RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET TRAVAUX DES AUDITEURS INHESJ. Cycle «Sécurité des usages numériques»

Dimension: px
Commencer à balayer dès la page:

Download "RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET TRAVAUX DES AUDITEURS INHESJ. Cycle «Sécurité des usages numériques»"

Transcription

1 Institut national des hautes études de la sécurité et de la justice INHESJ TRAVAUX DES AUDITEURS RISQUES ET SÉCURITÉ Cycle «Sécurité des usages numériques» Travaux de la 4 e promotion ( ) DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET en partenariat avec le DÉCEMBRE 2014

2 L Institut national des hautes études de la sécurité et de la justice publie chaque année des rapports et études sur les champs de la sécurité et à la justice. Dans le cadre du cycle de spécialisation «Sécurité des usages numériques», les auditeurs stagiaires réalisent un travail collectif tutoré par le département sécurité économique de l INHESJ. Ces travaux sont effectués en toute liberté grâce à l indépendance dont les auteurs bénéfi cient au sein de l Institut. L étude ci-dessous publiée est un document à vocation scientifi que. Il ne saurait être interprété comme une position offi cielle ou offi cieuse de l Institut ou des services de l État. Les opinions et recommandations qui y sont exprimées sont celles de leurs auteurs. Le document est publié sous la responsabilité éditoriale du directeur de l Institut. Les études ou recherches de l INHESJ sont accessibles sur le site de l INHESJ. Directeur de la publication M. Cyrille SCHOTT, directeur de l INHESJ

3 AVANT-PROPOS est désormais au cœur des actifs immatériels des organisations et constitue un élément clé de leur performance. L information L entrée dans le monde numérique a par ailleurs conféré aux systèmes d information une dimension incontournable du développement de l économie. La «sécurité des usages numériques» représente donc un enjeu majeur pour la pérennité et la compétitivité des entreprises et des administrations. C est pourquoi, dès 2010, l Institut national de hautes études de la sécurité et de la justice (INHESJ) et le CIGREF (Réseau de Grandes Entreprises) ont convenu de mettre en place un cycle de formation sur les problématiques et les enjeux liés à la sécurité numérique à destination des cadres d entreprises des secteurs privé et public. Ce cycle de spécialisation en «Sécurité des usages numériques» se fi xe pour objectif de délivrer les savoir-faire visant l identifi cation, l évaluation et la maîtrise de l ensemble des risques et des malveillances à tous ceux qui veulent mieux comprendre les enjeux de la sécurité numérique au sein des entreprises. L Institut est heureux de présenter dans sa collection Études et Documents les travaux des auditeurs de ce cycle réalisés sous la supervision du Département sécurité économique de l INHESJ. Cyrille SCHOTT Directeur de l Institut national des hautes études de la sécurité et de la justice Pascal BUFFARD Président du CIGREF INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 3

4 Les AUTEURS Les Auteurs de ce travail intitulé «Sécurité des objets connectés» sont : Carolina MORALES-COLASANTE Véronique WADEL Sylvain ARNOLD Xavier BLANCHARD Bertrand LOCHET Sous la direction de Nicolas Arpagian, directeur scientifi que du cycle «Sécurité des usages numériques».

5 RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET Travaux de la 4 e promotion ( ) du Cycle «Sécurité des usages numériques» Sommaire PRÉAMBULE INTRODUCTION CHAPITRE 1 Les systèmes industriels Historique Composants des systèmes industriels Les principaux objectifs et atouts des Systèmes industriels Domaines d utilisation des systèmes industriels CHAPITRE 2 Les risques et menaces des systèmes industriels Profi l des attaquants et les objectifs de l attaque Typologie des risques Typologie des menaces Moyen d accès d une attaque au système industriel CHAPITRE 3 - Problématiques juridiques de la cyber-sécurité des systèmes industriels «Le droit des robots» «Security by design» Les Systèmes industriels et les objets connectés La cyber-assurance des systèmes industriels Le dispositif juridique français et européen Le rôle de la Direction juridique CHAPITRE 4 Les solutions de sécurisation de la connexion à Internet des systèmes industriels Le retour au déterminisme des systèmes industriels L audit du code Authentifi cation Forte Le chiffrement et le principe ou la chaîne de confi ance Protocoles spécifi ques SCADA par les fabriquant des solutions «endpoint» Approche sémantique «fi rewall sémantique» Amélioration de la Cyber sécurité des réseaux des systèmes industriels Systèmes de détection d intrusion Les «Honeypot» Recherche et analyse de la vulnérabilité La vérifi cation des journaux La sensibilisation à la cyber-sécurité La mise en œuvre des directives et guides de gestion de la sécurité La défense en profondeur La gestion des risques Propositions d architecture et de process CONCLUSION Définitions Références bibliographiques INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 5

6 PRÉAMBULE Miser sur la diversité des compétences pour répondre à des menaces protéiformes. La sécurité numérique doit se concevoir sur le modèle des multiples formes d agressions rendues possibles par les technologies de l information et de la communication qui irriguent désormais les organisations économiques, administratives ou militaires. C est la raison pour laquelle la réfl exion et la stratégie en matière de cybersécurité doivent se concevoir en mettant à contribution une grande variété de compétences et d expertises : dans les domaines industriels, techniques, informatiques, juridiques, judiciaires, militaires, policiers et même politiques. De ce croisement de savoir-faire émergeront les stratégies utiles à mettre en place pour concevoir une sécurité numérique plus performante. C est dans cet esprit que chaque année les auditeurs du cycle «Sécurité numérique» de l Institut national des hautes études de la sécurité et de la justice (INHESJ) travaillent à analyser et éclairer une problématique qui se trouve au cœur des intérêts stratégiques des entreprises, et donc des États. Ils ont pour mission d expliquer les enjeux de la thématique qui leur a été confi ée, d en présenter les mécanismes et de formuler des réponses réalistes et concrètes pour réduire ou faire cesser l exposition au risque qu elle représente. Soit une démarche résolument tournée vers une amélioration continue de la notion de sécurité, au bénéfi ce du plus grand nombre. Vous trouverez dans ce document le fruit de leurs réfl exions après une année d étude passée au sein de l INHESJ à échanger entre pairs et à rencontrer les experts et les praticiens les plus expérimentés dans le domaine de la sécurité numérique. Ils aboutissent à chaque fois à des recommandations opérationnelles directement transposables dans la réalité des entreprises et des administrations. Ce sont donc des contributions utiles à une meilleure sécurité numérique. Éric DELBECQUE Nicolas ARPAGIAN Chef du Département Directeur scientifi que du cycle «Sécurité économique» «Sécurité des usages numériques» INHESJ Septembre 2014 Ingérence et politique de sécurité des systèmes d information 7

7 INTRODUCTION Les systèmes industriels sont essentiels au bon fonctionnement de la nation. À l instar de la démarche déjà entreprise par les États-Unis, il s agit aujourd hui de faire de leur cyber-sécurité une priorité stratégique, tant au niveau européen et français qu au niveau international. Les dernières cyber-attaques Stuxnet 1, Spamhaus et plus récemment les vols de données clients chez Orange ont alerté aussi bien les pouvoirs publics que les entreprises exploitant des systèmes industriels. Ces événements confi rment la nécessité de prendre toutes les mesures appropriées pour faire face aux risques encourus, mais aussi pour se conformer au cadre réglementaire qui se met progressivement en place. La connexion des systèmes industriels à Internet n étant pas une nouveauté en soi, il est cependant nécessaire d exposer le contexte spécifi que à ces derniers (Chapitre 1) pour mieux comprendre les risques de leur connexion à Internet (Chapitre 2) avec les problématiques et enjeux juridiques (Chapitre 3). Et, ainsi, pouvoir présenter les différentes mesures de sécurisation de ces systèmes industriels (Chapitre 4). (1) C est le premier ver découvert qui espionne et reprogramme des systèmes industriels, ce qui comporte un risque élevé. Il cible spécifi quement les systèmes SCADA utilisés pour le contrôle commande de procédés industriels. Stuxnet a la capacité de reprogrammer des automates programmables industriels (API). 8 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

