsenal législatif et réglementaire complet pour réprimer les cyber-attaques et bien évidement ces dispositions sont applicables aux attaques des systèmes industriels. Le tableau récapitulatif ci-dessous montre un aperçu de ces dispositions, jusqu en De même que pour les systèmes d information «informatiques», il est impératif de réaliser un recensement des données sensibles de ces infrastructures contrôlées par un système de commande et contrôle, et tout particulièrement des données personnelles. En effet, le projet de règlement européen sur les données personnelles, actuellement en discussion, aura vocation à s appliquer également à ces systèmes industriels. L industriel «exploitant» en tant que «Responsable du Traitement» au sens de la Loi I&L est responsable en cas de respect des dispositions applicables. Ainsi les exploitants devront revoir leur façon de traiter leurs priorités de protection de la confi dentialité et de l intégrité des données, tout en gardant au premier niveau de priorité la disponibilité du système. (6) Tableau issu de l article des Mesdames Anne Souvira et Miriam Quéméner «Cybersécurité et entreprises : se protéger juridiquement et se former». Sécurité & Stratégie n 11 Décembre INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

20 Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Les dispositions européennes et françaises concernant la cyber-sécurité des OIV La lutte contre la cybercriminalité étant une priorité européenne, la Commission européenne a adopté le 07 février 2013 une proposition de directive «visant à assurer un niveau élevé de sécurité des réseaux et de l information de l union». Cette proposition de directive a été modifi ée et adoptée par le Parlement européen le 13 mars 2014 et devrait être défi nitivement adoptée fi n Les principaux objectifs de la proposition de directive sont de (i) fi xer les obligations des États membres concernant la prévention et la gestion des risques et incidents aux réseaux et systèmes informatiques, (ii) à faciliter la coopération entre les États membres pour garantir l harmonisation des règles de cyber-sécurité au sein de l Union européenne et (iii) établir des exigences en matière de sécurité pour les acteurs du marché, notamment les «opérateurs d infrastructure essentielle». En effet, en raison de la disparité des niveaux de protection des États membres en matière de cyber-sécurité, il s avère impossible d avoir une coopération et une collaboration effective au sein de l Union européenne et la construction d une cyber-protection européenne s avère une chimère. Parallèlement à l initiative européenne, la France a voté la Loi de Programmation Militaire, le 18 décembre Elle fi xe de nouvelles règles qui complètent le dispositif présenté ci-dessus. Toutefois, les textes réglementaires précisant la mise en œuvre de la LMP et le calendrier prévisionnel associé se font toujours attendre. Ainsi les éléments suivants restent encore en attente : les décrets d application ; la déclinaison par typologie d industrie ; la procédure de certifi cation/labellisation de logiciels et matériels de sécurité compatibles pour les infrastructures critiques ; la procédure de certifi cation/labellisation de prestataires habilités à auditer les OIV ; défi nition d un incident de sécurité afi n de répondre à la section 2 de l article 22 qui impose la déclaration des incidents ; détails des calendriers d audit et de ce qui sera exigible en 2014/2015/ et au-delà, au regard de la loi. Le comparatif entre les dispositions américaines, européennes et françaises applicables aux systèmes industriels en matière de cyber-sécurité Les opérateurs exploitant des systèmes industriels peuvent, dans certains cas, être soumis aussi bien aux dispositions françaises et européennes qu aux dispositions américaines concernant la cyber-sécurité. De ce fait, les acteurs soumis à ces régimes devront rester particulièrement attentifs car la conformité à l un de ces régimes ne signifi e pas une conformité automatique à l autre régime ; de même, ces régimes, aux approches différentes, continueront à évoluer dans les mois et années à venir. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 21

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques Intégration de la cybersécurité aux systèmes de conduite industriels Méthodes et pratiques Les Infrastructures critiques utilisant des Systèmes de Contrôle Industriels Industrie nucléaire Industrie pétrolière,

