RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET TRAVAUX DES AUDITEURS INHESJ. Cycle «Sécurité des usages numériques»

Dimension: px
Commencer à balayer dès la page:

Download "RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET TRAVAUX DES AUDITEURS INHESJ. Cycle «Sécurité des usages numériques»"

Transcription

1 Institut national des hautes études de la sécurité et de la justice INHESJ TRAVAUX DES AUDITEURS RISQUES ET SÉCURITÉ Cycle «Sécurité des usages numériques» Travaux de la 4 e promotion ( ) DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET en partenariat avec le DÉCEMBRE 2014

2 L Institut national des hautes études de la sécurité et de la justice publie chaque année des rapports et études sur les champs de la sécurité et à la justice. Dans le cadre du cycle de spécialisation «Sécurité des usages numériques», les auditeurs stagiaires réalisent un travail collectif tutoré par le département sécurité économique de l INHESJ. Ces travaux sont effectués en toute liberté grâce à l indépendance dont les auteurs bénéfi cient au sein de l Institut. L étude ci-dessous publiée est un document à vocation scientifi que. Il ne saurait être interprété comme une position offi cielle ou offi cieuse de l Institut ou des services de l État. Les opinions et recommandations qui y sont exprimées sont celles de leurs auteurs. Le document est publié sous la responsabilité éditoriale du directeur de l Institut. Les études ou recherches de l INHESJ sont accessibles sur le site de l INHESJ. Directeur de la publication M. Cyrille SCHOTT, directeur de l INHESJ

3 AVANT-PROPOS est désormais au cœur des actifs immatériels des organisations et constitue un élément clé de leur performance. L information L entrée dans le monde numérique a par ailleurs conféré aux systèmes d information une dimension incontournable du développement de l économie. La «sécurité des usages numériques» représente donc un enjeu majeur pour la pérennité et la compétitivité des entreprises et des administrations. C est pourquoi, dès 2010, l Institut national de hautes études de la sécurité et de la justice (INHESJ) et le CIGREF (Réseau de Grandes Entreprises) ont convenu de mettre en place un cycle de formation sur les problématiques et les enjeux liés à la sécurité numérique à destination des cadres d entreprises des secteurs privé et public. Ce cycle de spécialisation en «Sécurité des usages numériques» se fi xe pour objectif de délivrer les savoir-faire visant l identifi cation, l évaluation et la maîtrise de l ensemble des risques et des malveillances à tous ceux qui veulent mieux comprendre les enjeux de la sécurité numérique au sein des entreprises. L Institut est heureux de présenter dans sa collection Études et Documents les travaux des auditeurs de ce cycle réalisés sous la supervision du Département sécurité économique de l INHESJ. Cyrille SCHOTT Directeur de l Institut national des hautes études de la sécurité et de la justice Pascal BUFFARD Président du CIGREF INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 3

4 Les AUTEURS Les Auteurs de ce travail intitulé «Sécurité des objets connectés» sont : Carolina MORALES-COLASANTE Véronique WADEL Sylvain ARNOLD Xavier BLANCHARD Bertrand LOCHET Sous la direction de Nicolas Arpagian, directeur scientifi que du cycle «Sécurité des usages numériques».

5 RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET Travaux de la 4 e promotion ( ) du Cycle «Sécurité des usages numériques» Sommaire PRÉAMBULE INTRODUCTION CHAPITRE 1 Les systèmes industriels Historique Composants des systèmes industriels Les principaux objectifs et atouts des Systèmes industriels Domaines d utilisation des systèmes industriels CHAPITRE 2 Les risques et menaces des systèmes industriels Profi l des attaquants et les objectifs de l attaque Typologie des risques Typologie des menaces Moyen d accès d une attaque au système industriel CHAPITRE 3 - Problématiques juridiques de la cyber-sécurité des systèmes industriels «Le droit des robots» «Security by design» Les Systèmes industriels et les objets connectés La cyber-assurance des systèmes industriels Le dispositif juridique français et européen Le rôle de la Direction juridique CHAPITRE 4 Les solutions de sécurisation de la connexion à Internet des systèmes industriels Le retour au déterminisme des systèmes industriels L audit du code Authentifi cation Forte Le chiffrement et le principe ou la chaîne de confi ance Protocoles spécifi ques SCADA par les fabriquant des solutions «endpoint» Approche sémantique «fi rewall sémantique» Amélioration de la Cyber sécurité des réseaux des systèmes industriels Systèmes de détection d intrusion Les «Honeypot» Recherche et analyse de la vulnérabilité La vérifi cation des journaux La sensibilisation à la cyber-sécurité La mise en œuvre des directives et guides de gestion de la sécurité La défense en profondeur La gestion des risques Propositions d architecture et de process CONCLUSION Définitions Références bibliographiques INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 5

6 PRÉAMBULE Miser sur la diversité des compétences pour répondre à des menaces protéiformes. La sécurité numérique doit se concevoir sur le modèle des multiples formes d agressions rendues possibles par les technologies de l information et de la communication qui irriguent désormais les organisations économiques, administratives ou militaires. C est la raison pour laquelle la réfl exion et la stratégie en matière de cybersécurité doivent se concevoir en mettant à contribution une grande variété de compétences et d expertises : dans les domaines industriels, techniques, informatiques, juridiques, judiciaires, militaires, policiers et même politiques. De ce croisement de savoir-faire émergeront les stratégies utiles à mettre en place pour concevoir une sécurité numérique plus performante. C est dans cet esprit que chaque année les auditeurs du cycle «Sécurité numérique» de l Institut national des hautes études de la sécurité et de la justice (INHESJ) travaillent à analyser et éclairer une problématique qui se trouve au cœur des intérêts stratégiques des entreprises, et donc des États. Ils ont pour mission d expliquer les enjeux de la thématique qui leur a été confi ée, d en présenter les mécanismes et de formuler des réponses réalistes et concrètes pour réduire ou faire cesser l exposition au risque qu elle représente. Soit une démarche résolument tournée vers une amélioration continue de la notion de sécurité, au bénéfi ce du plus grand nombre. Vous trouverez dans ce document le fruit de leurs réfl exions après une année d étude passée au sein de l INHESJ à échanger entre pairs et à rencontrer les experts et les praticiens les plus expérimentés dans le domaine de la sécurité numérique. Ils aboutissent à chaque fois à des recommandations opérationnelles directement transposables dans la réalité des entreprises et des administrations. Ce sont donc des contributions utiles à une meilleure sécurité numérique. Éric DELBECQUE Nicolas ARPAGIAN Chef du Département Directeur scientifi que du cycle «Sécurité économique» «Sécurité des usages numériques» INHESJ Septembre 2014 Ingérence et politique de sécurité des systèmes d information 7

7 INTRODUCTION Les systèmes industriels sont essentiels au bon fonctionnement de la nation. À l instar de la démarche déjà entreprise par les États-Unis, il s agit aujourd hui de faire de leur cyber-sécurité une priorité stratégique, tant au niveau européen et français qu au niveau international. Les dernières cyber-attaques Stuxnet 1, Spamhaus et plus récemment les vols de données clients chez Orange ont alerté aussi bien les pouvoirs publics que les entreprises exploitant des systèmes industriels. Ces événements confi rment la nécessité de prendre toutes les mesures appropriées pour faire face aux risques encourus, mais aussi pour se conformer au cadre réglementaire qui se met progressivement en place. La connexion des systèmes industriels à Internet n étant pas une nouveauté en soi, il est cependant nécessaire d exposer le contexte spécifi que à ces derniers (Chapitre 1) pour mieux comprendre les risques de leur connexion à Internet (Chapitre 2) avec les problématiques et enjeux juridiques (Chapitre 3). Et, ainsi, pouvoir présenter les différentes mesures de sécurisation de ces systèmes industriels (Chapitre 4). (1) C est le premier ver découvert qui espionne et reprogramme des systèmes industriels, ce qui comporte un risque élevé. Il cible spécifi quement les systèmes SCADA utilisés pour le contrôle commande de procédés industriels. Stuxnet a la capacité de reprogrammer des automates programmables industriels (API). 8 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