8 Chapitre 1 LES SYSTÈMES INDUSTRIELS Historique Jusqu en 1940, les premiers systèmes de pilotage connectés étaient des systèmes de contrôle dans les systèmes industriels. Ils étaient destinés à opérer des équipements localisés dans des sites distants. Toutefois, à cette époque, il était nécessaire d avoir du personnel sur chacun des sites ou bien d envoyer une équipe pour opérer l équipement. Les premiers essais de ces systèmes industriels ont débuté par l utilisation d une paire de lignes entre les sites distants. Chaque ligne opérait une seule pièce de l équipement. Cette solution s est avérée très onéreuse mais justifi ée par le besoin d être opérée très fréquemment ou afi n de rétablir le service rapidement. Puis les Relay/Tone system ont vu le jour ; comme des systèmes relais qui créaient des pulsations envoyées au travers d un canal de communication jusqu au site distant. Dans les années 1960, les premiers systèmes industriels voient le jour en tant que système d exploitation électronique d entrée / sortie, avec des transmissions entre une station maître et une station distante. La station «maître» avait pour but de recevoir des données à travers un réseau de télémétrie et de stocker les données sur les ordinateurs centraux. En 1965 pour la première fois, un ordinateur a été utilisé comme station maître, capable d avoir des fonctions en temps réel. Tel était le cas des processeurs PRODAC et GETAC construits par GE et Westinghouse. Progressivement les ordinateurs ont commencé à être dotés de fonctions de scanning de données, du monitoring de données et des statuts, de changements des alertes puis de données des connexions périodiques. La plupart des systèmes industriels américains fonctionnaient alors avec une base de scanning permanent avec l ordinateur maître ; ce dernier envoie alors les requêtes, les sites distants, eux, uniquement des réponses. En Europe, on retrouve les premiers systèmes dans lesquels le site distant continue à envoyer des données sans que le site central envoie des requêtes ; ceci grâce à un canal qui permettait d envoyer et de recevoir en même temps. Ce n est que dans les années 1970 que les systèmes de contrôle distribués (DCS) ont été développés pour contrôler différents sous-systèmes éloignés ; dans les années 1980, avec le développement du micro-ordinateur, le contrôle de processus a pu être réparti entre les sites distants. Puis il y a eu un développement des activités DEC utilisant des contrôleurs logiques programmables (PLC) ; ils avaient la capacité de contrôler les sites sans prendre la direction d un maître. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 9

9 LES SYSTÈMES INDUSTRIELS Chapitre 1 Dans les années 1990, les systèmes industriels avaient des capacités de DCS et étaient adaptés en fonction de certaines caractéristiques de contrôle propriétaires construits par le concepteur. Internet étant utilisé davantage comme un outil de communication, les systèmes de télémesure utilisaient alors des logiciels automatisés avec certains portails de téléchargement des informations ou de contrôle de processus. L Ingénierie des systèmes industriels concerne aujourd hui des processus de contrôle, mais aussi la mesure, la prévision, la facturation, l analyse et la planifi cation. Les systèmes industriels actuels doivent répondre à un tout nouveau niveau d automatisation de contrôle avec un interfaçage aux équipements obsolètes, tout en restant suffi samment souple pour s adapter à l évolution des technologies d information. Les exigences des systèmes industriels relèvent aujourd hui des mises à niveau et mises à jour des versions des systèmes ; il faut alors donner la priorité à la connaissance des composants du système avant de décider quelle interface mettre en place ou quel matériel est nécessaire pour une application particulière. Depuis les années 2000, une transformation profonde a eu lieu : les systèmes isolés et propriétaire sont passés à des systèmes construits sur des architectures et structures aux technologies standard hautement interconnectés sur des réseaux privés, voire sur internet. Ces systèmes, conçus pour durer des dizaines d années à une époque où la cyber criminalité touchant les infrastructures industrielles critiques n était pas encore répandue, n intégraient pas encore nativement la sécurité réseau. Composants des systèmes industriels Un dispositif système industriel, utilisé comme outil de sécurité de consignation d appareil électrique, est généralement composé des sous-systèmes suivants : une interface homme-machine qui présente les données à un opérateur humain : ce dernier peut alors superviser et commander les processus ; un système de supervision et de contrôle informatique faisant l acquisition des données des processus et envoyant des commandes (consignes) aux processus ; une unité terminale distante (RTU) reliant les capteurs convertissant les signaux en fl ux de données numériques et envoyant les données numériques au système de supervision ; des automates programmables industriels utilisés sur le terrain pour leur versatilité et fl exibilité due à leur capacité d être confi gurables ; 10 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

10 Chapitre 1 LES SYSTÈMES INDUSTRIELS une infrastructure de communication reliant le système de supervision et contrôle aux éléments terminaux ; divers instruments d analyse. À titre d exemple, le schéma ci-dessous expose les différents composants d un système industriel. Les principaux objectifs et atouts des Systèmes industriels Les systèmes industriels ont pour principaux objectifs : de concentrer les données, déporter ou centraliser le pilotage du procédé ; d apporter une vision temps réel des états permettant aux opérateurs de réagir et de décider rapidement ; D apporter les premiers outils d analyses nécessaires aux contrôles des équipements concernés (historiques, courbes, pareto, alarmes, login). Pour parvenir à atteindre ces objectifs, les systèmes industriels sont dotés d un certain nombre d atouts, notamment : des outils de graphisme afi n de représenter les procédés concernés ; des «moteurs» d animation permettant de défi nir les différents choix de dynamismes des objets graphiques ; INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 11

11 LES SYSTÈMES INDUSTRIELS Chapitre 1 la gestion de la base de données en temps réel, parfois propriétaire ; en leur attribuant des propriétés, il est possible de défi nir des variables typées internes ou en liaison avec le système de contrôle commande ; des traitements internes initiés par des déclencheurs multiples (temporels, changement d état, équation combinatoire, ouverture d une fenêtre ) ; ils permettent d appliquer des premiers niveaux de traitement informatique plus ou moins évolués ; une gestion de la sécurité pour un contrôle des accès applicatifs est généralement proposée ; certains superviseurs intègrent également les possibilités de s interfacer avec une base de données relationnelle. Domaines d utilisation des systèmes industriels Les systèmes industriels sont conçus pour soutenir les processus industriels et surveiller et contrôler, en temps réel, un large éventail de processus et d opérations, tels que la distribution de gaz et électricité (classique et nucléaire), le traitement de l eau, le raffi nage de pétrole ou le transport ferroviaire. 2 (2) Défi nition ENISA. Ces systèmes industriels sont utilisés également dans la distribution, la chimie et dans certaines installations expérimentales tels que la fusion nucléaire, le transport des produits chimiques, la recherche et les études scientifi ques et industrielles, les accès aux bâtiments, le contrôle du chauffage et la ventilation des ascenseurs ou du refroidissement des data centers. Parmi les exploitants des systèmes industriels, il y a les Opérateurs à Importance Vitale (OIV). Ces derniers sont défi nis en France par le Code de la Défense dans ses articles R et R comme étant «les opérateurs publics ou privés, exploitant des établissements ou utilisant des installations et ouvrages, dont l indisponibilité risquerait de diminuer d une façon importante le potentiel de guerre ou économique, la sécurité ou la survie de la nation ou de mettre gravement en cause la santé ou la vie de la population». Ces OIV constituent une liste de 200 opérateurs dont 100 sont des entreprises privées. Les infrastructures vitales du pays sont concernées par de nouveaux risques : les cyber-risques. Ces derniers menacent le fonctionnement dont dépendent les infrastructures vitales du pays. En effet, la mise en œuvre systématique du principe de sécurité «de base» des systèmes d information, tels que la surveillance du système, la notifi cation des incidents ou la réalisation régulière d audits ne sont pas systématiquement mis en œuvre. De ce fait, et au regard de la cybermenace grandissante, les instances nationales et européennes ont décidé de renforcer le régime qui leur est applicable. 12 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