Plus en détail

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 02/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Préventeur (trice) en cybersécurité des

Plus en détail

politique de la France en matière de cybersécurité

politique de la France en matière de cybersécurité dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le

Plus en détail

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

Profil de protection d un progiciel serveur applicatif MES

Profil de protection d un progiciel serveur applicatif MES Profil de protection d un progiciel serveur applicatif MES Version 1.0 court-terme GTCSI 1 er juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne

Plus en détail

Solutions de Cybersécurité Industrielle

Solutions de Cybersécurité Industrielle Solutions de Cybersécurité Industrielle Automation Informatique Industrielle M2M www.factorysystemes.fr Notre mission «Mettre au profit de nos clients des secteurs de l industrie, du transport et des infrastructures

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sûreté de fonctionnement Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sommaire Evolution des réseaux industriels et conséquences Modèle de prévention selon

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

LES FORMATIONS. Sécurité Économique. Département. Déceler, Étudier, Former

LES FORMATIONS. Sécurité Économique. Département. Déceler, Étudier, Former Déceler, Étudier, Former LES FORMATIONS Département Sécurité Économique Le Département Sécurité Économique de l INHESJ dispense des formations de haut niveau sur les thèmes liés à la protection (sécurité/sûreté)

Plus en détail

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions

5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions 5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les

Plus en détail

Stratégie nationale en matière de cyber sécurité

Stratégie nationale en matière de cyber sécurité Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013 Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes 03 Décembre 2013 2 HIDD Harmonisation des Infrastructures Système Informatique Industrielle et de Gestion Etude

Plus en détail

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation

Plus en détail

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together. CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,

Plus en détail

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus

Plus en détail

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain Nacira Salvan Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN Nacira.salvan@safran.fr CRiP Thématique Sécurité de l informatique de demain 03/12/14 Agenda Quelques définitions

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

Enjeux prudentiels des données utilisées par les entreprises d assurance : le point de vue du superviseur

Enjeux prudentiels des données utilisées par les entreprises d assurance : le point de vue du superviseur Enjeux prudentiels des données utilisées par les entreprises d assurance : le point de vue du superviseur Atelier «Information et assurance» Institut de Science Financière et d Assurances ISFA Université

Plus en détail

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I I - Métiers, fonctions et activités visés A. Désignation du métier et des fonctions Expert

Plus en détail

Les cyber risques sont-ils assurables?

Les cyber risques sont-ils assurables? Les cyber risques sont-ils assurables? Cyril Nalpas Master Management du Risque Institut Léonard de Vinci cyril.nalpas@gmail.com Les cyber risques sont-ils assurables? Quelles sont les questions que peuvent/doivent

Plus en détail

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA TRITON AP-DATA Mettez un terme au vol et à la perte de données, respectez les exigences de conformité et préservez votre marque, votre réputation et votre propriété intellectuelle. Entre une réputation

Plus en détail

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace Quatre indices pour identifier une intégration ERP inefficace 1 Table of Contents 3 Manque de centralisation 4 Manque de données en temps réel 6 Implémentations fastidieuses et manquant de souplesse 7

Plus en détail

Chaque réseau doit être géré.

Chaque réseau doit être géré. SYSTIMAX Solutions imvisiontm. Gestion d infrastructure simplifiée. Chaque réseau doit être géré. La question est de savoir COMMENT? La vision : La réussite des entreprises passe par des réseaux mieux

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Surveillance de réseau : un élément indispensable de la sécurité informatique

Surveillance de réseau : un élément indispensable de la sécurité informatique Surveillance de réseau : un élément indispensable de la sécurité informatique Livre Blanc Auteur : Daniel Zobel, Responsable Developpement Logiciel, Paessler AG Publication : juillet 2013 PAGE 1 SUR 8

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

A propos de la sécurité des environnements virtuels

A propos de la sécurité des environnements virtuels A propos de la sécurité des environnements virtuels Serge RICHARD - CISSP (IBM Security Systems) serge.richard@fr.ibm.com La virtualisation, de quoi parlons nous «Virtualiser» un objet informatique, ou