8 Chapitre 1 LES SYSTÈMES INDUSTRIELS Historique Jusqu en 1940, les premiers systèmes de pilotage connectés étaient des systèmes de contrôle dans les systèmes industriels. Ils étaient destinés à opérer des équipements localisés dans des sites distants. Toutefois, à cette époque, il était nécessaire d avoir du personnel sur chacun des sites ou bien d envoyer une équipe pour opérer l équipement. Les premiers essais de ces systèmes industriels ont débuté par l utilisation d une paire de lignes entre les sites distants. Chaque ligne opérait une seule pièce de l équipement. Cette solution s est avérée très onéreuse mais justifi ée par le besoin d être opérée très fréquemment ou afi n de rétablir le service rapidement. Puis les Relay/Tone system ont vu le jour ; comme des systèmes relais qui créaient des pulsations envoyées au travers d un canal de communication jusqu au site distant. Dans les années 1960, les premiers systèmes industriels voient le jour en tant que système d exploitation électronique d entrée / sortie, avec des transmissions entre une station maître et une station distante. La station «maître» avait pour but de recevoir des données à travers un réseau de télémétrie et de stocker les données sur les ordinateurs centraux. En 1965 pour la première fois, un ordinateur a été utilisé comme station maître, capable d avoir des fonctions en temps réel. Tel était le cas des processeurs PRODAC et GETAC construits par GE et Westinghouse. Progressivement les ordinateurs ont commencé à être dotés de fonctions de scanning de données, du monitoring de données et des statuts, de changements des alertes puis de données des connexions périodiques. La plupart des systèmes industriels américains fonctionnaient alors avec une base de scanning permanent avec l ordinateur maître ; ce dernier envoie alors les requêtes, les sites distants, eux, uniquement des réponses. En Europe, on retrouve les premiers systèmes dans lesquels le site distant continue à envoyer des données sans que le site central envoie des requêtes ; ceci grâce à un canal qui permettait d envoyer et de recevoir en même temps. Ce n est que dans les années 1970 que les systèmes de contrôle distribués (DCS) ont été développés pour contrôler différents sous-systèmes éloignés ; dans les années 1980, avec le développement du micro-ordinateur, le contrôle de processus a pu être réparti entre les sites distants. Puis il y a eu un développement des activités DEC utilisant des contrôleurs logiques programmables (PLC) ; ils avaient la capacité de contrôler les sites sans prendre la direction d un maître. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 9

9 LES SYSTÈMES INDUSTRIELS Chapitre 1 Dans les années 1990, les systèmes industriels avaient des capacités de DCS et étaient adaptés en fonction de certaines caractéristiques de contrôle propriétaires construits par le concepteur. Internet étant utilisé davantage comme un outil de communication, les systèmes de télémesure utilisaient alors des logiciels automatisés avec certains portails de téléchargement des informations ou de contrôle de processus. L Ingénierie des systèmes industriels concerne aujourd hui des processus de contrôle, mais aussi la mesure, la prévision, la facturation, l analyse et la planifi cation. Les systèmes industriels actuels doivent répondre à un tout nouveau niveau d automatisation de contrôle avec un interfaçage aux équipements obsolètes, tout en restant suffi samment souple pour s adapter à l évolution des technologies d information. Les exigences des systèmes industriels relèvent aujourd hui des mises à niveau et mises à jour des versions des systèmes ; il faut alors donner la priorité à la connaissance des composants du système avant de décider quelle interface mettre en place ou quel matériel est nécessaire pour une application particulière. Depuis les années 2000, une transformation profonde a eu lieu : les systèmes isolés et propriétaire sont passés à des systèmes construits sur des architectures et structures aux technologies standard hautement interconnectés sur des réseaux privés, voire sur internet. Ces systèmes, conçus pour durer des dizaines d années à une époque où la cyber criminalité touchant les infrastructures industrielles critiques n était pas encore répandue, n intégraient pas encore nativement la sécurité réseau. Composants des systèmes industriels Un dispositif système industriel, utilisé comme outil de sécurité de consignation d appareil électrique, est généralement composé des sous-systèmes suivants : une interface homme-machine qui présente les données à un opérateur humain : ce dernier peut alors superviser et commander les processus ; un système de supervision et de contrôle informatique faisant l acquisition des données des processus et envoyant des commandes (consignes) aux processus ; une unité terminale distante (RTU) reliant les capteurs convertissant les signaux en fl ux de données numériques et envoyant les données numériques au système de supervision ; des automates programmables industriels utilisés sur le terrain pour leur versatilité et fl exibilité due à leur capacité d être confi gurables ; 10 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

10 Chapitre 1 LES SYSTÈMES INDUSTRIELS une infrastructure de communication reliant le système de supervision et contrôle aux éléments terminaux ; divers instruments d analyse. À titre d exemple, le schéma ci-dessous expose les différents composants d un système industriel. Les principaux objectifs et atouts des Systèmes industriels Les systèmes industriels ont pour principaux objectifs : de concentrer les données, déporter ou centraliser le pilotage du procédé ; d apporter une vision temps réel des états permettant aux opérateurs de réagir et de décider rapidement ; D apporter les premiers outils d analyses nécessaires aux contrôles des équipements concernés (historiques, courbes, pareto, alarmes, login). Pour parvenir à atteindre ces objectifs, les systèmes industriels sont dotés d un certain nombre d atouts, notamment : des outils de graphisme afi n de représenter les procédés concernés ; des «moteurs» d animation permettant de défi nir les différents choix de dynamismes des objets graphiques ; INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 11

11 LES SYSTÈMES INDUSTRIELS Chapitre 1 la gestion de la base de données en temps réel, parfois propriétaire ; en leur attribuant des propriétés, il est possible de défi nir des variables typées internes ou en liaison avec le système de contrôle commande ; des traitements internes initiés par des déclencheurs multiples (temporels, changement d état, équation combinatoire, ouverture d une fenêtre ) ; ils permettent d appliquer des premiers niveaux de traitement informatique plus ou moins évolués ; une gestion de la sécurité pour un contrôle des accès applicatifs est généralement proposée ; certains superviseurs intègrent également les possibilités de s interfacer avec une base de données relationnelle. Domaines d utilisation des systèmes industriels Les systèmes industriels sont conçus pour soutenir les processus industriels et surveiller et contrôler, en temps réel, un large éventail de processus et d opérations, tels que la distribution de gaz et électricité (classique et nucléaire), le traitement de l eau, le raffi nage de pétrole ou le transport ferroviaire. 2 (2) Défi nition ENISA. Ces systèmes industriels sont utilisés également dans la distribution, la chimie et dans certaines installations expérimentales tels que la fusion nucléaire, le transport des produits chimiques, la recherche et les études scientifi ques et industrielles, les accès aux bâtiments, le contrôle du chauffage et la ventilation des ascenseurs ou du refroidissement des data centers. Parmi les exploitants des systèmes industriels, il y a les Opérateurs à Importance Vitale (OIV). Ces derniers sont défi nis en France par le Code de la Défense dans ses articles R et R comme étant «les opérateurs publics ou privés, exploitant des établissements ou utilisant des installations et ouvrages, dont l indisponibilité risquerait de diminuer d une façon importante le potentiel de guerre ou économique, la sécurité ou la survie de la nation ou de mettre gravement en cause la santé ou la vie de la population». Ces OIV constituent une liste de 200 opérateurs dont 100 sont des entreprises privées. Les infrastructures vitales du pays sont concernées par de nouveaux risques : les cyber-risques. Ces derniers menacent le fonctionnement dont dépendent les infrastructures vitales du pays. En effet, la mise en œuvre systématique du principe de sécurité «de base» des systèmes d information, tels que la surveillance du système, la notifi cation des incidents ou la réalisation régulière d audits ne sont pas systématiquement mis en œuvre. De ce fait, et au regard de la cybermenace grandissante, les instances nationales et européennes ont décidé de renforcer le régime qui leur est applicable. 12 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

