RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET TRAVAUX DES AUDITEURS INHESJ. Cycle «Sécurité des usages numériques»
|
|
- Marie-Paule Martineau
- il y a 8 ans
- Total affichages :
Transcription
1 Institut national des hautes études de la sécurité et de la justice INHESJ TRAVAUX DES AUDITEURS RISQUES ET SÉCURITÉ Cycle «Sécurité des usages numériques» Travaux de la 4 e promotion ( ) DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET en partenariat avec le DÉCEMBRE 2014
2 L Institut national des hautes études de la sécurité et de la justice publie chaque année des rapports et études sur les champs de la sécurité et à la justice. Dans le cadre du cycle de spécialisation «Sécurité des usages numériques», les auditeurs stagiaires réalisent un travail collectif tutoré par le département sécurité économique de l INHESJ. Ces travaux sont effectués en toute liberté grâce à l indépendance dont les auteurs bénéfi cient au sein de l Institut. L étude ci-dessous publiée est un document à vocation scientifi que. Il ne saurait être interprété comme une position offi cielle ou offi cieuse de l Institut ou des services de l État. Les opinions et recommandations qui y sont exprimées sont celles de leurs auteurs. Le document est publié sous la responsabilité éditoriale du directeur de l Institut. Les études ou recherches de l INHESJ sont accessibles sur le site de l INHESJ. Directeur de la publication M. Cyrille SCHOTT, directeur de l INHESJ
3 AVANT-PROPOS est désormais au cœur des actifs immatériels des organisations et constitue un élément clé de leur performance. L information L entrée dans le monde numérique a par ailleurs conféré aux systèmes d information une dimension incontournable du développement de l économie. La «sécurité des usages numériques» représente donc un enjeu majeur pour la pérennité et la compétitivité des entreprises et des administrations. C est pourquoi, dès 2010, l Institut national de hautes études de la sécurité et de la justice (INHESJ) et le CIGREF (Réseau de Grandes Entreprises) ont convenu de mettre en place un cycle de formation sur les problématiques et les enjeux liés à la sécurité numérique à destination des cadres d entreprises des secteurs privé et public. Ce cycle de spécialisation en «Sécurité des usages numériques» se fi xe pour objectif de délivrer les savoir-faire visant l identifi cation, l évaluation et la maîtrise de l ensemble des risques et des malveillances à tous ceux qui veulent mieux comprendre les enjeux de la sécurité numérique au sein des entreprises. L Institut est heureux de présenter dans sa collection Études et Documents les travaux des auditeurs de ce cycle réalisés sous la supervision du Département sécurité économique de l INHESJ. Cyrille SCHOTT Directeur de l Institut national des hautes études de la sécurité et de la justice Pascal BUFFARD Président du CIGREF INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 3
4 Les AUTEURS Les Auteurs de ce travail intitulé «Sécurité des objets connectés» sont : Carolina MORALES-COLASANTE Véronique WADEL Sylvain ARNOLD Xavier BLANCHARD Bertrand LOCHET Sous la direction de Nicolas Arpagian, directeur scientifi que du cycle «Sécurité des usages numériques».
5 RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET Travaux de la 4 e promotion ( ) du Cycle «Sécurité des usages numériques» Sommaire PRÉAMBULE INTRODUCTION CHAPITRE 1 Les systèmes industriels Historique Composants des systèmes industriels Les principaux objectifs et atouts des Systèmes industriels Domaines d utilisation des systèmes industriels CHAPITRE 2 Les risques et menaces des systèmes industriels Profi l des attaquants et les objectifs de l attaque Typologie des risques Typologie des menaces Moyen d accès d une attaque au système industriel CHAPITRE 3 - Problématiques juridiques de la cyber-sécurité des systèmes industriels «Le droit des robots» «Security by design» Les Systèmes industriels et les objets connectés La cyber-assurance des systèmes industriels Le dispositif juridique français et européen Le rôle de la Direction juridique CHAPITRE 4 Les solutions de sécurisation de la connexion à Internet des systèmes industriels Le retour au déterminisme des systèmes industriels L audit du code Authentifi cation Forte Le chiffrement et le principe ou la chaîne de confi ance Protocoles spécifi ques SCADA par les fabriquant des solutions «endpoint» Approche sémantique «fi rewall sémantique» Amélioration de la Cyber sécurité des réseaux des systèmes industriels Systèmes de détection d intrusion Les «Honeypot» Recherche et analyse de la vulnérabilité La vérifi cation des journaux La sensibilisation à la cyber-sécurité La mise en œuvre des directives et guides de gestion de la sécurité La défense en profondeur La gestion des risques Propositions d architecture et de process CONCLUSION Définitions Références bibliographiques INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 5