Plus en détail

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace

Plus en détail

Gouvernance et qualité des données sous Solvabilité II Grégoire VUARLOT

Gouvernance et qualité des données sous Solvabilité II Grégoire VUARLOT Gouvernance et qualité des données sous Solvabilité II Grégoire VUARLOT Directeur adjoint, Contrôles spécialisés et transversaux en assurance Autorité de contrôle prudentiel et de résolution 01/04/2015

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition) Généralités sur la sécurité informatique 1. Introduction 15 2. Les domaines et normes associés 18 2.1 Les bonnes pratiques ITIL V3 18 2.1.1 La stratégie des services (Service Strategy) 19 2.1.2 La conception

Plus en détail

SERVICES GÉRÉS DE SÉCURITÉ (MSS)

SERVICES GÉRÉS DE SÉCURITÉ (MSS) SERVICES GÉRÉS DE SÉCURITÉ (MSS) L INITIATIVE EN CYBERSÉCURITÉ La cybercriminalité devient un facteur important pour les chefs de l information, les professionnels en TI, mais aussi pour les chefs des

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France L assurance et le risque Data Clusir 25 avril 2012 Lyon François Brisson - Hiscox France 1 En quoi consiste une violation de données pour un assureur? «Une violation des données est un incident de sécurité

Plus en détail

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale

Plus en détail

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques. TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé Shadow IT, la menace fantôme Une tendance irréversible mais pas dénuée de risques. Par Sébastien Faivre Chief Marketing Officer de Brainwave Shadow IT, la menace

Plus en détail

Bénéfices de Citrix NetScaler pour les architectures Citrix

Bénéfices de Citrix NetScaler pour les architectures Citrix Bénéfices de Citrix NetScaler pour les architectures Citrix 15 novembre 2007 Auteurs: Mahmoud EL GHOMARI E-mail: mahmoud.elghomari@eu.citrix.com Stéphane CAUNES E-mail: stephane.caunes@eu.citrix.com Riad

Plus en détail

la conformité LES PRINCIPES D ACTION

la conformité LES PRINCIPES D ACTION La fonction Conformité au sein de BNP Paribas La fonction Conformité a été créée en décembre 2004, en anticipation de nouvelles dispositions du règlement 97-02 sur le contrôle interne des établissements

Plus en détail

Sécurité numérique 2013-2014. Cycle de spécialisation. Dossier de candidature. Institut National des Hautes Études de LA Sécurité et de la justice

Sécurité numérique 2013-2014. Cycle de spécialisation. Dossier de candidature. Institut National des Hautes Études de LA Sécurité et de la justice Dossier de candidature Cycle de spécialisation Sécurité numérique 2013-2014 Institut National des Hautes Études de LA Sécurité et de la justice L information est désormais au cœur des actifs immatériels

Plus en détail

Protection des infrastructures critiques vitales contre les cyber-attaques. Vers une culture de sécurité

Protection des infrastructures critiques vitales contre les cyber-attaques. Vers une culture de sécurité Protection des infrastructures critiques vitales contre les cyber-attaques Vers une culture de sécurité 1 Le constat Les moyens informatiques et les réseaux ont envahi nos sociétés modernes, géantes et

Plus en détail

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI Formations NBS SYSTEM, Copyright 2010 1/9 Plan de Formation RSSI 2010 2011 Formations NBS SYSTEM, Copyright 2010 2/9 Formations Les formations sont constituées de différents modules managériaux et techniques

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Institut National des Hautes Études de LA Sécurité et de la justice

Institut National des Hautes Études de LA Sécurité et de la justice 2012 2013 Dossier de candidature Cycle de spécialisation Institut National des Hautes Études de LA Sécurité et de la justice L information est désormais au cœur des actifs immatériels de l entreprise et