12 Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Un autre élément qui n est pas négligeable est qu historiquement, les systèmes industriels étaient dévoués à la protection de la sûreté de fonctionnement (SDF), en utilisant une analyse statistique et des techniques de redondance, ce qui permettait de faire le traitement du risque de défaillance des équipements. Toutefois la SDF ne couvre pas les risques et menaces des cyber-attaques qui évoluent très rapidement. Les standards de sûreté de fonctionnement des systèmes industriels doivent alors s adapter pour prendre en compte la cybersécurité et éviter que l intégrité des Systèmes Instrumentés de Sécurité (SIS) assurant la sécurité des personnes puisse être remise en cause par une attaque informatique. (3) «Global State of Information Security Survey 2013, Tendances et enjeux de la sécurité de l information» Etude Price WaterhouseCooper, 30 janvier La cybercriminalité désigne les infractions pénales commises par le biais de réseaux informatiques et de l information électronique. Elle concerne aussi bien les atteintes aux biens (escroquerie, contrefaçon, vol des données, etc.) que les atteintes aux personnes (terrorisme, incitation à la haine raciale, pédopornographie, etc.) ; elle se situe à la quatrième place des fraudes les plus rencontrées par les entreprises. Le budget cyber-sécurité représente un budget annuel de 60 milliards de dollars. Ce montant devrait augmenter de 10% dans les trois à cinq années à venir. 3 Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Depuis que l affaire Stuxnet a dévoilé au grand public les failles des systèmes industriels, les risques et menaces pour ces derniers deviennent une préoccupation majeure pour les exploitants, ainsi que pour les États et les particuliers. Si l appréhension d une sécurité se fait essentiellement au travers de bonnes pratiques, il convient aussi de recenser les vulnérabilités auxquelles l entreprise doit faire face. Profi l des attaquants et les objectifs de l attaque Les auteurs ou les cyber-attaquants ont des profi ls divers, notamment le hacker isolé, le salarié mécontent, les réseaux organisés, les cellules de renseignement. Ils ont une multitude des motivations, tels que le défi informatique, le vol de données à des fi ns lucratives, le hackeractivisme, l espionnage à des fi ns économiques ou industrielles, etc.) (cf. fi gures 1 et 2). INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 13

13 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2 Figure Typologie des attaquants attaquant 14 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

14 Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Les cyber-attaques peuvent provenir de : l intérieur de l entreprise exploitant le système industriel (menaces internes du fait de comportements inadaptés des personnels à l usage des nouvelles technologies ou d une malveillance et du fait d un défaut de gouvernance augmenté, par exemple, par l admission et gestion du BYOD et des connexions WI-FI). l extérieur de l entreprise : hacktivisme, APT. Typologie des risques La typologie de ces risques est résumée dans le tableau ci-dessous. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 15

15 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2 Typologie des menaces Les menaces sur les systèmes industriels proviennent aussi bien de phénomènes naturels, d actes malveillants et d accidents, que de procédures irrégulières ou de défaillances techniques. Historiquement, ces menaces ne concernaient que les éléments internes au système industriel en question, notamment les membres du personnel, l organisation des exploitants d installations ou du personnel support technique. D autres exemples de menace sur les systèmes industriels sont : des vers autonomes qui cherchent au hasard des chemins de propagation ; (DDoS) virus (dont les chevaux de Troie) ; le terrorisme ; les perturbations des services publics ; le bruit sur les lignes électriques ; les interférences électromagnétiques (EMI) et de fréquences radio (RFT) ; la fermeture de l usine pour l entretien et démarrage après l entretien (de nombreux événements néfastes se produisent pendant l arrêt et le démarrage) ; la mauvaise application de correctifs logiciels ; l interdépendance avec les autres réseaux et les éléments de support technique. Moyen d accès d une attaque au système industriel Aujourd hui tous les systèmes industriels sont connectés à Internet, aux différents réseaux d entreprise, aux réseaux publics commutés de téléphone, aux satellites et aux systèmes de communication sans fi l (Wifi, WiMax). Ainsi, les moyens d accès au réseau de contrôle du système industriel les plus communs sont : les connexions Internet, les réseaux métiers ou réseau d entreprise, les connexions à d autres réseaux qui contiennent des vulnérabilités, les réseaux privés virtuels compromis (VPN), les connexions par Backdoor à travers les modems d accès à distance, les connexions sans fi l non sécurisés découverts par les utilisateurs de portables, les ports informatiques ouverts, tels que les ports UDP ou TCP qui ne sont pas protégés ou ouverts inutilement, l authentifi cation faible dans les protocoles et les composants des systèmes industriels, l hameçonnage de maintenance (maintenance hooks) ou de portes dérobées (trap doors), qui sont des moyens de contourner les contrôles de sécurité au cours du développement du système industriel, les attaques par débordement de tampon sur les serveurs de contrôle du système industriel, accessibles par les automates et les interfaces homme-machine. 16 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

16 Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Après avoir eu accès au système industriel, l attaquant cherche à tout prix à obtenir un certain niveau de contrôle de ses composants, en fonction des protections associées à chaque composant, à la visibilité de l attaquant et aux capacités et intentions de ce dernier. La réalisation d une ou plusieurs cyber-menaces au sein d un système industriel peut donc avoir des conséquences telles que la divulgation des données sensibles, des dommages matériels aux biens et aux personnes, des risques de santé publique et l atteinte à l image et à la réputation. C est pour cette raison que les problématiques juridiques de la cyber-sécurité des systèmes industriels doivent être prises très au sérieux. Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Dans l objectif de faire un état des problématiques juridiques liées aux systèmes industriels et à leur cyber-sécurité, il est nécessaire d envisager les dispositifs juridiques qui n ont pas pour l instant fait l objet d une formalisation dans le droit positif et les normes existantes («le droit des robots» et «Security by design»). Puis, les interactions des systèmes industriels avec les objets connectés et également la problématique récente en droit français liée à la cyber-assurance de ces systèmes industriels. Enfi n, une présentation de l état du droit positif aussi bien français, qu européen et américain est nécessaire afi n de comprendre la multitude des textes applicables et dont la mise en œuvre par les exploitants afi n d être en conformité avec celles-ci peut s avérer diffi cile, d où l importance du rôle des directions juridiques au sein des entités exploitant ces systèmes industriels. «Le droit des robots» (4) Défi nition de l ALTIF (Analyse et traitement informatique de la langue française). Un robot peut être défi ni comme «un appareil effectuant, grâce à un système de commande automatique à base de micro-processeur, une tache précise pour laquelle il a été conçu dans le domaine industriel, scientifi que ou domestique» 4. À la différence de l automate, le robot est doté de capteurs dont les actions sont décidées par l intermédiaire de son programme, en fonction de l environnement. Les dernières générations des systèmes industriels peuvent être considérées comme des robots ; à ce titre, il est légitime de s interroger sur le régime juridique applicable. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 17