6 PRÉAMBULE Miser sur la diversité des compétences pour répondre à des menaces protéiformes. La sécurité numérique doit se concevoir sur le modèle des multiples formes d agressions rendues possibles par les technologies de l information et de la communication qui irriguent désormais les organisations économiques, administratives ou militaires. C est la raison pour laquelle la réfl exion et la stratégie en matière de cybersécurité doivent se concevoir en mettant à contribution une grande variété de compétences et d expertises : dans les domaines industriels, techniques, informatiques, juridiques, judiciaires, militaires, policiers et même politiques. De ce croisement de savoir-faire émergeront les stratégies utiles à mettre en place pour concevoir une sécurité numérique plus performante. C est dans cet esprit que chaque année les auditeurs du cycle «Sécurité numérique» de l Institut national des hautes études de la sécurité et de la justice (INHESJ) travaillent à analyser et éclairer une problématique qui se trouve au cœur des intérêts stratégiques des entreprises, et donc des États. Ils ont pour mission d expliquer les enjeux de la thématique qui leur a été confi ée, d en présenter les mécanismes et de formuler des réponses réalistes et concrètes pour réduire ou faire cesser l exposition au risque qu elle représente. Soit une démarche résolument tournée vers une amélioration continue de la notion de sécurité, au bénéfi ce du plus grand nombre. Vous trouverez dans ce document le fruit de leurs réfl exions après une année d étude passée au sein de l INHESJ à échanger entre pairs et à rencontrer les experts et les praticiens les plus expérimentés dans le domaine de la sécurité numérique. Ils aboutissent à chaque fois à des recommandations opérationnelles directement transposables dans la réalité des entreprises et des administrations. Ce sont donc des contributions utiles à une meilleure sécurité numérique. Éric DELBECQUE Nicolas ARPAGIAN Chef du Département Directeur scientifi que du cycle «Sécurité économique» «Sécurité des usages numériques» INHESJ Septembre 2014 Ingérence et politique de sécurité des systèmes d information 7
7 INTRODUCTION Les systèmes industriels sont essentiels au bon fonctionnement de la nation. À l instar de la démarche déjà entreprise par les États-Unis, il s agit aujourd hui de faire de leur cyber-sécurité une priorité stratégique, tant au niveau européen et français qu au niveau international. Les dernières cyber-attaques Stuxnet 1, Spamhaus et plus récemment les vols de données clients chez Orange ont alerté aussi bien les pouvoirs publics que les entreprises exploitant des systèmes industriels. Ces événements confi rment la nécessité de prendre toutes les mesures appropriées pour faire face aux risques encourus, mais aussi pour se conformer au cadre réglementaire qui se met progressivement en place. La connexion des systèmes industriels à Internet n étant pas une nouveauté en soi, il est cependant nécessaire d exposer le contexte spécifi que à ces derniers (Chapitre 1) pour mieux comprendre les risques de leur connexion à Internet (Chapitre 2) avec les problématiques et enjeux juridiques (Chapitre 3). Et, ainsi, pouvoir présenter les différentes mesures de sécurisation de ces systèmes industriels (Chapitre 4). (1) C est le premier ver découvert qui espionne et reprogramme des systèmes industriels, ce qui comporte un risque élevé. Il cible spécifi quement les systèmes SCADA utilisés pour le contrôle commande de procédés industriels. Stuxnet a la capacité de reprogrammer des automates programmables industriels (API). 8 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet
8 Chapitre 1 LES SYSTÈMES INDUSTRIELS Historique Jusqu en 1940, les premiers systèmes de pilotage connectés étaient des systèmes de contrôle dans les systèmes industriels. Ils étaient destinés à opérer des équipements localisés dans des sites distants. Toutefois, à cette époque, il était nécessaire d avoir du personnel sur chacun des sites ou bien d envoyer une équipe pour opérer l équipement. Les premiers essais de ces systèmes industriels ont débuté par l utilisation d une paire de lignes entre les sites distants. Chaque ligne opérait une seule pièce de l équipement. Cette solution s est avérée très onéreuse mais justifi ée par le besoin d être opérée très fréquemment ou afi n de rétablir le service rapidement. Puis les Relay/Tone system ont vu le jour ; comme des systèmes relais qui créaient des pulsations envoyées au travers d un canal de communication jusqu au site distant. Dans les années 1960, les premiers systèmes industriels voient le jour en tant que système d exploitation électronique d entrée / sortie, avec des transmissions entre une station maître et une station distante. La station «maître» avait pour but de recevoir des données à travers un réseau de télémétrie et de stocker les données sur les ordinateurs centraux. En 1965 pour la première fois, un ordinateur a été utilisé comme station maître, capable d avoir des fonctions en temps réel. Tel était le cas des processeurs PRODAC et GETAC construits par GE et Westinghouse. Progressivement les ordinateurs ont commencé à être dotés de fonctions de scanning de données, du monitoring de données et des statuts, de changements des alertes puis de données des connexions périodiques. La plupart des systèmes industriels américains fonctionnaient alors avec une base de scanning permanent avec l ordinateur maître ; ce dernier envoie alors les requêtes, les sites distants, eux, uniquement des réponses. En Europe, on retrouve les premiers systèmes dans lesquels le site distant continue à envoyer des données sans que le site central envoie des requêtes ; ceci grâce à un canal qui permettait d envoyer et de recevoir en même temps. Ce n est que dans les années 1970 que les systèmes de contrôle distribués (DCS) ont été développés pour contrôler différents sous-systèmes éloignés ; dans les années 1980, avec le développement du micro-ordinateur, le contrôle de processus a pu être réparti entre les sites distants. Puis il y a eu un développement des activités DEC utilisant des contrôleurs logiques programmables (PLC) ; ils avaient la capacité de contrôler les sites sans prendre la direction d un maître. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 9