12 Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Un autre élément qui n est pas négligeable est qu historiquement, les systèmes industriels étaient dévoués à la protection de la sûreté de fonctionnement (SDF), en utilisant une analyse statistique et des techniques de redondance, ce qui permettait de faire le traitement du risque de défaillance des équipements. Toutefois la SDF ne couvre pas les risques et menaces des cyber-attaques qui évoluent très rapidement. Les standards de sûreté de fonctionnement des systèmes industriels doivent alors s adapter pour prendre en compte la cybersécurité et éviter que l intégrité des Systèmes Instrumentés de Sécurité (SIS) assurant la sécurité des personnes puisse être remise en cause par une attaque informatique. (3) «Global State of Information Security Survey 2013, Tendances et enjeux de la sécurité de l information» Etude Price WaterhouseCooper, 30 janvier La cybercriminalité désigne les infractions pénales commises par le biais de réseaux informatiques et de l information électronique. Elle concerne aussi bien les atteintes aux biens (escroquerie, contrefaçon, vol des données, etc.) que les atteintes aux personnes (terrorisme, incitation à la haine raciale, pédopornographie, etc.) ; elle se situe à la quatrième place des fraudes les plus rencontrées par les entreprises. Le budget cyber-sécurité représente un budget annuel de 60 milliards de dollars. Ce montant devrait augmenter de 10% dans les trois à cinq années à venir. 3 Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Depuis que l affaire Stuxnet a dévoilé au grand public les failles des systèmes industriels, les risques et menaces pour ces derniers deviennent une préoccupation majeure pour les exploitants, ainsi que pour les États et les particuliers. Si l appréhension d une sécurité se fait essentiellement au travers de bonnes pratiques, il convient aussi de recenser les vulnérabilités auxquelles l entreprise doit faire face. Profi l des attaquants et les objectifs de l attaque Les auteurs ou les cyber-attaquants ont des profi ls divers, notamment le hacker isolé, le salarié mécontent, les réseaux organisés, les cellules de renseignement. Ils ont une multitude des motivations, tels que le défi informatique, le vol de données à des fi ns lucratives, le hackeractivisme, l espionnage à des fi ns économiques ou industrielles, etc.) (cf. fi gures 1 et 2). INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 13

13 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2 Figure Typologie des attaquants attaquant 14 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

14 Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Les cyber-attaques peuvent provenir de : l intérieur de l entreprise exploitant le système industriel (menaces internes du fait de comportements inadaptés des personnels à l usage des nouvelles technologies ou d une malveillance et du fait d un défaut de gouvernance augmenté, par exemple, par l admission et gestion du BYOD et des connexions WI-FI). l extérieur de l entreprise : hacktivisme, APT. Typologie des risques La typologie de ces risques est résumée dans le tableau ci-dessous. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 15

15 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2 Typologie des menaces Les menaces sur les systèmes industriels proviennent aussi bien de phénomènes naturels, d actes malveillants et d accidents, que de procédures irrégulières ou de défaillances techniques. Historiquement, ces menaces ne concernaient que les éléments internes au système industriel en question, notamment les membres du personnel, l organisation des exploitants d installations ou du personnel support technique. D autres exemples de menace sur les systèmes industriels sont : des vers autonomes qui cherchent au hasard des chemins de propagation ; (DDoS) virus (dont les chevaux de Troie) ; le terrorisme ; les perturbations des services publics ; le bruit sur les lignes électriques ; les interférences électromagnétiques (EMI) et de fréquences radio (RFT) ; la fermeture de l usine pour l entretien et démarrage après l entretien (de nombreux événements néfastes se produisent pendant l arrêt et le démarrage) ; la mauvaise application de correctifs logiciels ; l interdépendance avec les autres réseaux et les éléments de support technique. Moyen d accès d une attaque au système industriel Aujourd hui tous les systèmes industriels sont connectés à Internet, aux différents réseaux d entreprise, aux réseaux publics commutés de téléphone, aux satellites et aux systèmes de communication sans fi l (Wifi, WiMax). Ainsi, les moyens d accès au réseau de contrôle du système industriel les plus communs sont : les connexions Internet, les réseaux métiers ou réseau d entreprise, les connexions à d autres réseaux qui contiennent des vulnérabilités, les réseaux privés virtuels compromis (VPN), les connexions par Backdoor à travers les modems d accès à distance, les connexions sans fi l non sécurisés découverts par les utilisateurs de portables, les ports informatiques ouverts, tels que les ports UDP ou TCP qui ne sont pas protégés ou ouverts inutilement, l authentifi cation faible dans les protocoles et les composants des systèmes industriels, l hameçonnage de maintenance (maintenance hooks) ou de portes dérobées (trap doors), qui sont des moyens de contourner les contrôles de sécurité au cours du développement du système industriel, les attaques par débordement de tampon sur les serveurs de contrôle du système industriel, accessibles par les automates et les interfaces homme-machine. 16 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

16 Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Après avoir eu accès au système industriel, l attaquant cherche à tout prix à obtenir un certain niveau de contrôle de ses composants, en fonction des protections associées à chaque composant, à la visibilité de l attaquant et aux capacités et intentions de ce dernier. La réalisation d une ou plusieurs cyber-menaces au sein d un système industriel peut donc avoir des conséquences telles que la divulgation des données sensibles, des dommages matériels aux biens et aux personnes, des risques de santé publique et l atteinte à l image et à la réputation. C est pour cette raison que les problématiques juridiques de la cyber-sécurité des systèmes industriels doivent être prises très au sérieux. Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Dans l objectif de faire un état des problématiques juridiques liées aux systèmes industriels et à leur cyber-sécurité, il est nécessaire d envisager les dispositifs juridiques qui n ont pas pour l instant fait l objet d une formalisation dans le droit positif et les normes existantes («le droit des robots» et «Security by design»). Puis, les interactions des systèmes industriels avec les objets connectés et également la problématique récente en droit français liée à la cyber-assurance de ces systèmes industriels. Enfi n, une présentation de l état du droit positif aussi bien français, qu européen et américain est nécessaire afi n de comprendre la multitude des textes applicables et dont la mise en œuvre par les exploitants afi n d être en conformité avec celles-ci peut s avérer diffi cile, d où l importance du rôle des directions juridiques au sein des entités exploitant ces systèmes industriels. «Le droit des robots» (4) Défi nition de l ALTIF (Analyse et traitement informatique de la langue française). Un robot peut être défi ni comme «un appareil effectuant, grâce à un système de commande automatique à base de micro-processeur, une tache précise pour laquelle il a été conçu dans le domaine industriel, scientifi que ou domestique» 4. À la différence de l automate, le robot est doté de capteurs dont les actions sont décidées par l intermédiaire de son programme, en fonction de l environnement. Les dernières générations des systèmes industriels peuvent être considérées comme des robots ; à ce titre, il est légitime de s interroger sur le régime juridique applicable. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 17