17 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3 Les dispositions juridiques existantes applicables aux fabriquants et/ou fournisseurs des systèmes industriels concernent d une part le droit des contrats, à savoir l article 1603 du Code civil. Le fabriquant et/ou fournisseur du système industriel est fait débiteur des obligations suivantes : mise à disposition du système ; délivrance conforme ; garantie de jouissance paisible ; absence de défaut de la chose vendue. La prise en compte des différents dispositifs de cyber-sécurité des systèmes industriels sont donc compris aussi bien dans l obligation de «délivrance conforme» du système (conformité par rapport aux diverses normes et référentiels applicables et aux attentes exprimées dans son cahier des charges) que dans les obligations de garantie de jouissance paisible (un système industriel avec des failles de sécurité inhérentes à celui-ci ne permet pas à son exploitant de disposer paisiblement de ce système) et dans l obligation d absence de défauts de la chose vendue. De même, le régime de la responsabilité lié aux produits défectueux (article et suivants du Code civil) peut être invoqué afi n d engager la responsabilité délictuelle du fabriquant et/ou fournisseur. Il peut également s appliquer à l exploitant du système industriel en cas d un défaut de sécurité (informatique) du système qui serait à l origine d un dommage aux personnes. Les dispositions de la Directive 2006/42/CE du 17 mai 2006 (entrée en application le 29 décembre 2009) relative aux machines, imposent des exigences de sécurité. Des réfl exions sont actuellement en cours au sein des communautés des juristes 5 sur le fait d accorder, ou non, une personnalité juridique (avec des droits et des obligations afférentes) à ces robots qui peuvent, dans leur fonctionnement (programmés et contrôlés par un humain), prendre des initiatives. Toutefois, cette piste de réfl exion est confrontée au fait que la jurisprudence refuse de reconnaître la responsabilité de la machine en raison du défaut de capacité de discernement. Ainsi est tenu pour responsable l exploitant qui a le contrôle du système industriel, gardien de ce dernier, en tant que personne physique ou morale. Charge à lui, dans un tel cas, d apporter les preuves qui écartent sa responsabilité. (5) Tel est le cas de Maître Alain Bensoussan cf. l article «Vers un droit des robots» du 21 avril 2014 et Maître Murielle Cahen. «Security by design» Il apparaît aujourd hui impératif de prendre en charge la sécurité des systèmes industriels dès le stade de leur conception, c est-à-dire dès la rédaction du cahier des charges et de l expression des besoins par l utilisateur fi nal. Ainsi l exploitant commanditaire du système industriel en question se doit d imposer ses choix, d exiger l utilisation des produits certifi és et de prévoir des clauses «d audit de fournisseurs». 18 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

18 Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Cette préoccupation doit être également au cœur des négociations des accords de connexion à internet, des contrats de travail des salariés des Industries et également lors de la rédaction des Chartes d Accès à ce Systèmes industriels connectés à Internet. Les entreprises administrant des systèmes industriels ne doivent nullement négliger les avancées des technologies de l information et de la communication. Elles doivent intégrer dans leurs analyses des risques les risques et menaces «involontaires» issues de l utilisation des dispositifs mobiles, souvent mis à disposition de l entreprise par le salarié lui-même. Ainsi la mise en place et/ou la mise à jour d une charte régissant l usage des technologies de l information et de la communication par les salariés et par les prestataires externes est impérative et en tout cas fortement conseillée. Les rédactions et négociations des contrats portant sur l acquisition de ces systèmes industriels connectés à Internet, impliquent d être vigilant quant au contenu des articles de confi dentialité, sécurité et évolutivité du système, obligations du fournisseur de conformité réglementaire, audit, responsabilité et mise en place d un niveau d engagements de service (SLA) conforme aux besoins exprimés dans le cahier des charges. De même, compte tenu de la vitesse à laquelle évoluent et changent les cyber-menaces, il est judicieux de ne pas négocier un contrat statique et de prévoir la possibilité pour l exploitant du service, en accord avec le fournisseur, de faire évoluer les dispositions contractuelles et d adapter ou pallier aux conséquences de ces évolutions. Les Systèmes industriels et les objets connectés Avec la disponibilité commerciale du cloud computing, les systèmes industriels ont de plus en plus adopté les technologies de l Internet des objets. Cette démarche réduit considérablement les coûts d infrastructure et augmente la facilité d entretien et d intégration. En conséquence, les systèmes industriels peuvent désormais transmettre des données en temps quasi réel et utiliser les facteurs d échelle autorisés par le cloud computing. Ainsi, des algorithmes de contrôle plus complexes que ce qui pouvait être fait avec les automates programmables industriels peuvent être mis en œuvre. En outre, l utilisation de protocoles de réseaux ouverts, tels que TLS inhérents à l Internet des objets, offre un périmètre de sécurité plus compréhensible et gérable que le mélange hétérogène de protocoles réseau propriétaires typiques de nombreuses implémentations des Systèmes industriels décentralisées précédentes. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 19

19 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3 La cyber-assurance des systèmes industriels Sur les 12 risques majeurs menaçant les entreprises, le cyber-risque occupe la troisième position. La cyber menace évoluant, des solutions d assurances tendent à se développer. La France est cependant en retard sur ce point. Il est nécessaire pour l entreprise candidate à l assurance, afi n d obtenir un «scoring», d associer un expert technique à l assureur. Il réalisera un état de la maturité organisationnelle de l entreprise versus l analyse et le contrôle opérationnel des cyber-risques. L assureur devra donc faire la transformation de l analyse en probabilité de l apparition du cyber-risque et déterminer l impact sur le patrimoine du client : matériel, production, immatériel. Aux États-Unis et au Royaume-Uni, plus de 30 % des entreprises ont déjà souscrit à une police de cyber-risques. Après les récentes attaques chez Sony ou Target, selon Ponemon, le coût moyen d une donnée volée est de 145 UD. L atteinte à l image est incluse dans cette évaluation. Les offres actuelles dans le marché français proposent des garanties couvrant tous les aspects des cyber-risques à savoir la responsabilité civile, les mesures palliatives, la gestion de la crise, la communication, les dommages intérêts dus aux clients et la perte d exploitation entre autres. En revanche, le terrorisme est systématiquement exclut. Le dispositif juridique français et européen Le cadre juridique français de la cyber-sécurité La France dispose d un arsenal législatif et réglementaire complet pour réprimer les cyber-attaques et bien évidement ces dispositions sont applicables aux attaques des systèmes industriels. Le tableau récapitulatif ci-dessous montre un aperçu de ces dispositions, jusqu en De même que pour les systèmes d information «informatiques», il est impératif de réaliser un recensement des données sensibles de ces infrastructures contrôlées par un système de commande et contrôle, et tout particulièrement des données personnelles. En effet, le projet de règlement européen sur les données personnelles, actuellement en discussion, aura vocation à s appliquer également à ces systèmes industriels. L industriel «exploitant» en tant que «Responsable du Traitement» au sens de la Loi I&L est responsable en cas de respect des dispositions applicables. Ainsi les exploitants devront revoir leur façon de traiter leurs priorités de protection de la confi dentialité et de l intégrité des données, tout en gardant au premier niveau de priorité la disponibilité du système. (6) Tableau issu de l article des Mesdames Anne Souvira et Miriam Quéméner «Cybersécurité et entreprises : se protéger juridiquement et se former». Sécurité & Stratégie n 11 Décembre INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet

20 Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Les dispositions européennes et françaises concernant la cyber-sécurité des OIV La lutte contre la cybercriminalité étant une priorité européenne, la Commission européenne a adopté le 07 février 2013 une proposition de directive «visant à assurer un niveau élevé de sécurité des réseaux et de l information de l union». Cette proposition de directive a été modifi ée et adoptée par le Parlement européen le 13 mars 2014 et devrait être défi nitivement adoptée fi n Les principaux objectifs de la proposition de directive sont de (i) fi xer les obligations des États membres concernant la prévention et la gestion des risques et incidents aux réseaux et systèmes informatiques, (ii) à faciliter la coopération entre les États membres pour garantir l harmonisation des règles de cyber-sécurité au sein de l Union européenne et (iii) établir des exigences en matière de sécurité pour les acteurs du marché, notamment les «opérateurs d infrastructure essentielle». En effet, en raison de la disparité des niveaux de protection des États membres en matière de cyber-sécurité, il s avère impossible d avoir une coopération et une collaboration effective au sein de l Union européenne et la construction d une cyber-protection européenne s avère une chimère. Parallèlement à l initiative européenne, la France a voté la Loi de Programmation Militaire, le 18 décembre Elle fi xe de nouvelles règles qui complètent le dispositif présenté ci-dessus. Toutefois, les textes réglementaires précisant la mise en œuvre de la LMP et le calendrier prévisionnel associé se font toujours attendre. Ainsi les éléments suivants restent encore en attente : les décrets d application ; la déclinaison par typologie d industrie ; la procédure de certifi cation/labellisation de logiciels et matériels de sécurité compatibles pour les infrastructures critiques ; la procédure de certifi cation/labellisation de prestataires habilités à auditer les OIV ; défi nition d un incident de sécurité afi n de répondre à la section 2 de l article 22 qui impose la déclaration des incidents ; détails des calendriers d audit et de ce qui sera exigible en 2014/2015/ et au-delà, au regard de la loi. Le comparatif entre les dispositions américaines, européennes et françaises applicables aux systèmes industriels en matière de cyber-sécurité Les opérateurs exploitant des systèmes industriels peuvent, dans certains cas, être soumis aussi bien aux dispositions françaises et européennes qu aux dispositions américaines concernant la cyber-sécurité. De ce fait, les acteurs soumis à ces régimes devront rester particulièrement attentifs car la conformité à l un de ces régimes ne signifi e pas une conformité automatique à l autre régime ; de même, ces régimes, aux approches différentes, continueront à évoluer dans les mois et années à venir. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 21

Club des Experts de la Sécurité de l Information et du Numérique

Club des Experts de la Sécurité de l Information et du Numérique Club des Experts de la Sécurité de l Information et du Numérique Cybersécurité dans les entreprises 9 ème Entretiens de Télécom ParisTech Alain Bouillé Président du CESIN Sommaire 1. Quel terrain de jeu

Plus en détail

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I

REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I REFERENTIEL PROFESSIONNEL DU TITRE D EXPERT EN PROTECTION DES ENTREPRISES ET EN INTELLIGENCE ECONOMIQUE NIVEAU I I - Métiers, fonctions et activités visés A. Désignation du métier et des fonctions Expert

Plus en détail

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sûreté de fonctionnement Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sommaire Evolution des réseaux industriels et conséquences Modèle de prévention selon

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Les cyber risques sont-ils assurables?

Les cyber risques sont-ils assurables? Les cyber risques sont-ils assurables? Cyril Nalpas Master Management du Risque Institut Léonard de Vinci cyril.nalpas@gmail.com Les cyber risques sont-ils assurables? Quelles sont les questions que peuvent/doivent

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015

ISO 14001: 2015. Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 ISO 14001: 2015 Livre blanc des révisions à la norme ISO sur les systèmes de gestion environnementale JUILLET 2015 4115, Rue Sherbrooke Est, Suite 310, Westmount QC H3Z 1K9 T 514.481.3401 / F 514.481.4679

Plus en détail

Changement dans les achats de solutions informatiques

Changement dans les achats de solutions informatiques Changement dans les achats de solutions informatiques Ce que cela signifie pour l informatique et les Directions Métiers Mai 2014 Le nouvel acheteur de technologies et la nouvelle mentalité d achat Un

Plus en détail

Gouvernance et qualité des données sous Solvabilité II Grégoire VUARLOT

Gouvernance et qualité des données sous Solvabilité II Grégoire VUARLOT Gouvernance et qualité des données sous Solvabilité II Grégoire VUARLOT Directeur adjoint, Contrôles spécialisés et transversaux en assurance Autorité de contrôle prudentiel et de résolution 01/04/2015

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde Direction Communication 63 rue de Villiers, 92200 Neuilly-sur-Seine Tél. 01 56 57 58 59 Communiqué de presse Contact : PwC, Hélène Coulbault, 01 56 57 88 26, helene.coulbault@fr.pwc.com Neuilly-sur-Seine,

Plus en détail

La biométrie au cœur des solutions globales

La biométrie au cœur des solutions globales www.thalesgroup.com GESTION D IDENTITÉ SÉCURISÉE La biométrie au cœur des solutions globales Risques et solutions Explosion de la mobilité des personnes et des échanges de données, croissance des flux

Plus en détail

Le contrat Cloud : plus simple et plus dangereux

Le contrat Cloud : plus simple et plus dangereux 11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin

Plus en détail

Sont présentés ci-dessous les principaux risques et facteurs de risques auxquels le Groupe est confronté. L analyse et le

Sont présentés ci-dessous les principaux risques et facteurs de risques auxquels le Groupe est confronté. L analyse et le Sont présentés ci-dessous les principaux risques et facteurs de risques auxquels le Groupe est confronté. L analyse et le management des risques constituent un enjeu majeur pour la pérennité du Groupe

Plus en détail

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ?

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? L a montée en puissance des fuites de données en tout genre et l explosion des volumes de données

Plus en détail

SERVICES GÉRÉS DE SÉCURITÉ (MSS)

SERVICES GÉRÉS DE SÉCURITÉ (MSS) SERVICES GÉRÉS DE SÉCURITÉ (MSS) L INITIATIVE EN CYBERSÉCURITÉ La cybercriminalité devient un facteur important pour les chefs de l information, les professionnels en TI, mais aussi pour les chefs des

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Réguler le virtuel : Expérience des jeux en ligne

Réguler le virtuel : Expérience des jeux en ligne Réguler le virtuel : Expérience des jeux en ligne Stéphane Vaugelade Les propos de cette présentation n engagent que leur auteur Forum 2011 1 Sommaire Rappel historique Exigences du régulateur Cahier des

Plus en détail

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014 Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

efficacité énergétique des grandes entreprises : audit et certification

efficacité énergétique des grandes entreprises : audit et certification efficacité énergétique des grandes entreprises : audit et certification ISO 50001 Le cadre réglementaire évolue incitant aujourd hui les Grandes Entreprises à s engager vers une meilleure efficience énergétique.

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013 Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes 03 Décembre 2013 2 HIDD Harmonisation des Infrastructures Système Informatique Industrielle et de Gestion Etude

Plus en détail

Définition. Caractéristiques. - Du partage des ressources : espace de stockage, imprimantes, lignes de communication.