9 LES SYSTÈMES INDUSTRIELS Chapitre 1 Dans les années 1990, les systèmes industriels avaient des capacités de DCS et étaient adaptés en fonction de certaines caractéristiques de contrôle propriétaires construits par le concepteur. Internet étant utilisé davantage comme un outil de communication, les systèmes de télémesure utilisaient alors des logiciels automatisés avec certains portails de téléchargement des informations ou de contrôle de processus. L Ingénierie des systèmes industriels concerne aujourd hui des processus de contrôle, mais aussi la mesure, la prévision, la facturation, l analyse et la planifi cation. Les systèmes industriels actuels doivent répondre à un tout nouveau niveau d automatisation de contrôle avec un interfaçage aux équipements obsolètes, tout en restant suffi samment souple pour s adapter à l évolution des technologies d information. Les exigences des systèmes industriels relèvent aujourd hui des mises à niveau et mises à jour des versions des systèmes ; il faut alors donner la priorité à la connaissance des composants du système avant de décider quelle interface mettre en place ou quel matériel est nécessaire pour une application particulière. Depuis les années 2000, une transformation profonde a eu lieu : les systèmes isolés et propriétaire sont passés à des systèmes construits sur des architectures et structures aux technologies standard hautement interconnectés sur des réseaux privés, voire sur internet. Ces systèmes, conçus pour durer des dizaines d années à une époque où la cyber criminalité touchant les infrastructures industrielles critiques n était pas encore répandue, n intégraient pas encore nativement la sécurité réseau. Composants des systèmes industriels Un dispositif système industriel, utilisé comme outil de sécurité de consignation d appareil électrique, est généralement composé des sous-systèmes suivants : une interface homme-machine qui présente les données à un opérateur humain : ce dernier peut alors superviser et commander les processus ; un système de supervision et de contrôle informatique faisant l acquisition des données des processus et envoyant des commandes (consignes) aux processus ; une unité terminale distante (RTU) reliant les capteurs convertissant les signaux en fl ux de données numériques et envoyant les données numériques au système de supervision ; des automates programmables industriels utilisés sur le terrain pour leur versatilité et fl exibilité due à leur capacité d être confi gurables ; 10 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet
10 Chapitre 1 LES SYSTÈMES INDUSTRIELS une infrastructure de communication reliant le système de supervision et contrôle aux éléments terminaux ; divers instruments d analyse. À titre d exemple, le schéma ci-dessous expose les différents composants d un système industriel. Les principaux objectifs et atouts des Systèmes industriels Les systèmes industriels ont pour principaux objectifs : de concentrer les données, déporter ou centraliser le pilotage du procédé ; d apporter une vision temps réel des états permettant aux opérateurs de réagir et de décider rapidement ; D apporter les premiers outils d analyses nécessaires aux contrôles des équipements concernés (historiques, courbes, pareto, alarmes, login). Pour parvenir à atteindre ces objectifs, les systèmes industriels sont dotés d un certain nombre d atouts, notamment : des outils de graphisme afi n de représenter les procédés concernés ; des «moteurs» d animation permettant de défi nir les différents choix de dynamismes des objets graphiques ; INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 11
11 LES SYSTÈMES INDUSTRIELS Chapitre 1 la gestion de la base de données en temps réel, parfois propriétaire ; en leur attribuant des propriétés, il est possible de défi nir des variables typées internes ou en liaison avec le système de contrôle commande ; des traitements internes initiés par des déclencheurs multiples (temporels, changement d état, équation combinatoire, ouverture d une fenêtre ) ; ils permettent d appliquer des premiers niveaux de traitement informatique plus ou moins évolués ; une gestion de la sécurité pour un contrôle des accès applicatifs est généralement proposée ; certains superviseurs intègrent également les possibilités de s interfacer avec une base de données relationnelle. Domaines d utilisation des systèmes industriels Les systèmes industriels sont conçus pour soutenir les processus industriels et surveiller et contrôler, en temps réel, un large éventail de processus et d opérations, tels que la distribution de gaz et électricité (classique et nucléaire), le traitement de l eau, le raffi nage de pétrole ou le transport ferroviaire. 2 (2) Défi nition ENISA. Ces systèmes industriels sont utilisés également dans la distribution, la chimie et dans certaines installations expérimentales tels que la fusion nucléaire, le transport des produits chimiques, la recherche et les études scientifi ques et industrielles, les accès aux bâtiments, le contrôle du chauffage et la ventilation des ascenseurs ou du refroidissement des data centers. Parmi les exploitants des systèmes industriels, il y a les Opérateurs à Importance Vitale (OIV). Ces derniers sont défi nis en France par le Code de la Défense dans ses articles R et R comme étant «les opérateurs publics ou privés, exploitant des établissements ou utilisant des installations et ouvrages, dont l indisponibilité risquerait de diminuer d une façon importante le potentiel de guerre ou économique, la sécurité ou la survie de la nation ou de mettre gravement en cause la santé ou la vie de la population». Ces OIV constituent une liste de 200 opérateurs dont 100 sont des entreprises privées. Les infrastructures vitales du pays sont concernées par de nouveaux risques : les cyber-risques. Ces derniers menacent le fonctionnement dont dépendent les infrastructures vitales du pays. En effet, la mise en œuvre systématique du principe de sécurité «de base» des systèmes d information, tels que la surveillance du système, la notifi cation des incidents ou la réalisation régulière d audits ne sont pas systématiquement mis en œuvre. De ce fait, et au regard de la cybermenace grandissante, les instances nationales et européennes ont décidé de renforcer le régime qui leur est applicable. 12 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet
12 Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Un autre élément qui n est pas négligeable est qu historiquement, les systèmes industriels étaient dévoués à la protection de la sûreté de fonctionnement (SDF), en utilisant une analyse statistique et des techniques de redondance, ce qui permettait de faire le traitement du risque de défaillance des équipements. Toutefois la SDF ne couvre pas les risques et menaces des cyber-attaques qui évoluent très rapidement. Les standards de sûreté de fonctionnement des systèmes industriels doivent alors s adapter pour prendre en compte la cybersécurité et éviter que l intégrité des Systèmes Instrumentés de Sécurité (SIS) assurant la sécurité des personnes puisse être remise en cause par une attaque informatique. (3) «Global State of Information Security Survey 2013, Tendances et enjeux de la sécurité de l information» Etude Price WaterhouseCooper, 30 janvier La cybercriminalité désigne les infractions pénales commises par le biais de réseaux informatiques et de l information électronique. Elle concerne aussi bien les atteintes aux biens (escroquerie, contrefaçon, vol des données, etc.) que les atteintes aux personnes (terrorisme, incitation à la haine raciale, pédopornographie, etc.) ; elle se situe à la quatrième place des fraudes les plus rencontrées par les entreprises. Le budget cyber-sécurité représente un budget annuel de 60 milliards de dollars. Ce montant devrait augmenter de 10% dans les trois à cinq années à venir. 3 Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Depuis que l affaire Stuxnet a dévoilé au grand public les failles des systèmes industriels, les risques et menaces pour ces derniers deviennent une préoccupation majeure pour les exploitants, ainsi que pour les États et les particuliers. Si l appréhension d une sécurité se fait essentiellement au travers de bonnes pratiques, il convient aussi de recenser les vulnérabilités auxquelles l entreprise doit faire face. Profi l des attaquants et les objectifs de l attaque Les auteurs ou les cyber-attaquants ont des profi ls divers, notamment le hacker isolé, le salarié mécontent, les réseaux organisés, les cellules de renseignement. Ils ont une multitude des motivations, tels que le défi informatique, le vol de données à des fi ns lucratives, le hackeractivisme, l espionnage à des fi ns économiques ou industrielles, etc.) (cf. fi gures 1 et 2). INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 13
13 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2 Figure Typologie des attaquants attaquant 14 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet
14 Chapitre 2 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Les cyber-attaques peuvent provenir de : l intérieur de l entreprise exploitant le système industriel (menaces internes du fait de comportements inadaptés des personnels à l usage des nouvelles technologies ou d une malveillance et du fait d un défaut de gouvernance augmenté, par exemple, par l admission et gestion du BYOD et des connexions WI-FI). l extérieur de l entreprise : hacktivisme, APT. Typologie des risques La typologie de ces risques est résumée dans le tableau ci-dessous. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 15
15 LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS Chapitre 2 Typologie des menaces Les menaces sur les systèmes industriels proviennent aussi bien de phénomènes naturels, d actes malveillants et d accidents, que de procédures irrégulières ou de défaillances techniques. Historiquement, ces menaces ne concernaient que les éléments internes au système industriel en question, notamment les membres du personnel, l organisation des exploitants d installations ou du personnel support technique. D autres exemples de menace sur les systèmes industriels sont : des vers autonomes qui cherchent au hasard des chemins de propagation ; (DDoS) virus (dont les chevaux de Troie) ; le terrorisme ; les perturbations des services publics ; le bruit sur les lignes électriques ; les interférences électromagnétiques (EMI) et de fréquences radio (RFT) ; la fermeture de l usine pour l entretien et démarrage après l entretien (de nombreux événements néfastes se produisent pendant l arrêt et le démarrage) ; la mauvaise application de correctifs logiciels ; l interdépendance avec les autres réseaux et les éléments de support technique. Moyen d accès d une attaque au système industriel Aujourd hui tous les systèmes industriels sont connectés à Internet, aux différents réseaux d entreprise, aux réseaux publics commutés de téléphone, aux satellites et aux systèmes de communication sans fi l (Wifi, WiMax). Ainsi, les moyens d accès au réseau de contrôle du système industriel les plus communs sont : les connexions Internet, les réseaux métiers ou réseau d entreprise, les connexions à d autres réseaux qui contiennent des vulnérabilités, les réseaux privés virtuels compromis (VPN), les connexions par Backdoor à travers les modems d accès à distance, les connexions sans fi l non sécurisés découverts par les utilisateurs de portables, les ports informatiques ouverts, tels que les ports UDP ou TCP qui ne sont pas protégés ou ouverts inutilement, l authentifi cation faible dans les protocoles et les composants des systèmes industriels, l hameçonnage de maintenance (maintenance hooks) ou de portes dérobées (trap doors), qui sont des moyens de contourner les contrôles de sécurité au cours du développement du système industriel, les attaques par débordement de tampon sur les serveurs de contrôle du système industriel, accessibles par les automates et les interfaces homme-machine. 