Plus en détail

Le contrat Cloud : plus simple et plus dangereux

Le contrat Cloud : plus simple et plus dangereux 11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin

Plus en détail

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher Titre de la présentation Le management par le risque informatique 24 mai 2011 Jean-Louis Bleicher Quelques données Le chiffre d affaires annuel de la cybercriminalité serait environ deux fois supérieur

Plus en détail

RAPPORT. 1. Appréciation générale des problématiques de cybersécurité

RAPPORT. 1. Appréciation générale des problématiques de cybersécurité Réponse de la France à la résolution 68/243 relative aux «Développements dans le domaine de l information et des télécommunications dans le contexte de la sécurité internationale» RESUME ANALYTIQUE A titre

Plus en détail

«Sécurité des usages numériques»

«Sécurité des usages numériques» Cycle de spécialisation «Sécurité des usages numériques» 2014 2015 Dossier de candidature L information est désormais au cœur des actifs immatériels de l entreprise et constitue un élément clé de sa performance.

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

C O N D I T I O N S G É N É R A L E S

C O N D I T I O N S G É N É R A L E S VERSION GLOBALE 13 novembre 20142 mai 2014 C O N D I T I O N S G É N É R A L E S D E S E R V I C E 1. INTRODUCTION VOLVO souhaite vous offrir les meilleurs Services disponibles (tels que définis au bas

Plus en détail

Quels problèmes, quelles solutions?

Quels problèmes, quelles solutions? WISG 2015 : 3 Février Cybercriminalité, Cyber-menace et entreprise numérique Quels problèmes, quelles solutions? Sommaire Le contexte Global Le Système d Information : dépendance, complexité La menace

Plus en détail

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l

Plus en détail

Transformation numérique et cybersécurité : Thales accompagne les Opérateurs d Importance Vitale

Transformation numérique et cybersécurité : Thales accompagne les Opérateurs d Importance Vitale www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ Transformation numérique et cybersécurité : Thales accompagne les Opérateurs d Importance Vitale Dans le contexte de l interconnexion

Plus en détail

Notre industrie : le SERVICE

Notre industrie : le SERVICE Notre industrie : le SERVICE LES METIERS DE SYLOB Depuis sa création en 1991, la SSII SYLOB exerce le double métier d éditeur et d intégrateur de solutions de gestion industrielle. C est ce choix, assumé

Plus en détail

Guide pratique spécifique pour la mise en place d un accès Wifi

Guide pratique spécifique pour la mise en place d un accès Wifi VERSION V0.3 Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Février 2014 MINISTÈRE DES AFFAIRES SOCIALES

Plus en détail

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants Dossier à l attention des dirigeants Centres d évaluation de la technologie inc. Le cloud computing : vue d ensemble Les sociétés de services du monde entier travaillent dans un environnement en pleine

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Maximiser la performance de vos projets immobiliers de bureaux

Maximiser la performance de vos projets immobiliers de bureaux Maximiser la performance de vos projets immobiliers de bureaux Concilier la performance économique et la performance d usage du bâtiment L équation économique de vos projets doit être optimisée sur la

Plus en détail

DELIBERATION N 2014-146 DU 8 OCTOBRE 2014 DE LA COMMISSION DE CONTROLE

DELIBERATION N 2014-146 DU 8 OCTOBRE 2014 DE LA COMMISSION DE CONTROLE DELIBERATION N 2014-146 DU 8 OCTOBRE 2014 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT AUTORISATION A LA MISE EN ŒUVRE DU TRAITEMENT AUTOMATISE D INFORMATIONS NOMINATIVES AYANT POUR

Plus en détail

Fourniture. d une solution de protection. contre les programmes malicieux. (virus, vers, chevaux de Troie )

Fourniture. d une solution de protection. contre les programmes malicieux. (virus, vers, chevaux de Troie ) CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (C.C.T.P.) Fourniture d une solution de protection contre les (virus, vers, chevaux de Troie ) Maître de l ouvrage CENTRE HOSPITALIER DE LOCHES PAUL MARTINAIS

Plus en détail

Utilisation de l'outil GATeL pour l'évaluation des tests de logiciels critiques à l'irsn

Utilisation de l'outil GATeL pour l'évaluation des tests de logiciels critiques à l'irsn Journée SEE "Certification et méthodes formelles" Utilisation de l'outil GATeL pour l'évaluation des tests de logiciels critiques à l'irsn ONERA Toulouse, 3 février 2004 Jean Gassino (jean.gassino@irsn.fr).