17 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3 Les dispositions juridiques existantes applicables aux fabriquants et/ou fournisseurs des systèmes industriels concernent d une part le droit des contrats, à savoir l article 1603 du Code civil. Le fabriquant et/ou fournisseur du système industriel est fait débiteur des obligations suivantes : mise à disposition du système ; délivrance conforme ; garantie de jouissance paisible ; absence de défaut de la chose vendue. La prise en compte des différents dispositifs de cyber-sécurité des systèmes industriels sont donc compris aussi bien dans l obligation de «délivrance conforme» du système (conformité par rapport aux diverses normes et référentiels applicables et aux attentes exprimées dans son cahier des charges) que dans les obligations de garantie de jouissance paisible (un système industriel avec des failles de sécurité inhérentes à celui-ci ne permet pas à son exploitant de disposer paisiblement de ce système) et dans l obligation d absence de défauts de la chose vendue. De même, le régime de la responsabilité lié aux produits défectueux (article et suivants du Code civil) peut être invoqué afi n d engager la responsabilité délictuelle du fabriquant et/ou fournisseur. Il peut également s appliquer à l exploitant du système industriel en cas d un défaut de sécurité (informatique) du système qui serait à l origine d un dommage aux personnes. Les dispositions de la Directive 2006/42/CE du 17 mai 2006 (entrée en application le 29 décembre 2009) relative aux machines, imposent des exigences de sécurité. Des réfl exions sont actuellement en cours au sein des communautés des juristes 5 sur le fait d accorder, ou non, une personnalité juridique (avec des droits et des obligations afférentes) à ces robots qui peuvent, dans leur fonctionnement (programmés et contrôlés par un humain), prendre des initiatives. Toutefois, cette piste de réfl exion est confrontée au fait que la jurisprudence refuse de reconnaître la responsabilité de la machine en raison du défaut de capacité de discernement. Ainsi est tenu pour responsable l exploitant qui a le contrôle du système industriel, gardien de ce dernier, en tant que personne physique ou morale. Charge à lui, dans un tel cas, d apporter les preuves qui écartent sa responsabilité. (5) Tel est le cas de Maître Alain Bensoussan cf. l article «Vers un droit des robots» du 21 avril 2014 et Maître Murielle Cahen. «Security by design» Il apparaît aujourd hui impératif de prendre en charge la sécurité des systèmes industriels dès le stade de leur conception, c est-à-dire dès la rédaction du cahier des charges et de l expression des besoins par l utilisateur fi nal. Ainsi l exploitant commanditaire du système industriel en question se doit d imposer ses choix, d exiger l utilisation des produits certifi és et de prévoir des clauses «d audit de fournisseurs». 18 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

18 Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Cette préoccupation doit être également au cœur des négociations des accords de connexion à internet, des contrats de travail des salariés des Industries et également lors de la rédaction des Chartes d Accès à ce Systèmes industriels connectés à Internet. Les entreprises administrant des systèmes industriels ne doivent nullement négliger les avancées des technologies de l information et de la communication. Elles doivent intégrer dans leurs analyses des risques les risques et menaces «involontaires» issues de l utilisation des dispositifs mobiles, souvent mis à disposition de l entreprise par le salarié lui-même. Ainsi la mise en place et/ou la mise à jour d une charte régissant l usage des technologies de l information et de la communication par les salariés et par les prestataires externes est impérative et en tout cas fortement conseillée. Les rédactions et négociations des contrats portant sur l acquisition de ces systèmes industriels connectés à Internet, impliquent d être vigilant quant au contenu des articles de confi dentialité, sécurité et évolutivité du système, obligations du fournisseur de conformité réglementaire, audit, responsabilité et mise en place d un niveau d engagements de service (SLA) conforme aux besoins exprimés dans le cahier des charges. De même, compte tenu de la vitesse à laquelle évoluent et changent les cyber-menaces, il est judicieux de ne pas négocier un contrat statique et de prévoir la possibilité pour l exploitant du service, en accord avec le fournisseur, de faire évoluer les dispositions contractuelles et d adapter ou pallier aux conséquences de ces évolutions. Les Systèmes industriels et les objets connectés Avec la disponibilité commerciale du cloud computing, les systèmes industriels ont de plus en plus adopté les technologies de l Internet des objets. Cette démarche réduit considérablement les coûts d infrastructure et augmente la facilité d entretien et d intégration. En conséquence, les systèmes industriels peuvent désormais transmettre des données en temps quasi réel et utiliser les facteurs d échelle autorisés par le cloud computing. Ainsi, des algorithmes de contrôle plus complexes que ce qui pouvait être fait avec les automates programmables industriels peuvent être mis en œuvre. En outre, l utilisation de protocoles de réseaux ouverts, tels que TLS inhérents à l Internet des objets, offre un périmètre de sécurité plus compréhensible et gérable que le mélange hétérogène de protocoles réseau propriétaires typiques de nombreuses implémentations des Systèmes industriels décentralisées précédentes. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 19

19 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3 La cyber-assurance des systèmes industriels Sur les 12 risques majeurs menaçant les entreprises, le cyber-risque occupe la troisième position. La cyber menace évoluant, des solutions d assurances tendent à se développer. La France est cependant en retard sur ce point. Il est nécessaire pour l entreprise candidate à l assurance, afi n d obtenir un «scoring», d associer un expert technique à l assureur. Il réalisera un état de la maturité organisationnelle de l entreprise versus l analyse et le contrôle opérationnel des cyber-risques. L assureur devra donc faire la transformation de l analyse en probabilité de l apparition du cyber-risque et déterminer l impact sur le patrimoine du client : matériel, production, immatériel. Aux États-Unis et au Royaume-Uni, plus de 30 % des entreprises ont déjà souscrit à une police de cyber-risques. Après les récentes attaques chez Sony ou Target, selon Ponemon, le coût moyen d une donnée volée est de 145 UD. L atteinte à l image est incluse dans cette évaluation. Les offres actuelles dans le marché français proposent des garanties couvrant tous les aspects des cyber-risques à savoir la responsabilité civile, les mesures palliatives, la gestion de la crise, la communication, les dommages intérêts dus aux clients et la perte d exploitation entre autres. En revanche, le terrorisme est systématiquement exclut. Le dispositif juridique français et européen Le cadre juridique français de la cyber-sécurité La France dispose d un arsenal législatif et réglementaire complet pour réprimer les cyber-attaques et bien évidement ces dispositions sont applicables aux attaques des systèmes industriels. Le tableau récapitulatif ci-dessous montre un aperçu de ces dispositions, jusqu en De même que pour les systèmes d information «informatiques», il est impératif de réaliser un recensement des données sensibles de ces infrastructures contrôlées par un système de commande et contrôle, et tout particulièrement des données personnelles. En effet, le projet de règlement européen sur les données personnelles, actuellement en discussion, aura vocation à s appliquer également à ces systèmes industriels. L industriel «exploitant» en tant que «Responsable du Traitement» au sens de la Loi I&L est responsable en cas de respect des dispositions applicables. Ainsi les exploitants devront revoir leur façon de traiter leurs priorités de protection de la confi dentialité et de l intégrité des données, tout en gardant au premier niveau de priorité la disponibilité du système. (6) Tableau issu de l article des Mesdames Anne Souvira et Miriam Quéméner «Cybersécurité et entreprises : se protéger juridiquement et se former». Sécurité & Stratégie n 11 Décembre INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