16 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet
16 Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Après avoir eu accès au système industriel, l attaquant cherche à tout prix à obtenir un certain niveau de contrôle de ses composants, en fonction des protections associées à chaque composant, à la visibilité de l attaquant et aux capacités et intentions de ce dernier. La réalisation d une ou plusieurs cyber-menaces au sein d un système industriel peut donc avoir des conséquences telles que la divulgation des données sensibles, des dommages matériels aux biens et aux personnes, des risques de santé publique et l atteinte à l image et à la réputation. C est pour cette raison que les problématiques juridiques de la cyber-sécurité des systèmes industriels doivent être prises très au sérieux. Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Dans l objectif de faire un état des problématiques juridiques liées aux systèmes industriels et à leur cyber-sécurité, il est nécessaire d envisager les dispositifs juridiques qui n ont pas pour l instant fait l objet d une formalisation dans le droit positif et les normes existantes («le droit des robots» et «Security by design»). Puis, les interactions des systèmes industriels avec les objets connectés et également la problématique récente en droit français liée à la cyber-assurance de ces systèmes industriels. Enfi n, une présentation de l état du droit positif aussi bien français, qu européen et américain est nécessaire afi n de comprendre la multitude des textes applicables et dont la mise en œuvre par les exploitants afi n d être en conformité avec celles-ci peut s avérer diffi cile, d où l importance du rôle des directions juridiques au sein des entités exploitant ces systèmes industriels. «Le droit des robots» (4) Défi nition de l ALTIF (Analyse et traitement informatique de la langue française). Un robot peut être défi ni comme «un appareil effectuant, grâce à un système de commande automatique à base de micro-processeur, une tache précise pour laquelle il a été conçu dans le domaine industriel, scientifi que ou domestique» 4. À la différence de l automate, le robot est doté de capteurs dont les actions sont décidées par l intermédiaire de son programme, en fonction de l environnement. Les dernières générations des systèmes industriels peuvent être considérées comme des robots ; à ce titre, il est légitime de s interroger sur le régime juridique applicable. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 17
17 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3 Les dispositions juridiques existantes applicables aux fabriquants et/ou fournisseurs des systèmes industriels concernent d une part le droit des contrats, à savoir l article 1603 du Code civil. Le fabriquant et/ou fournisseur du système industriel est fait débiteur des obligations suivantes : mise à disposition du système ; délivrance conforme ; garantie de jouissance paisible ; absence de défaut de la chose vendue. La prise en compte des différents dispositifs de cyber-sécurité des systèmes industriels sont donc compris aussi bien dans l obligation de «délivrance conforme» du système (conformité par rapport aux diverses normes et référentiels applicables et aux attentes exprimées dans son cahier des charges) que dans les obligations de garantie de jouissance paisible (un système industriel avec des failles de sécurité inhérentes à celui-ci ne permet pas à son exploitant de disposer paisiblement de ce système) et dans l obligation d absence de défauts de la chose vendue. De même, le régime de la responsabilité lié aux produits défectueux (article et suivants du Code civil) peut être invoqué afi n d engager la responsabilité délictuelle du fabriquant et/ou fournisseur. Il peut également s appliquer à l exploitant du système industriel en cas d un défaut de sécurité (informatique) du système qui serait à l origine d un dommage aux personnes. Les dispositions de la Directive 2006/42/CE du 17 mai 2006 (entrée en application le 29 décembre 2009) relative aux machines, imposent des exigences de sécurité. Des réfl exions sont actuellement en cours au sein des communautés des juristes 5 sur le fait d accorder, ou non, une personnalité juridique (avec des droits et des obligations afférentes) à ces robots qui peuvent, dans leur fonctionnement (programmés et contrôlés par un humain), prendre des initiatives. Toutefois, cette piste de réfl exion est confrontée au fait que la jurisprudence refuse de reconnaître la responsabilité de la machine en raison du défaut de capacité de discernement. Ainsi est tenu pour responsable l exploitant qui a le contrôle du système industriel, gardien de ce dernier, en tant que personne physique ou morale. Charge à lui, dans un tel cas, d apporter les preuves qui écartent sa responsabilité. (5) Tel est le cas de Maître Alain Bensoussan cf. l article «Vers un droit des robots» du 21 avril 2014 et Maître Murielle Cahen. «Security by design» Il apparaît aujourd hui impératif de prendre en charge la sécurité des systèmes industriels dès le stade de leur conception, c est-à-dire dès la rédaction du cahier des charges et de l expression des besoins par l utilisateur fi nal. Ainsi l exploitant commanditaire du système industriel en question se doit d imposer ses choix, d exiger l utilisation des produits certifi és et de prévoir des clauses «d audit de fournisseurs». 18 INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet
18 Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Cette préoccupation doit être également au cœur des négociations des accords de connexion à internet, des contrats de travail des salariés des Industries et également lors de la rédaction des Chartes d Accès à ce Systèmes industriels connectés à Internet. Les entreprises administrant des systèmes industriels ne doivent nullement négliger les avancées des technologies de l information et de la communication. Elles doivent intégrer dans leurs analyses des risques les risques et menaces «involontaires» issues de l utilisation des dispositifs mobiles, souvent mis à disposition de l entreprise par le salarié lui-même. Ainsi la mise en place et/ou la mise à jour d une charte régissant l usage des technologies de l information et de la communication par les salariés et par les prestataires externes est impérative et en tout cas fortement conseillée. Les rédactions et négociations des contrats portant sur l acquisition de ces systèmes industriels connectés à Internet, impliquent d être vigilant quant au contenu des articles de confi dentialité, sécurité et évolutivité du système, obligations du fournisseur de conformité réglementaire, audit, responsabilité et mise en place d un niveau d engagements de service (SLA) conforme aux besoins exprimés dans le cahier des charges. De même, compte tenu de la vitesse à laquelle évoluent et changent les cyber-menaces, il est judicieux de ne pas négocier un contrat statique et de prévoir la possibilité pour l exploitant du service, en accord avec le fournisseur, de faire évoluer les dispositions contractuelles et d adapter ou pallier aux conséquences de ces évolutions. Les Systèmes industriels et les objets connectés Avec la disponibilité commerciale du cloud computing, les systèmes industriels ont de plus en plus adopté les technologies de l Internet des objets. Cette démarche réduit considérablement les coûts d infrastructure et augmente la facilité d entretien et d intégration. En conséquence, les systèmes industriels peuvent désormais transmettre des données en temps quasi réel et utiliser les facteurs d échelle autorisés par le cloud computing. Ainsi, des algorithmes de contrôle plus complexes que ce qui pouvait être fait avec les automates programmables industriels peuvent être mis en œuvre. En outre, l utilisation de protocoles de réseaux ouverts, tels que TLS inhérents à l Internet des objets, offre un périmètre de sécurité plus compréhensible et gérable que le mélange hétérogène de protocoles réseau propriétaires typiques de nombreuses implémentations des Systèmes industriels décentralisées précédentes. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 19
19 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Chapitre 3 La cyber-assurance des systèmes industriels Sur les 12 risques majeurs menaçant les entreprises, le cyber-risque occupe la troisième position. La cyber menace évoluant, des solutions d assurances tendent à se développer. La France est cependant en retard sur ce point. Il est nécessaire pour l entreprise candidate à l assurance, afi n d obtenir un «scoring», d associer un expert technique à l assureur. Il réalisera un état de la maturité organisationnelle de l entreprise versus l analyse et le contrôle opérationnel des cyber-risques. L assureur devra donc faire la transformation de l analyse en probabilité de l apparition du cyber-risque et déterminer l impact sur le patrimoine du client : matériel, production, immatériel. Aux États-Unis et au Royaume-Uni, plus de 30 % des entreprises ont déjà souscrit à une police de cyber-risques. Après les récentes attaques chez Sony ou Target, selon Ponemon, le coût moyen d une donnée volée est de 145 UD. L atteinte à l image est incluse dans cette évaluation. Les offres actuelles dans le marché français proposent des garanties couvrant tous les aspects des cyber-risques à savoir la responsabilité civile, les mesures palliatives, la gestion de la crise, la communication, les dommages intérêts dus aux clients et la perte d exploitation entre autres. En revanche, le terrorisme est systématiquement exclut. Le dispositif juridique français et européen Le cadre juridique français de la cyber-sécurité La France dispose d un arsenal législatif et réglementaire complet pour réprimer les cyber-attaques et bien évidement ces dispositions sont applicables aux attaques des systèmes industriels. Le tableau récapitulatif ci-dessous montre un aperçu de ces dispositions, jusqu en De même que pour les systèmes d information «informatiques», il est impératif de réaliser un recensement des données sensibles de ces infrastructures contrôlées par un système de commande et contrôle, et tout particulièrement des données personnelles. En effet, le projet de règlement européen sur les données personnelles, actuellement en discussion, aura vocation à s appliquer également à ces systèmes industriels. L industriel «exploitant» en tant que «Responsable du Traitement» au sens de la Loi I&L est responsable en cas de respect des dispositions applicables. Ainsi les exploitants devront revoir leur façon de traiter leurs priorités de protection de la confi dentialité et de l intégrité des données, tout en gardant au premier niveau de priorité la disponibilité du système. (6) Tableau issu de l article des Mesdames Anne Souvira et Miriam Quéméner «Cybersécurité et entreprises : se protéger juridiquement et se former». Sécurité & Stratégie n 11 Décembre INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet
20 Chapitre 3 PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS Les dispositions européennes et françaises concernant la cyber-sécurité des OIV La lutte contre la cybercriminalité étant une priorité européenne, la Commission européenne a adopté le 07 février 2013 une proposition de directive «visant à assurer un niveau élevé de sécurité des réseaux et de l information de l union». Cette proposition de directive a été modifi ée et adoptée par le Parlement européen le 13 mars 2014 et devrait être défi nitivement adoptée fi n Les principaux objectifs de la proposition de directive sont de (i) fi xer les obligations des États membres concernant la prévention et la gestion des risques et incidents aux réseaux et systèmes informatiques, (ii) à faciliter la coopération entre les États membres pour garantir l harmonisation des règles de cyber-sécurité au sein de l Union européenne et (iii) établir des exigences en matière de sécurité pour les acteurs du marché, notamment les «opérateurs d infrastructure essentielle». En effet, en raison de la disparité des niveaux de protection des États membres en matière de cyber-sécurité, il s avère impossible d avoir une coopération et une collaboration effective au sein de l Union européenne et la construction d une cyber-protection européenne s avère une chimère. Parallèlement à l initiative européenne, la France a voté la Loi de Programmation Militaire, le 18 décembre Elle fi xe de nouvelles règles qui complètent le dispositif présenté ci-dessus. Toutefois, les textes réglementaires précisant la mise en œuvre de la LMP et le calendrier prévisionnel associé se font toujours attendre. Ainsi les éléments suivants restent encore en attente : les décrets d application ; la déclinaison par typologie d industrie ; la procédure de certifi cation/labellisation de logiciels et matériels de sécurité compatibles pour les infrastructures critiques ; la procédure de certifi cation/labellisation de prestataires habilités à auditer les OIV ; défi nition d un incident de sécurité afi n de répondre à la section 2 de l article 22 qui impose la déclaration des incidents ; détails des calendriers d audit et de ce qui sera exigible en 2014/2015/ et au-delà, au regard de la loi. Le comparatif entre les dispositions américaines, européennes et françaises applicables aux systèmes industriels en matière de cyber-sécurité Les opérateurs exploitant des systèmes industriels peuvent, dans certains cas, être soumis aussi bien aux dispositions françaises et européennes qu aux dispositions américaines concernant la cyber-sécurité. De ce fait, les acteurs soumis à ces régimes devront rester particulièrement attentifs car la conformité à l un de ces régimes ne signifi e pas une conformité automatique à l autre régime ; de même, ces régimes, aux approches différentes, continueront à évoluer dans les mois et années à venir. INHESJ Décembre 2014 Risques et sécurité de la connexion des systèmes industriels sur internet 21
Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques
Intégration de la cybersécurité aux systèmes de conduite industriels Méthodes et pratiques Les Infrastructures critiques utilisant des Systèmes de Contrôle Industriels Industrie nucléaire Industrie pétrolière,
Plus en détailStratégie nationale en matière de cyber sécurité
Stratégie nationale en matière de cyber sécurité 1 INTRODUCTION Le fonctionnement de notre société est aujourd hui étroitement lié aux infrastructures et systèmes de communication et de traitement de l
Plus en détailSolutions de Cybersécurité Industrielle
Solutions de Cybersécurité Industrielle Automation Informatique Industrielle M2M www.factorysystemes.fr Notre mission «Mettre au profit de nos clients des secteurs de l industrie, du transport et des infrastructures
Plus en détailSécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC
Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC TABLE OF C0NTENTS INTRODUCTION...............................................................
Plus en détailpolitique de la France en matière de cybersécurité
dossier de presse politique de la France en matière de cybersécurité 20 février 2014 Contact presse +33 (0)1 71 75 84 04 communication@ssi.gouv.fr www.ssi.gouv.fr Sommaire L ANSSI L ANSSI en chiffres Le
Plus en détailHySIO : l infogérance hybride avec le cloud sécurisé
www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique
Plus en détailNOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité
Date : Le 28 octobre 2013 NOTE D INFORMATION Destinataires : Institutions financières fédérales Objet : Conseils sur l autoévaluation en matière de cybersécurité Les cyberattaques sont de plus en plus
Plus en détailDes capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale
CYBERSÉCURITÉ Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale Delivering Transformation. Together. Sopra Steria, leader européen de la transformation
Plus en détailCYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.