Définition. Caractéristiques. - Du partage des ressources : espace de stockage, imprimantes, lignes de communication. CONNECTER LES SYSTEMES ENTRE EUX L informatique, au cœur des tâches courantes, a permis de nombreuses avancées technologiques. Aujourd hui, la problématique est de parvenir à connecter les systèmes d information

Plus en détail

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Integrated Security Engineering (ISE) La sécurité au cœur de vos projets et systèmes

Plus en détail

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI

Formations NBS SYSTEM, Copyright 2010 1/9. Plan de Formation RSSI Formations NBS SYSTEM, Copyright 2010 1/9 Plan de Formation RSSI 2010 2011 Formations NBS SYSTEM, Copyright 2010 2/9 Formations Les formations sont constituées de différents modules managériaux et techniques

Plus en détail

Table Ronde Cybersécurité

Table Ronde Cybersécurité 03 décembre 2013 Table Ronde Cybersécurité Comment les fournisseurs d automatismes prennent en compte les besoins de cybersécurité? Participants: Phoenix Contact T.Vajsman Rockwell Automation J.Poncharal

Plus en détail

LES SOLUTIONS MES HUMAINES METTENT EN AVANT LES INDIVIDUS

LES SOLUTIONS MES HUMAINES METTENT EN AVANT LES INDIVIDUS LIVRE BLANC LES SOLUTIONS MES HUMAINES METTENT EN AVANT LES INDIVIDUS Une collaboration entre homme et machine LIVRE BLANC LES SOLUTIONS MES HUMAINES METTENT EN AVANT LES INDIVIDUS 2 A PROPOS Les hommes

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Fonctionnalités d un logiciel de GMAO

Fonctionnalités d un logiciel de GMAO I.1. Introduction : Le caractère stratégique de la panne, préoccupe de plus en plus les responsables de la production ayant à faire face aux équipements complexes qui ne cessent de prendre de l ampleur

Plus en détail

Contenu de la Présentation

Contenu de la Présentation Contenu de la Présentation I. Introduction II. L Augmentation des menaces et une vulnérabilité plus forte III. Le marché de la SSI : les enjeux financiers et économiques IV. Répondre aux enjeux économiques

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

FAIRE APPEL À UN EXPERT

FAIRE APPEL À UN EXPERT FAIRE APPEL À UN EXPERT Décembre 2011 Afin d être en mesure d exercer ses missions, le comité d entreprise dispose de nombreux moyens d information, notamment par les documents que doit lui communiquer

Plus en détail

Présentation de la solution SAP SAP Technology SAP Afaria. La mobilité d entreprise comme vecteur d avantage concurrentiel

Présentation de la solution SAP SAP Technology SAP Afaria. La mobilité d entreprise comme vecteur d avantage concurrentiel Présentation de la solution SAP SAP Technology SAP Afaria La mobilité d entreprise comme vecteur d avantage concurrentiel des périphériques et des applications des périphériques et des applications La

Plus en détail

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................

Plus en détail

Sécurité et Confiance dans les Réseaux et Systèmes d Information

Sécurité et Confiance dans les Réseaux et Systèmes d Information Agence Nationale de Réglementation des Télécommunications Sécurité et Confiance dans les Réseaux et Systèmes d Information - Cadre institutionnel et réglementaire - Présenté par : Laila ZOUAK Entité Prospective

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Conditions générales d affaires (CGA) Portail clients SanitasNet

Conditions générales d affaires (CGA) Portail clients SanitasNet Conditions générales d affaires (CGA) Portail clients SanitasNet 1 Table des matières Contenu 1. Préambule 3 2. Autorisation d accès 3 3. Accès technique à SanitasNet et identification 3 4. Coûts 4 5.

Plus en détail

UE 5 Management des systèmes d informations. Le programme

UE 5 Management des systèmes d informations. Le programme UE 5 Management des systèmes d informations Le programme Légende : Modifications de l arrêté du 8 mars 2010 Suppressions de l arrêté du 8 mars 2010 Partie inchangée par rapport au programme antérieur 1.

Plus en détail

SERVICES RELATIFS A L EXPLOITATION DE RESEAUX DE TELECOMMUNICATIONS (Terrestres et satellitaires)

SERVICES RELATIFS A L EXPLOITATION DE RESEAUX DE TELECOMMUNICATIONS (Terrestres et satellitaires) PROBLEMATIQUE - L APPROCHE JADE Telecom L exploitation de réseaux de télécommunications implique pour les entreprises la prise en compte de différents points importants : La mise en place de personnel

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques Intégration de la cybersécurité aux systèmes de conduite industriels Méthodes et pratiques Les Infrastructures critiques utilisant des Systèmes de Contrôle Industriels Industrie nucléaire Industrie pétrolière,

Plus en détail

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S)

Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) RÉFÉRENTIELS Politique Générale de la Sécurité des Systèmes d Information de Santé (PGSSI-S) Comité Technique GCS Santé Alsace 21 mars 2014 Anne Bertaud Vladimir Vilter PGSSI-S Sommaire Les enjeux de la

Plus en détail

Sécurisation d un site nucléaire

Sécurisation d un site nucléaire Sécurisation d un site nucléaire Club automation 03 décembre 2013 Application du concept de défense en profondeur Laurent RAILLIER Un site nucléaire existant Base installée Schneider Electric importante

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

UE 8 Systèmes d information de gestion Le programme

UE 8 Systèmes d information de gestion Le programme UE 8 Systèmes d information de gestion Le programme Légende : Modifications de l arrêté du 8 mars 2010 Suppressions de l arrêté du 8 mars 2010 Partie inchangée par rapport au programme antérieur Indications

Plus en détail

Guide EA pour l Application de la norme ISO/CEI 17021:2006 concernant les audits combinés

Guide EA pour l Application de la norme ISO/CEI 17021:2006 concernant les audits combinés EA-7/05 Guide EA pour l application de la norme ISO/CEI 17021:2006 pour les audits combinés Référence de la publication Guide EA pour l Application de la norme ISO/CEI 17021:2006 concernant les audits

Plus en détail

Profil d études détaillé. Section : Informatique et systèmes Finalité : Technologie de l informatique

Profil d études détaillé. Section : Informatique et systèmes Finalité : Technologie de l informatique Section : Informatique et systèmes Finalité : Technologie de l informatique Page 1/6 1. Introduction L enseignement de la Haute Ecole Louvain en Hainaut donne la place centrale à l étudiant. Celui-ci trouvera

Plus en détail

Solutions de gestion de la sécurité Livre blanc

Solutions de gestion de la sécurité Livre blanc Solutions de gestion de la sécurité Livre blanc L intégration de la gestion des identités et des accès avec l authentification unique Objectif : Renforcer la politique de sécurité et améliorer la productivité

Plus en détail

Vu la Loi n 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Vu la Loi n 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ; DELIBERATION N 2012-118 DU 16 JUILLET 2012 DE LA COMMISSION DE CONTROLE DES INFORMATIONS NOMINATIVES PORTANT RECOMMANDATION SUR LES DISPOSITIFS D ENREGISTREMENT DES CONVERSATIONS TELEPHONIQUES MIS EN ŒUVRE

Plus en détail

Les partenariats associations & entreprises

Les partenariats associations & entreprises Les partenariats associations & entreprises Initier ou renforcer une politique de partenariats avec les entreprises Novembre 2011 Référentiel réalisé en partenariat avec et Edito Avec leurs 1,9 millions

Plus en détail

GERER SA MAINTENANCE INFORMATIQUE

GERER SA MAINTENANCE INFORMATIQUE L AFNOR définit la maintenance comme l «ensemble des actions permettant de maintenir et de rétablir un bien dans un état spécifié ou en mesure d assurer un service déterminé.» De nos jours, les systèmes

Plus en détail

Sécurité numérique 2013-2014. Cycle de spécialisation. Dossier de candidature. Institut National des Hautes Études de LA Sécurité et de la justice