20 Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Les dispositions européennes et françaises concernant la cyber-sécurité des OIV La lutte contre la cybercriminalité étant une priorité européenne, la Commission européenne a adopté le 07 février 2013 une proposition de directive «visant à assurer un niveau élevé de sécurité des réseaux et de l information de l union». Cette proposition de directive a été modifi ée et adoptée par le Parlement européen le 13 mars 2014 et devrait être défi nitivement adoptée fi n Les principaux objectifs de la proposition de directive sont de (i) fi xer les obligations des États membres concernant la prévention et la gestion des risques et incidents aux réseaux et systèmes informatiques, (ii) à faciliter la coopération entre les États membres pour garantir l harmonisation des règles de cyber-sécurité au sein de l Union européenne et (iii) établir des exigences en matière de sécurité pour les acteurs du marché, notamment les «opérateurs d infrastructure essentielle». En effet, en raison de la disparité des niveaux de protection des États membres en matière de cyber-sécurité, il s avère impossible d avoir une coopération et une collaboration effective au sein de l Union européenne et la construction d une cyber-protection européenne s avère une chimère. Parallèlement à l initiative européenne, la France a voté la Loi de Programmation Militaire, le 18 décembre Elle fi xe de nouvelles règles qui complètent le dispositif présenté ci-dessus. Toutefois, les textes réglementaires précisant la mise en œuvre de la LMP et le calendrier prévisionnel associé se font toujours attendre. Ainsi les éléments suivants restent encore en attente : les décrets d application ; la déclinaison par typologie d industrie ; la procédure de certifi cation/labellisation de logiciels et matériels de sécurité compatibles pour les infrastructures critiques ; la procédure de certifi cation/labellisation de prestataires habilités à auditer les OIV ; défi nition d un incident de sécurité afi n de répondre à la section 2 de l article 22 qui impose la déclaration des incidents ; détails des calendriers d audit et de ce qui sera exigible en 2014/2015/ et au-delà, au regard de la loi. Le comparatif entre les dispositions américaines, européennes et françaises applicables aux systèmes industriels en matière de cyber-sécurité Les opérateurs exploitant des systèmes industriels peuvent, dans certains cas, être soumis aussi bien aux dispositions françaises et européennes qu aux dispositions américaines concernant la cyber-sécurité. De ce fait, les acteurs soumis à ces régimes devront rester particulièrement attentifs car la conformité à l un de ces régimes ne signifi e pas une conformité automatique à l autre régime ; de même, ces régimes, aux approches différentes, continueront à évoluer dans les mois et années à venir. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 21

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sûreté de fonctionnement Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sommaire Evolution des réseaux industriels et conséquences Modèle de prévention selon

Plus en détail

Les cyber risques sont-ils assurables?

Les cyber risques sont-ils assurables? Les cyber risques sont-ils assurables? Cyril Nalpas Master Management du Risque Institut Léonard de Vinci cyril.nalpas@gmail.com Les cyber risques sont-ils assurables? Quelles sont les questions que peuvent/doivent

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

SERVICES RELATIFS A L EXPLOITATION DE RESEAUX DE TELECOMMUNICATIONS (Terrestres et satellitaires)

SERVICES RELATIFS A L EXPLOITATION DE RESEAUX DE TELECOMMUNICATIONS (Terrestres et satellitaires) PROBLEMATIQUE - L APPROCHE JADE Telecom L exploitation de réseaux de télécommunications implique pour les entreprises la prise en compte de différents points importants : La mise en place de personnel

Plus en détail

Présentation de la solution SAP SAP Technology SAP Afaria. La mobilité d entreprise comme vecteur d avantage concurrentiel

Présentation de la solution SAP SAP Technology SAP Afaria. La mobilité d entreprise comme vecteur d avantage concurrentiel Présentation de la solution SAP SAP Technology SAP Afaria La mobilité d entreprise comme vecteur d avantage concurrentiel des périphériques et des applications des périphériques et des applications La

Plus en détail

Gouvernance et qualité des données sous Solvabilité II Grégoire VUARLOT

Gouvernance et qualité des données sous Solvabilité II Grégoire VUARLOT Gouvernance et qualité des données sous Solvabilité II Grégoire VUARLOT Directeur adjoint, Contrôles spécialisés et transversaux en assurance Autorité de contrôle prudentiel et de résolution 01/04/2015

Plus en détail

Conditions générales d affaires (CGA) Portail clients SanitasNet

Conditions générales d affaires (CGA) Portail clients SanitasNet Conditions générales d affaires (CGA) Portail clients SanitasNet 1 Table des matières Contenu 1. Préambule 3 2. Autorisation d accès 3 3. Accès technique à SanitasNet et identification 3 4. Coûts 4 5.

Plus en détail

UE 5 Management des systèmes d informations. Le programme

UE 5 Management des systèmes d informations. Le programme UE 5 Management des systèmes d informations Le programme Légende : Modifications de l arrêté du 8 mars 2010 Suppressions de l arrêté du 8 mars 2010 Partie inchangée par rapport au programme antérieur 1.

Plus en détail

UNE SOLUTION CRM CONÇUE POUR LA FORCE DE VENTE

UNE SOLUTION CRM CONÇUE POUR LA FORCE DE VENTE LIVRE BLANC UNE SOLUTION CRM CONÇUE POUR LA FORCE DE VENTE Comment choisir un CRM qui répondra à toutes les attentes de vos commerciaux www.aptean..fr LIVRE BLANC UNE SOLUTION CRM CONÇUE POUR LA FORCE

Plus en détail

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013 Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes 03 Décembre 2013 2 HIDD Harmonisation des Infrastructures Système Informatique Industrielle et de Gestion Etude

Plus en détail

Atelier thématique QUA1 -Présentation de la norme ISO 9001-

Atelier thématique QUA1 -Présentation de la norme ISO 9001- Forum QHSE - QUALITE Atelier thématique QUA1 -Présentation de la norme ISO 9001- Laurent GUINAUDY OC2 Consultants Atelier ISO 9001 1 Présentation du Cabinet OC2 Consultants Cabinet créé en 1996 Zone d

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

TABLEAU DE BORD : SYSTEME D INFORMATION ET OUTIL DE PILOTAGE DE LA PERFOMANCE

TABLEAU DE BORD : SYSTEME D INFORMATION ET OUTIL DE PILOTAGE DE LA PERFOMANCE TABLEAU DE BORD : SYSTEME D INFORMATION ET OUTIL DE PILOTAGE DE LA PERFOMANCE INTRODUCTION GENERALE La situation concurrentielle des dernières années a confronté les entreprises à des problèmes économiques.

Plus en détail

efficacité énergétique des grandes entreprises : audit et certification

efficacité énergétique des grandes entreprises : audit et certification efficacité énergétique des grandes entreprises : audit et certification ISO 50001 Le cadre réglementaire évolue incitant aujourd hui les Grandes Entreprises à s engager vers une meilleure efficience énergétique.

Plus en détail

Contenu de la Présentation

Contenu de la Présentation Contenu de la Présentation I. Introduction II. L Augmentation des menaces et une vulnérabilité plus forte III. Le marché de la SSI : les enjeux financiers et économiques IV. Répondre aux enjeux économiques

Plus en détail

Symantec CyberV Assessment Service

Symantec CyberV Assessment Service Symantec CyberV Assessment Service Cyber-résilience : gagnez en visibilité Le cyber-espace, monde technologique hyperconnecté constamment en évolution, offre des opportunités inégalées de connectivité,

Plus en détail

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS

PGSSI-S Guide pratique d une démarche sécurité SI en ES. Direction générale de l offre de soins - DGOS PGSSI-S Guide pratique d une démarche sécurité SI en ES Guide pratique d une démarche sécurité SI en ES pour sensibiliser les directions Cible : les directions des ES les établissements de taille moyenne,

Plus en détail

Changement dans les achats de solutions informatiques

Changement dans les achats de solutions informatiques Changement dans les achats de solutions informatiques Ce que cela signifie pour l informatique et les Directions Métiers Mai 2014 Le nouvel acheteur de technologies et la nouvelle mentalité d achat Un

Plus en détail

8) Certification ISO 14 001 : une démarche utile et efficace

8) Certification ISO 14 001 : une démarche utile et efficace Aller plus loin 8) Certification ISO 14 001 : une démarche utile et efficace 8) Certification ISO 14 001 8 La norme ISO 14001 et la certification Cette norme internationale vise à établir dans l organisme

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

UE 8 Systèmes d information de gestion Le programme

UE 8 Systèmes d information de gestion Le programme UE 8 Systèmes d information de gestion Le programme Légende : Modifications de l arrêté du 8 mars 2010 Suppressions de l arrêté du 8 mars 2010 Partie inchangée par rapport au programme antérieur Indications

Plus en détail

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014 Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

IRIS International Railway Industry Standard

IRIS International Railway Industry Standard Français Addendum 19 Juin 2008 IRIS International Railway Industry Standard Hier kann ein kleiner Text stehen Hier kann ein kleiner Text stehen Hier kann ein kleiner Text stehen Hier kann ein kleiner Text

Plus en détail

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie "étude de cas architecture et systèmes"

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie étude de cas architecture et systèmes Concours interne d ingénieur des systèmes d information et de communication «Session 2010» Meilleure copie "étude de cas architecture et systèmes" Note obtenue : 14,75/20 HEBERGE-TOUT Le 25 mars 2010 A

Plus en détail

Définition. Caractéristiques. - Du partage des ressources : espace de stockage, imprimantes, lignes de communication.