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

éthique cybersécurité en entreprise

éthique cybersécurité en entreprise éthique cybersécurité en entreprise Eric Dupuis eric.dupuis@orange.com Consulting & Hacking Team - Orange Cyberdefense 2 regards de l éthique cybersécurité dans l entreprise les salariés avec des missions

Plus en détail

le paradoxe de l Opérateur mondial

le paradoxe de l Opérateur mondial HCFDC Internet, cyberdéfense et cybersécurité Enjeux et réponses le paradoxe de l Opérateur mondial Francis BRUCKMANN Directeur adjoint de la Sécurité Groupe ORANGE Diffusion libre Haut Comité Français

Plus en détail

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES DÉFINIR UNE POLITIQUE INTERNE DE SÉCURITÉ RELATIVE À L INFORMATION STRATÉGIQUE DE VOTRE ENTREPRISE Vous n avez pas effectué de diagnostic interne

Plus en détail

Vulnérabilités SCADA/ICS

Vulnérabilités SCADA/ICS Vulnérabilités SCADA/ICS Listing des 10 vulnérabilités les plus fréquemment rencontrées lors de missions Wilfrid BLANC - LEXSI 1 Réalisation de nombreuses missions en contexte industriel depuis 2011 Audit

Plus en détail

IT Security Boxes l assurance vie des données informatiques

IT Security Boxes l assurance vie des données informatiques IT Security Boxes l assurance vie des données informatiques Sauvegarde et protection des données informatiques au service du Plan de Reprise d Activité (PRA) France Sommaire Pourquoi sauvegarder le patrimoine

Plus en détail

Introduction à l intelligence économique

Introduction à l intelligence économique Introduction à l intelligence économique MAÎTRISER ET PROTÉGER L INFORMATION STRATÉGIQUE, UNE NÉCESSITÉ POUR L ENTREPRISE NE PAS PAYER LE COÛT DE L IGNORANCE 1. Enjeux pour l entreprise 2. Maîtriser l

Plus en détail

Rapport annuel 2013 Comité d audit de l ONAFTS

Rapport annuel 2013 Comité d audit de l ONAFTS Rapport annuel 2013 Comité d audit de l ONAFTS Office national d'allocations familiales pour travailleurs salariés Rapport annuel 2013 du Comité d audit de l ONAFTS Conformément à la Charte du Comité d

Plus en détail

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) Mai 2014 Stratégie de cybersécurité du Canada Depuis la publication de la Stratégie de cybersécurité du Canada en 2010, Sécurité publique

Plus en détail

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S)

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) RÉFÉRENTIELS Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) Comité Technique GCS Santé Alsace 21 mars 2014 Anne Bertaud Vladimir Vilter PGSSI-S Sommaire Les enjeux de la

Plus en détail

CHARTE ACTION LOGEMENT SUR :

CHARTE ACTION LOGEMENT SUR : CHARTE ACTION LOGEMENT SUR : LA GESTION DES RISQUES LE CONTROLE INTERNE L AUDIT INTERNE Validée par le Conseil de surveillance du 18 septembre 2013 1/22 SOMMAIRE INTRODUCTION... 3 I. LE CADRE DE REFERENCE...