Sécurité numérique 2013-2014. Cycle de spécialisation. Dossier de candidature. Institut National des Hautes Études de LA Sécurité et de la justice Dossier de candidature Cycle de spécialisation Sécurité numérique 2013-2014 Institut National des Hautes Études de LA Sécurité et de la justice L information est désormais au cœur des actifs immatériels

Plus en détail

STRATÉGIE DE SURVEILLANCE

STRATÉGIE DE SURVEILLANCE STRATÉGIE DE SURVEILLANCE Décembre 2013 SOMMAIRE OBJET page 3 OBJECTIFS DE LA SURVEILLANCE page 3 PRINCIPES D ÉLABORATION DU PROGRAMME page 4 PROGRAMME 2014 page 5 RESSOURCES page 6 PERSPECTIVES 2015/2016

Plus en détail

Institut National des Hautes Études de LA Sécurité et de la justice

Institut National des Hautes Études de LA Sécurité et de la justice 2012 2013 Dossier de candidature Cycle de spécialisation Institut National des Hautes Études de LA Sécurité et de la justice L information est désormais au cœur des actifs immatériels de l entreprise et

Plus en détail

SYSTEMES DE MANAGEMENT ENVIRONNEMENTAL ISO14001

SYSTEMES DE MANAGEMENT ENVIRONNEMENTAL ISO14001 Quand le dernier arbre aura été abattu, Quand la dernière rivière aura été empoisonnée, Quand le dernier poisson aura été péché, Alors on saura que l argent ne se mange pas. Géronimo, chef apache SYSTEMES

Plus en détail

Risques d accès non autorisés : les atouts d une solution IAM

Risques d accès non autorisés : les atouts d une solution IAM Risques d accès non autorisés : les atouts d une solution IAM Comment l'entreprise peut-elle réduire ses risques informatiques liés aux droits d accès des utilisateurs Livre Blanc Introduction Tous les

Plus en détail

INTRANET - SECURITE. 2. La Sécurité

INTRANET - SECURITE. 2. La Sécurité INTRANET - SECURITE 1. Intranet et Extranet 2. La Sécurité INTRANET Un intranet est un ensemble de services internet (par exemple un serveur e web) internes nes à un réseau local, c'est-à-dire accessibles

Plus en détail

Dream Report. Dream Report vs Reporting Services

Dream Report. Dream Report vs Reporting Services Dream Report Dream Report vs Reporting Services Date : Mars 2015 A propos de Dream Report Dream Report est le 1 er logiciel d édition de rapport prêt à l emploi offrant aux utilisateurs la possibilité

Plus en détail

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher

Titre de la présentation. Le management par le risque informatique. 24 mai 2011 Jean-Louis Bleicher Titre de la présentation Le management par le risque informatique 24 mai 2011 Jean-Louis Bleicher Quelques données Le chiffre d affaires annuel de la cybercriminalité serait environ deux fois supérieur

Plus en détail

La gestion environnementale : levier de performance pour l'entreprise. Table des matières

La gestion environnementale : levier de performance pour l'entreprise. Table des matières La gestion environnementale : levier de performance pour l'entreprise Table des matières Préface Avant-propos PREMIERE PARTIE Le diagnostic des risques environnementaux Introduction _ Les risques industriels,

Plus en détail

LES ECHANGES DE DONNEES INFORMATISEES

LES ECHANGES DE DONNEES INFORMATISEES L EDI (Échange de Données Informatisées) est un processus d échange d informations, sous forme électronique, entre deux systèmes informatiques distincts. Cette technique utilisée au moins depuis deux décennies

Plus en détail

-------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------- En bref : En moyenne, un tiers environ des salariés voyagent régulièrement dans le cadre de leur travail. Seule une entreprise sur trois, cependant, prépare ces déplacements professionnels au moyen de

Plus en détail

Entreprises de télécommunication

Entreprises de télécommunication Entreprises de Les s sont au cœur de la stratégie de développement commercial et de productivité interne d une entreprise. Sans, impossible se faire connaitre, de vendre, de travailler Soumis à une pression

Plus en détail

Symantec CyberV Assessment Service

Symantec CyberV Assessment Service Symantec CyberV Assessment Service Cyber-résilience : gagnez en visibilité Le cyber-espace, monde technologique hyperconnecté constamment en évolution, offre des opportunités inégalées de connectivité,

Plus en détail

La gestion des risques en entreprise de nouvelles dimensions

La gestion des risques en entreprise de nouvelles dimensions La gestion des risques en entreprise de nouvelles dimensions Octobre 2006 La pratique de la gestion des risques en entreprise devient plus cruciale et plus complexe de jour en jour. Les entreprises doivent

Plus en détail

Base de Données Economiques & Sociales (dite UNIQUE) des entreprises

Base de Données Economiques & Sociales (dite UNIQUE) des entreprises Base de Données Economiques & Sociales (dite UNIQUE) des entreprises SOLUTION DÉDIÉE, HAUTEMENT SÉCURISÉE ET FORTEMENT PERSONNALISABLE À MOINDRE COÛT AVEC OFFRE DE DÉVELOPPEMENTS SPÉCIFIQUES A PRIX FORFAITAIRES.

Plus en détail

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie "étude de cas architecture et systèmes"

Concours interne d ingénieur des systèmes d information et de communication. «Session 2010» Meilleure copie étude de cas architecture et systèmes Concours interne d ingénieur des systèmes d information et de communication «Session 2010» Meilleure copie "étude de cas architecture et systèmes" Note obtenue : 14,75/20 HEBERGE-TOUT Le 25 mars 2010 A

Plus en détail

Charte d utilisation déontologique de la vidéoprotection. Ville d ANGOULÊME

Charte d utilisation déontologique de la vidéoprotection. Ville d ANGOULÊME Charte d utilisation déontologique de la vidéoprotection Ville d ANGOULÊME Souhaitant améliorer la sûreté des personnes et la sécurité des biens, afin de lutter contre les actes de malveillance, la ville

Plus en détail

L Internet of Everything Les 10 points clés de l étude sur le potentiel de l IoE dans le secteur public

L Internet of Everything Les 10 points clés de l étude sur le potentiel de l IoE dans le secteur public L Internet of Everything Les 10 points clés de l étude sur le potentiel de l IoE dans le secteur public Joseph Bradley Christopher Reberger Amitabh Dixit Vishal Gupta L Internet of Everything (IoE) permet

Plus en détail

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation Livre blanc Le pragmatisme de votre système d information Rédacteur : Marc LORSCHEIDER / Expert ITIL Mise à jour : 05/06/2013 ITIL, une approche qualité pour la gestion des services(*) informatiques Pourquoi

Plus en détail

Alcatel-Lucent VitalQIP Appliance Manager

Alcatel-Lucent VitalQIP Appliance Manager Alcatel-Lucent Appliance Manager Solution complète de gestion des adresses IP et de bout en bout basée sur des appliances Rationalisez vos processus de gestion et réduisez vos coûts d administration avec

Plus en détail

Mutualisation des moyens héliportés sur la région Bourgogne. Etude initiale 06.06.2013 V1.2

Mutualisation des moyens héliportés sur la région Bourgogne. Etude initiale 06.06.2013 V1.2 sur la région Bourgogne Etude initiale 06.06.2013 V1.2 Contenu 1. Contexte...3 1.1. Objectifs...3 1.2. Descriptif de l existant...3 2. Etude des solutions...3 2.1. Solution n 1 : uniformisation du système

Plus en détail

CHARTE WIFI ET INTERNET

CHARTE WIFI ET INTERNET PAVILLON BLANC MÈDIATHÉQUE CENTRE D ART DE COLOMIERS CHARTE WIFI ET INTERNET MISSION : Le Pavillon Blanc Médiathèque Centre d Art de Colomiers a pour mission de permettre à tous ses visiteurs d accéder

Plus en détail

Charte de Compliance ERGO Insurance sa

Charte de Compliance ERGO Insurance sa Charte de Compliance ERGO Insurance sa Introduction Sur la base de la circulaire PPB/D. 255 du 10 mars 2005 sur la compliance adressée aux entreprises d assurances, une obligation légale a été imposée

Plus en détail

«Sécurité des usages numériques»

«Sécurité des usages numériques» Cycle de spécialisation «Sécurité des usages numériques» 2014 2015 Dossier de candidature L information est désormais au cœur des actifs immatériels de l entreprise et constitue un élément clé de sa performance.