Définition. Caractéristiques. - Du partage des ressources : espace de stockage, imprimantes, lignes de communication. CONNECTER LES SYSTEMES ENTRE EUX L informatique, au cœur des tâches courantes, a permis de nombreuses avancées technologiques. Aujourd hui, la problématique est de parvenir à connecter les systèmes d information

Plus en détail

Charte de Compliance ERGO Insurance sa

Charte de Compliance ERGO Insurance sa Charte de Compliance ERGO Insurance sa Introduction Sur la base de la circulaire PPB/D. 255 du 10 mars 2005 sur la compliance adressée aux entreprises d assurances, une obligation légale a été imposée

Plus en détail

CQPI Technicien qualité

CQPI Technicien qualité CQPI Technicien qualité Public concerné Salariés ou futurs salariés qui auront pour mission d assurer le contrôle de la qualité et de participer à l amélioration des modes de production et/ou à la mise

Plus en détail

Label sécurité ITrust : ITrust Security Metrics

Label sécurité ITrust : ITrust Security Metrics ITrust Security Metrics : le label sécurité d ITrust 26 Septembre 2011 Label sécurité ITrust : ITrust Security Metrics Objet : Ce document présente le label de sécurité ITrust et formalise les conditions

Plus en détail

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi

Plus en détail

UNIVERSITÉ DU QUÉBEC À RIMOUSKI POLITIQUE DE GESTION DES RISQUES

UNIVERSITÉ DU QUÉBEC À RIMOUSKI POLITIQUE DE GESTION DES RISQUES Titre : POLITIQUE DE GESTION DES RISQUES CODE : APPROUVÉ PAR : CONSEIL D'ADMINISTRATION RÉS. : CA-617-7747 10-12-2013 EN VIGUEUR : 10-12-2013 MODIFICATIONS : Note : Le texte que vous consultez est une

Plus en détail

Les partenariats associations & entreprises

Les partenariats associations & entreprises Les partenariats associations & entreprises Initier ou renforcer une politique de partenariats avec les entreprises Novembre 2011 Référentiel réalisé en partenariat avec et Edito Avec leurs 1,9 millions

Plus en détail

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I I - Métiers, fonctions et activités visés A. Désignation du métier et des fonctions Expert

Plus en détail

Le tableau de bord de la DSI : un outil pour mieux piloter son informatique.

Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Le tableau de bord de la DSI : un outil pour mieux piloter son informatique. Introduction Face à l évolution constante des besoins fonctionnels et des outils informatiques, il est devenu essentiel pour

Plus en détail

STRATÉGIE DE SURVEILLANCE

STRATÉGIE DE SURVEILLANCE STRATÉGIE DE SURVEILLANCE Décembre 2013 SOMMAIRE OBJET page 3 OBJECTIFS DE LA SURVEILLANCE page 3 PRINCIPES D ÉLABORATION DU PROGRAMME page 4 PROGRAMME 2014 page 5 RESSOURCES page 6 PERSPECTIVES 2015/2016

Plus en détail

FAIRE APPEL À UN EXPERT

FAIRE APPEL À UN EXPERT FAIRE APPEL À UN EXPERT Décembre 2011 Afin d être en mesure d exercer ses missions, le comité d entreprise dispose de nombreux moyens d information, notamment par les documents que doit lui communiquer

Plus en détail

Sécurité et Confiance dans les Réseaux et Systèmes d Information

Sécurité et Confiance dans les Réseaux et Systèmes d Information Agence Nationale de Réglementation des Télécommunications Sécurité et Confiance dans les Réseaux et Systèmes d Information - Cadre institutionnel et réglementaire - Présenté par : Laila ZOUAK Entité Prospective

Plus en détail

La sécurité - Pourquoi? Pourquoi la sécurité? (suite) Confiance Affaires. Pourquoi parler de sécurité? La sécurité informatique, une entrée en matière

La sécurité - Pourquoi? Pourquoi la sécurité? (suite) Confiance Affaires. Pourquoi parler de sécurité? La sécurité informatique, une entrée en matière Pourquoi parler de sécurité Si vous ne pouvez expliquer un concept à un enfant de six ans, c est que vous ne le comprenez pas complètement - Albert Einstein La sécurité - Pourquoi Pourquoi la sécurité

Plus en détail

1 Les clés de lecture du livre

1 Les clés de lecture du livre 1 Les clés de lecture du livre 1 Les clés de lecture du livre La logique de notre ouvrage Cet ouvrage est destiné aux lecteurs ne connaissant pas l ingénierie système et qui veulent comprendre rapidement

Plus en détail

Big data et protection des données personnelles

Big data et protection des données personnelles Big data et protection des données personnelles Séminaire Aristote Ecole Polytechnique 15 octobre 2015 Sophie Nerbonne Directrice de la conformité à la CNIL La CNIL : autorité en charge de la protection

Plus en détail

LES OUTILS DE LA GESTION DE PROJET

LES OUTILS DE LA GESTION DE PROJET LES OUTILS DE LA GESTION DE PROJET PROJET : «ensemble des actions à entreprendre afin de répondre à un besoin défini dans des délais fixés». Délimité dans le temps avec un début et une fin, mobilisant

Plus en détail

Profil professionnel Section : Bachelier en informatique & systèmes finalité informatique industrielle

Profil professionnel Section : Bachelier en informatique & systèmes finalité informatique industrielle Section : Bachelier en informatique & systèmes Page 1/6 1. Introduction L enseignement de la Haute Ecole Louvain en Hainaut donne la place centrale à l étudiant. Celui-ci trouvera durant ses études de

Plus en détail

Référentiel Bases Essentielles en Santé et Sécurité au Travail (BES&ST)

Référentiel Bases Essentielles en Santé et Sécurité au Travail (BES&ST) Document élaboré par la Commission Enseignement Supérieur du CNESST. Référentiel Bases Essentielles en Santé et Sécurité au Travail (BES&ST) Ce référentiel rassemble des compétences de base en santé et

Plus en détail

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Guide de bonnes pratiques de sécurisation du système d information des cliniques Guide de bonnes pratiques de sécurisation du système d information des cliniques Le CNA a diligenté un audit de sécurité du système de facturation des cliniques et de transmission à l Assurance Maladie,

Plus en détail

Réguler le virtuel : Expérience des jeux en ligne

Réguler le virtuel : Expérience des jeux en ligne Réguler le virtuel : Expérience des jeux en ligne Stéphane Vaugelade Les propos de cette présentation n engagent que leur auteur Forum 2011 1 Sommaire Rappel historique Exigences du régulateur Cahier des

Plus en détail

SYSTEMES DE MANAGEMENT ENVIRONNEMENTAL ISO14001

SYSTEMES DE MANAGEMENT ENVIRONNEMENTAL ISO14001 Quand le dernier arbre aura été abattu, Quand la dernière rivière aura été empoisonnée, Quand le dernier poisson aura été péché, Alors on saura que l argent ne se mange pas. Géronimo, chef apache SYSTEMES

Plus en détail

FILIÈRE METHODOLOGIE & PROJET

FILIÈRE METHODOLOGIE & PROJET FILIÈRE METHODOLOGIE & PROJET 109 Gestion de projet METHODOLOGIE ET PROJET Durée 3 jours Conduite de projet COND-PRO s Intégrer les conditions de réussite d une démarche de management par projet. Impliquer