Plus en détail

Déterminer quelle somme dépenser en matière de sécurité des TI

Déterminer quelle somme dépenser en matière de sécurité des TI Déterminer quelle somme dépenser en matière de sécurité des TI Un InfoDossier d IDC 2015 Introduction Les organisations peinent à déterminer quelle somme dépenser en matière de sécurité des TI, un investissement

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

Table Ronde Cybersécurité

Table Ronde Cybersécurité 03 décembre 2013 Table Ronde Cybersécurité Comment les fournisseurs d automatismes prennent en compte les besoins de cybersécurité? Participants: Phoenix Contact T.Vajsman Rockwell Automation J.Poncharal

Plus en détail

3. Rapport du Président du conseil d administration

3. Rapport du Président du conseil d administration 3. Rapport du Président du conseil d administration Conformément aux dispositions de l article L.225-37 du code de commerce, le président du conseil d administration rend compte, au terme de ce rapport,

Plus en détail

Dossier de candidature. «Sécurité numérique»

Dossier de candidature. «Sécurité numérique» Dossier candidature Se?curite? Nume?rique:Mise en page 1 1/02/11 9:34 Page 1 2011 2012 Dossier de candidature Cycle de spécialisation «Sécurité numérique» fåëíáíìí=k~íáçå~ä=çéë=e~ìíéë= íìçéë=çé=i^=p Åìêáí

Plus en détail

Enquête Unisys Security Insights : 2015 Point de vue des consommateurs français

Enquête Unisys Security Insights : 2015 Point de vue des consommateurs français L opinion des consommateurs français sur : Le niveau de sécurité des données personnelles pour chaque industrie Les organisations collectant des données personnelles via les appareils connectés Les recherches

Plus en détail

Managed VirusScan et renforce ses services

Managed VirusScan et renforce ses services VirusScan ASaP devient Managed VirusScan et renforce ses services Protection antivirus administrée, automatique et permanente pour les postes de travail, les nomades et les serveurs de fichiers. Avec la

Plus en détail

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde 3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques

Plus en détail

La situation du Cloud Computing se clarifie.

La situation du Cloud Computing se clarifie. Résumé La situation du Cloud Computing se clarifie. Depuis peu, le Cloud Computing est devenu un sujet brûlant, et à juste titre. Il permet aux entreprises de bénéficier d avantages compétitifs qui leur

Plus en détail

Indicateur et tableau de bord

Indicateur et tableau de bord Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail

-------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------- En bref : En moyenne, un tiers environ des salariés voyagent régulièrement dans le cadre de leur travail. Seule une entreprise sur trois, cependant, prépare ces déplacements professionnels au moyen de

Plus en détail

K2 : Guide pratique du BPM

K2 : Guide pratique du BPM K2 : Guide pratique du BPM Mars 2014 K2 FRANCE Guide Pratique du Business Process Manageme,nt 1/9 Introduction... 3 1. Définitions... 3 2. Refléter et s adapter à la réalité de l entreprise... 4 3. Analyser

Plus en détail

Virtual Data Center d Interoute. Prenez la main sur votre Cloud.

Virtual Data Center d Interoute. Prenez la main sur votre Cloud. Virtual Data Center d Interoute. Prenez la main sur votre Cloud. Faites évoluer vos ressources informatiques à la demande Choisissez la localisation d hébergement de vos données en Europe Le réseau européen

Plus en détail

Services informatiques aux organisations

Services informatiques aux organisations I. APPELLATION DU DIPLÔME II. CHAMP D'ACTIVITÉ Services informatiques aux organisations Spécialité «Solutions logicielles et applications métiers» Spécialité «Solutions d infrastructure, systèmes et réseaux»

Plus en détail

Les Formations. Sécurité Économique. Département. Déceler, Étudier, Former

Les Formations. Sécurité Économique. Département. Déceler, Étudier, Former Déceler, Étudier, Former Les Formations Département Sécurité Économique Le Département Sécurité Économique de l INHESJ dispense des formations de haut niveau sur les thèmes liés à la protection (sécurité/sûré)

Plus en détail

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Integrated Security Engineering (ISE) La sécurité au cœur de vos projets et systèmes

Plus en détail