Plus en détail

SCHEMA DE CONNEXION. 49/51 rue Samatan 13 007Marseille Tel : 04 91 46 25 88 Fax : 04 91 46 49 15 Mail : support@nauticom.fr

SCHEMA DE CONNEXION. 49/51 rue Samatan 13 007Marseille Tel : 04 91 46 25 88 Fax : 04 91 46 49 15 Mail : support@nauticom.fr SCHEMA DE CONNEXION Les schémas ci-dessous montrent l intégralité des installations possibles entre des instruments et un ordinateur où le Multiplexeur NMEA joue un rôle prépondérant. Dans chaque cas l

Plus en détail

Atelier thématique QUA1 -Présentation de la norme ISO 9001-

Atelier thématique QUA1 -Présentation de la norme ISO 9001- Forum QHSE - QUALITE Atelier thématique QUA1 -Présentation de la norme ISO 9001- Laurent GUINAUDY OC2 Consultants Atelier ISO 9001 1 Présentation du Cabinet OC2 Consultants Cabinet créé en 1996 Zone d

Plus en détail

TABLEAU DE BORD : SYSTEME D INFORMATION ET OUTIL DE PILOTAGE DE LA PERFOMANCE

TABLEAU DE BORD : SYSTEME D INFORMATION ET OUTIL DE PILOTAGE DE LA PERFOMANCE TABLEAU DE BORD : SYSTEME D INFORMATION ET OUTIL DE PILOTAGE DE LA PERFOMANCE INTRODUCTION GENERALE La situation concurrentielle des dernières années a confronté les entreprises à des problèmes économiques.

Plus en détail

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur Quels outils mettre en œuvre pour garantir une sécurité informatique maximale et conforme aux exigences

Plus en détail

PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt

PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt ASPECTS TECHNIQUES M. Raphaël VINOT CIRCL SEMINAIRE UIA ENJEUX EUROPEENS ET MONDIAUX DE LA PROTECTION DES

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

Gestion active des bâtiments. Classification des niveaux d intégration de la sécurité

Gestion active des bâtiments. Classification des niveaux d intégration de la sécurité Gestion active des bâtiments Classification des niveaux d intégration de la sécurité L évaluation de la performance d un bâtiment tient compte de sa consommation énergétique et de son empreinte environnementale

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD1 Exercices Exercice 1 : Décrivez les facteurs internes qui ont un impact sur les communications réseau. Les facteurs internes ayant un impact sur les communications sont liés à la nature

Plus en détail

L économie circulaire en pratique dans la Mécanique - L éco-conception comme levier d action

L économie circulaire en pratique dans la Mécanique - L éco-conception comme levier d action Page 2 L économie circulaire en pratique dans la Mécanique - L éco-conception comme levier d action Lionel MELETON Pôle PID Cetim L économie circulaire en quelques mots Page 3 Pour mémoire, l économie

Plus en détail

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT

LA SECURITE DU PATRIMOINE NUMERIQUE, UN ENJEU STRATEGIQUE. DBB Groupe ICT LA SECURITE DU PATRIMOINE NUMERIQUE, DBB Groupe ICT Plan LA SECURITE DU PATRIMOINE NUMERIQUE, Le Patrimoine informationnel Menaces & Conséquences Responsabilité du Chef d Entreprise Comment répondre aux

Plus en détail

Section 9. Établissement de rapports et communication des résultats

Section 9. Établissement de rapports et communication des résultats Section 9 Établissement de rapports et communication des résultats 135 Établissement de rapports et communication des résultats Distribuer rapidement les résultats aux parties prenantes. Choisir le moyen

Plus en détail

FICHE D IDENTITÉ DE LA QUALIFICATION VALIDÉE OBJECTIF PROFESSIONNEL DE LA QUALIFICATION VALIDEE

FICHE D IDENTITÉ DE LA QUALIFICATION VALIDÉE OBJECTIF PROFESSIONNEL DE LA QUALIFICATION VALIDEE COMMISSION PARITAIRE NATIONALE DE L'EMPLOI DE LA METALLURGIE Qualification : 2001 01 89 0195 (Cette fiche annule et remplace, à compter du 9 janvier 2007, la précédente fiche d identité) FICHE D IDENTITÉ

Plus en détail

Transformation numérique et cybersécurité : Thales accompagne les Opérateurs d Importance Vitale

Transformation numérique et cybersécurité : Thales accompagne les Opérateurs d Importance Vitale www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ Transformation numérique et cybersécurité : Thales accompagne les Opérateurs d Importance Vitale Dans le contexte de l interconnexion

Plus en détail

Profil de protection d un progiciel serveur applicatif SCADA

Profil de protection d un progiciel serveur applicatif SCADA Profil de protection d un progiciel serveur applicatif SCADA Version 1.0 court-terme GTCSI 1 er juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne

Plus en détail

DRS. Donnez des Capacités à Votre Serveur d Impression d Entreprise. Distributeur exclusif de la gamme des logiciels Levi, Ray & Shoup, Inc.

DRS. Donnez des Capacités à Votre Serveur d Impression d Entreprise. Distributeur exclusif de la gamme des logiciels Levi, Ray & Shoup, Inc. DRS Donnez des Capacités à Votre Serveur d Impression d Entreprise Distributeur exclusif de la gamme des logiciels Levi, Ray & Shoup, Inc. Les documents les plus importants de votre entreprise sont issus

Plus en détail

Module: Organisation. 3.3. L informatique dans la structure d une organisation. Abdessamed Réda GHOMARI Maître de Conférences a_ghomari@esi.

Module: Organisation. 3.3. L informatique dans la structure d une organisation. Abdessamed Réda GHOMARI Maître de Conférences a_ghomari@esi. Module: Organisation 3.3. L informatique dans la structure d une organisation Abdessamed Réda GHOMARI Maître de Conférences a_ghomari@esi.dz Plan Introduction Informatique dans les organisations Rattachement

Plus en détail

Différences entre DQA et RDQA

Différences entre DQA et RDQA OUTIL De l ASSURANCE DE LA QUALITE DES DONNEES DE ROUTINE (RDQA) Fiche documentaire- novembre 1, 2007 1 HISTORIQUE Les programmes nationaux et les donateurs travaillent ensemble vers la réalisation de

Plus en détail

Opérateur Economique Agréé et Bourses de fret. Les réponses du marché à TLF

Opérateur Economique Agréé et Bourses de fret. Les réponses du marché à TLF en partenariat avec Opérateur Economique Agréé et Bourses de fret Les réponses du marché à TLF Date 15/03/2010 version 1.0 Statut Synthèse publique Page 1 / 5 1. Préambule et contexte L obtention de la

Plus en détail

La gestion du risque

La gestion du risque La gestion du risque Enjeux Le risque est consubstantiel à l entreprise. Sans prise de risque, l entreprise ne peut assurer une rentabilité décente pour ses actionnaires. Mais, comme des exemples récents

Plus en détail