Plus en détail

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde Direction Communication 63 rue de Villiers, 92200 Neuilly-sur-Seine Tél. 01 56 57 58 59 Communiqué de presse Contact : PwC, Hélène Coulbault, 01 56 57 88 26, helene.coulbault@fr.pwc.com Neuilly-sur-Seine,

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD1 Exercices Exercice 1 : Décrivez les facteurs internes qui ont un impact sur les communications réseau. Les facteurs internes ayant un impact sur les communications sont liés à la nature

Plus en détail

Livre Blanc. Optimiser la gestion et le pilotage des opérations. Août 2010

Livre Blanc. Optimiser la gestion et le pilotage des opérations. Août 2010 Livre Blanc Optimiser la gestion et le pilotage des opérations Août 2010 Un livre blanc édité par : NQI - Network Quality Intelligence Tél. : +33 4 92 96 24 90 E-mail : info@nqicorp.com Web : http://www.nqicorp.com

Plus en détail

Automatisation des copies de systèmes SAP

Automatisation des copies de systèmes SAP Pour plus d informations sur les produits UC4 Software, visitez http://www.liftoff-consulting.com/ Automatisation des copies de systèmes SAP Introduction Le thème de la copie des systèmes SAP est une source

Plus en détail

Archives et factures électroniques

Archives et factures électroniques Archives et factures électroniques Edito En 2001, le Conseil de l Union Européenne a publié la Directive 2001/115/CE relative à la facturation. Son objectif était de simplifier, de moderniser et d harmoniser

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

FICHE D IDENTITÉ DE LA QUALIFICATION VALIDÉE OBJECTIF PROFESSIONNEL DE LA QUALIFICATION VALIDEE

FICHE D IDENTITÉ DE LA QUALIFICATION VALIDÉE OBJECTIF PROFESSIONNEL DE LA QUALIFICATION VALIDEE COMMISSION PARITAIRE NATIONALE DE L'EMPLOI DE LA METALLURGIE Qualification : 2001 01 89 0195 (Cette fiche annule et remplace, à compter du 9 janvier 2007, la précédente fiche d identité) FICHE D IDENTITÉ

Plus en détail

Programme de formations

Programme de formations Programme de formations Member of Group LES DEFIS DE LA QUALITE Pourquoi mettre en place un Système de Management de la Qualité? Faire évoluer les comportements, les méthodes de travail et les moyens pour

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

Présentation. Logiciels libres. Open Source. Clinkast 4 Avenue du Général de Gaulle F 92360 Meudon (+33) 6 20 44 86 95 (+33) 1 46 30 24 13

Présentation. Logiciels libres. Open Source. Clinkast 4 Avenue du Général de Gaulle F 92360 Meudon (+33) 6 20 44 86 95 (+33) 1 46 30 24 13 Présentation Logiciels libres et Open Source Description Un logiciel libre* est en général gratuit. Il est utilisable et modifiable sans notification préalable à son auteur, qui a renoncé à ses droits

Plus en détail

Architecte d infrastructures informatiques

Architecte d infrastructures informatiques Architecte d infrastructures informatiques E1C23 Infrastructures informatiques - IR L architecte d infrastructures informatiques pilote la conception, le déploiement et la mise en oeuvre d'architectures

Plus en détail

Guide pratique des aides à Guide pratique pour la propriété intellectuelle les études de faisabilité en Wallonie

Guide pratique des aides à Guide pratique pour la propriété intellectuelle les études de faisabilité en Wallonie Guide Guide pratique pratique des pour aides à la les propriété études de intellectuelle faisabilité en Wallonie SOMMAIRE 1. L innovation technologique... 2 2. Le cadre légal des aides... 2 2.1. Recherche

Plus en détail

Sécurisation d un site nucléaire

Sécurisation d un site nucléaire Sécurisation d un site nucléaire Club automation 03 décembre 2013 Application du concept de défense en profondeur Laurent RAILLIER Un site nucléaire existant Base installée Schneider Electric importante

Plus en détail

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 ISO 14001: 2015 Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 4115, Rue Sherbrooke Est, Suite 310, Westmount QC H3Z 1K9 T 514.481.3401 / F 514.481.4679

Plus en détail

Fonctionnement de Windows XP Mode avec Windows Virtual PC

Fonctionnement de Windows XP Mode avec Windows Virtual PC Fonctionnement de Windows XP Mode avec Windows Virtual PC Guide pratique pour les petites entreprises Table des matières Section 1 : présentation de Windows XP Mode pour Windows 7 2 Section 2 : démarrage

Plus en détail

40 règles «d hygiène informatique» pour assurer la sécurité informatique d un cabinet/service d imagerie médicale

40 règles «d hygiène informatique» pour assurer la sécurité informatique d un cabinet/service d imagerie médicale 40 règles «d hygiène informatique» pour assurer la sécurité informatique d un cabinet/service d imagerie médicale Le système d information (RIS, PACS, internet, ) est au cœur de l organisation de tout

Plus en détail

PROPOSER UNE SOLUTION OPEN SOURCE AU GOUVERNEMENT DU QUEBEC

PROPOSER UNE SOLUTION OPEN SOURCE AU GOUVERNEMENT DU QUEBEC PROPOSER UNE SOLUTION OPEN SOURCE AU GOUVERNEMENT DU QUEBEC PLAN DE MATCH LE WEB A QUÉBEC 23 au 25 février 2011 - Version 1.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com Au programme

Plus en détail

La Révision comptable

La Révision comptable Jean-Marc Bénard La Révision comptable Publibook Retrouvez notre catalogue sur le site des Éditions Publibook : http://www.publibook.com Ce texte publié par les Éditions Publibook est protégé par les lois

Plus en détail

L innovation dans l entreprise numérique

L innovation dans l entreprise numérique L innovation dans l entreprise numérique Toutes les entreprises ne sont pas à l aise avec les nouvelles configurations en matière d innovation, notamment avec le concept d innovation ouverte. L idée de

Plus en détail

Guide EA pour l Application de la norme ISO/CEI 17021:2006 concernant les audits combinés

Guide EA pour l Application de la norme ISO/CEI 17021:2006 concernant les audits combinés EA-7/05 Guide EA pour l application de la norme ISO/CEI 17021:2006 pour les audits combinés Référence de la publication Guide EA pour l Application de la norme ISO/CEI 17021:2006 concernant les audits

Plus en détail

Big Data : se préparer au Big Bang

Big Data : se préparer au Big Bang Big Data : se préparer au Big Bang Initialement confinées au cœur des moteurs de recherche et des réseaux sociaux, les technologies du Big Data s'exportent désormais avec succès dans de nombreux secteurs

Plus en détail

Alcatel-Lucent VitalQIP Appliance Manager

Alcatel-Lucent VitalQIP Appliance Manager Alcatel-Lucent Appliance Manager Solution complète de gestion des adresses IP et de bout en bout basée sur des appliances Rationalisez vos processus de gestion et réduisez vos coûts d administration avec

Plus en détail

Profil de la société

Profil de la société Profil de la société Leader de l orchestration des stratégies de sécurité Pionnière de l orchestration des stratégies de sécurité, la société Tufin automatise et accélère les modifications des configurations

Plus en détail

Fonctionnalités d un logiciel de GMAO

Fonctionnalités d un logiciel de GMAO I.1. Introduction : Le caractère stratégique de la panne, préoccupe de plus en plus les responsables de la production ayant à faire face aux équipements complexes qui ne cessent de prendre de l ampleur

Plus en détail

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................

Plus en détail

MANAGEMENT ENVIRONNEMENT ISO 14001 PAR ETAPES BILAN CARBONE. Accompagnement groupé laboratoires d analyses médicales

MANAGEMENT ENVIRONNEMENT ISO 14001 PAR ETAPES BILAN CARBONE. Accompagnement groupé laboratoires d analyses médicales MANAGEMENT ENVIRONNEMENT ISO 14001 PAR ETAPES BILAN CARBONE Accompagnement groupé laboratoires d analyses médicales La démarche d analyse et d accompagnement, constituée de 3 étapes telles qu elles sont

Plus en détail

INTRANET - SECURITE. 2. La Sécurité

INTRANET - SECURITE. 2. La Sécurité INTRANET - SECURITE 1. Intranet et Extranet 2. La Sécurité INTRANET Un intranet est un ensemble de services internet (par exemple un serveur e web) internes nes à un réseau local, c'est-à-dire accessibles

Plus en détail

Profil de protection d un client applicatif MES/SCADA

Profil de protection d un client applicatif MES/SCADA Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

Chorus Factures, solution de dématérialisation fiscale des factures. Kit de communication à destination des fournisseurs. Version 2.0.

Chorus Factures, solution de dématérialisation fiscale des factures. Kit de communication à destination des fournisseurs. Version 2.0. Chorus Factures, solution de dématérialisation fiscale des Kit de communication à destination des fournisseurs Version 2.0 Réf : SOMMAIRE Introduction Enjeux de la dématérialisation fiscale des Description

Plus en détail

L application doit être validée et l infrastructure informatique doit être qualifiée.

L application doit être validée et l infrastructure informatique doit être qualifiée. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés

Plus en détail

INFORMATIQUE - PROJET DE DEVELOPPEMENT INTERNET/INTRANET

INFORMATIQUE - PROJET DE DEVELOPPEMENT INTERNET/INTRANET MINISTERE DE LA COMMUNAUTE FRANCAISE ADMINISTRATION GENERALE DE L ENSEIGNEMENT ET DE LA RECHERCHE SCIENTIFIQUE ENSEIGNEMENT DE PROMOTION SOCIALE DE REGIME 1 DOSSIER PEDAGOGIQUE UNITE DE FORMATION INFORMATIQUE

Plus en détail

TRACABILITE DANS LE SECTEUR AGROALIMENTAIRE, J-4 mois : ÊTES-VOUS PRÊTS?

TRACABILITE DANS LE SECTEUR AGROALIMENTAIRE, J-4 mois : ÊTES-VOUS PRÊTS? TRACABILITE DANS LE SECTEUR AGROALIMENTAIRE, J-4 mois : ÊTES-VOUS PRÊTS? INTRODUCTION Aujourd hui, dans un contexte de crises sanitaires et de concurrence internationale croissante au niveau du secteur

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

«Le partage des données à caractère personnel et le respect de la vie privée à domicile»

«Le partage des données à caractère personnel et le respect de la vie privée à domicile» Conférence Le Point «Maison connectée et intelligente» Paris, 28 mars 2013 Peter Hustinx Contrôleur européen de la protection des données «Le partage des données à caractère personnel et le respect de

Plus en détail

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES

ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES ANALYSE DES RISQUES ET MANAGENEMENT DES RISQUES Introduction : Le management des risques est un processus qui permet au Business Manager d équilibrer les coûts économiques et opérationnels et faire du

Plus en détail

Les expériences d ERNI dans l univers du management, des processus et des technologies. Experience N 52. Mars 2012 Pas à pas vers de bonnes exigences

Les expériences d ERNI dans l univers du management, des processus et des technologies. Experience N 52. Mars 2012 Pas à pas vers de bonnes exigences Les expériences d ERNI dans l univers du management, des processus et des technologies Experience N 52 Mars 2012 OutsourcINg Pas à pas vers de bonnes exigences Outsourcing 10 11 Pas à pas vers de bonnes

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

EXIGENCES NORMES ISO 9001 /2008

EXIGENCES NORMES ISO 9001 /2008 EXIGENCES NORMES ISO 9001 /2008 La pharmacie d officine norme ISO 9001-2008 D après X50-131 1. Sommaire 0. Intérêt d un manuel qualité... 3 1. Généralités... 3 1.1 Fournir un produit ou service conforme...

Plus en détail

Acheter autrement : un enjeu public et privé Jean-Jacques.Rivy@dr5.cnrs.fr

Acheter autrement : un enjeu public et privé Jean-Jacques.Rivy@dr5.cnrs.fr Pépinière Acheteurs publics 21 avril 2006 Atelier : «Conduite du changement» Acheter autrement : un enjeu public et privé Jean-Jacques.Rivy@dr5.cnrs.fr Atelier «Conduite du changement» Plan de l intervention

Plus en détail

La biométrie au cœur des solutions globales

La biométrie au cœur des solutions globales www.thalesgroup.com GESTION D IDENTITÉ SÉCURISÉE La biométrie au cœur des solutions globales Risques et solutions Explosion de la mobilité des personnes et des échanges de données, croissance des flux

Plus en détail

Qualité, Sécurité, Environnement

Qualité, Sécurité, Environnement Qualité, Sécurité, Environnement Santé, Sécurité, Hygiène au travail Déployer un Système de Management SST efficient (OHSAS 18001) Mettre un place une démarche «M.A.S.E.» Mettre en œuvre et optimiser l

Plus en détail

Principes de bonne pratique :

Principes de bonne pratique : Principes de bonne pratique : Recommandations en vue de la création de bases de données génétiques nationales Le présent document a été élaboré par le Groupe d experts d INTERPOL sur le suivi des techniques

Plus en détail

Module Projet Personnel Professionnel

Module Projet Personnel Professionnel Module Projet Personnel Professionnel Elaborer un projet personnel professionnel. Connaissance d un métier, d une entreprise ou d un secteur d activités. Travail individuel de recherche SUIO-IP Internet

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

Vote par Internet : quel avenir?

Vote par Internet : quel avenir? Journée de la sécurité des systèmes d information du 22 mai 2008 Proposition d intervention Thème général : anonymat, vie privée et gestion d'identité Vote par Internet : quel avenir? Le 22 mai 2008 Benoit

Plus en détail

Être conforme à la norme PCI. OUI, c est possible!

Être conforme à la norme PCI. OUI, c est possible! Être conforme à la norme PCI OUI, c est possible! Présentation Réseau Action TI 8 mai 2013 Johanne Darveau Directrice systèmes, portefeuille de projets et support applicatif Technologies de l information

Plus en détail

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI Formations NBS SYSTEM, Copyright 2010 1/9 Plan de Formation RSSI 2010 2011 Formations NBS SYSTEM, Copyright 2010 2/9 Formations Les formations sont constituées de différents modules managériaux et techniques

Plus en détail

POLITIQUE DE GESTION DES RISQUES ADOPTÉE 329-CA-3476 (23-04-2013)

POLITIQUE DE GESTION DES RISQUES ADOPTÉE 329-CA-3476 (23-04-2013) POLITIQUE DE GESTION DES RISQUES ADOPTÉE 329-CA-3476 (23-04-2013) (NOTE : Dans le présent document, le genre masculin est utilisé à titre épicène dans le but d alléger le texte.) TABLE DES MATIÈRES 1.

Plus en détail

MISSION RELATIVE AU LICENCIEMENT ECONOMIQUE

MISSION RELATIVE AU LICENCIEMENT ECONOMIQUE MISSION RELATIVE AU LICENCIEMENT ECONOMIQUE L intervention de l expert-comptable en cas de licenciement économique consiste principalement à analyser les raisons et la pertinence de la mesure envisagée,

Plus en détail

Gestion des approvisionnements avec SAP Business One Optimisation des approvisionnements grâce à l intégration de la logistique et de la comptabilité

Gestion des approvisionnements avec SAP Business One Optimisation des approvisionnements grâce à l intégration de la logistique et de la comptabilité distributeur des solutions FICHE TECHNIQUE Module : Gestion des achats Gestion des approvisionnements avec SAP Business One Optimisation des approvisionnements grâce à l intégration de la logistique et

Plus en détail