CYBERSÉCURITÉ Des capacités globales de cybersécurité pour une transformation numérique en toute confiance Delivering Transformation. Together. Sopra Steria, leader européen de la transformation numérique,
Plus en détail5 novembre 2013. Cloud, Big Data et sécurité Conseils et solutions
5 novembre 2013 Cloud, Big Data et sécurité Conseils et solutions Agenda 1. Enjeux sécurité du Cloud et du Big Data 2. Accompagner les projets 3. Quelques solutions innovantes 4. Quelle posture pour les
Plus en détailSûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle
Sûreté de fonctionnement Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sommaire Evolution des réseaux industriels et conséquences Modèle de prévention selon
Plus en détailTRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.
TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé Shadow IT, la menace fantôme Une tendance irréversible mais pas dénuée de risques. Par Sébastien Faivre Chief Marketing Officer de Brainwave Shadow IT, la menace
Plus en détailLIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités
Mise en œuvre d un programme efficace de gestion des vulnérabilités Sommaire Les défis de la gestion des vulnérabilités 3 Identification des principales faiblesses 3 Développement d un programme efficace
Plus en détailLA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES
LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES DÉFINIR UNE POLITIQUE INTERNE DE SÉCURITÉ RELATIVE À L INFORMATION STRATÉGIQUE DE VOTRE ENTREPRISE Vous n avez pas effectué de diagnostic interne
Plus en détailGestion Wifi professionnelle centralisée
Gestion centralisée : Votre réseau dans le Cloud simplement La solution de gestion centralisée est une plateforme dans le Cloud conçue pour les PME. Elle permet de gérer facilement les fonctionnalités
Plus en détailLes cyber risques sont-ils assurables?
Les cyber risques sont-ils assurables? Cyril Nalpas Master Management du Risque Institut Léonard de Vinci cyril.nalpas@gmail.com Les cyber risques sont-ils assurables? Quelles sont les questions que peuvent/doivent
Plus en détailE-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg
E-réputation : protection des données en ligne Ghislain NYAMFIT Consultant en Cybersécurité @nyamfitg CONTEXTE La cybersécurité est un facteur de productivité, de compétitivité et donc de croissance pour
Plus en détailManagement de la sécurité des technologies de l information
Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure
Plus en détailSurveillance de réseau : un élément indispensable de la sécurité informatique
Surveillance de réseau : un élément indispensable de la sécurité informatique Livre Blanc Auteur : Daniel Zobel, Responsable Developpement Logiciel, Paessler AG Publication : juillet 2013 PAGE 1 SUR 8
Plus en détailAttaques ciblées : quelles évolutions dans la gestion de la crise?
3 avril 2012 Attaques ciblées : quelles évolutions dans la gestion de la crise? Une nécessaire refonte des fondamentaux Gérôme BILLOIS gerome.billois@solucom.fr Twitter: @gbillois Frédéric CHOLLET frederic.chollet@solucom.fr
Plus en détailGestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?
Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies? gil.delille@forum-des-competences.org Agenda Les enjeux liés aux systèmes d information
Plus en détailMaximiser la performance de vos projets immobiliers de bureaux
Maximiser la performance de vos projets immobiliers de bureaux Concilier la performance économique et la performance d usage du bâtiment L équation économique de vos projets doit être optimisée sur la
Plus en détailClub Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013
Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes 03 Décembre 2013 2 HIDD Harmonisation des Infrastructures Système Informatique Industrielle et de Gestion Etude
Plus en détailSécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique
Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique
Plus en détailFiches micro-informatique SECURITE LOGIQUE LOGIxx
Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné
Plus en détailLe Centre canadien de réponse aux incidents cybernétiques (CCRIC)
Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) Mai 2014 Stratégie de cybersécurité du Canada Depuis la publication de la Stratégie de cybersécurité du Canada en 2010, Sécurité publique
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détailNOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET
Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale
Plus en détailL assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France
L assurance et le risque Data Clusir 25 avril 2012 Lyon François Brisson - Hiscox France 1 En quoi consiste une violation de données pour un assureur? «Une violation des données est un incident de sécurité
Plus en détailVIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ
VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1
Plus en détailProtection des infrastructures critiques vitales contre les cyber-attaques. Vers une culture de sécurité
Protection des infrastructures critiques vitales contre les cyber-attaques Vers une culture de sécurité 1 Le constat Les moyens informatiques et les réseaux ont envahi nos sociétés modernes, géantes et
Plus en détailla sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information
la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,
Plus en détailOrange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco
De l utilisation de la supervision de sécurité en Cyber-Defense? Orange Business Services Direction de la sécurité JSSI 2011 Stéphane Sciacco 1 Groupe France Télécom Sommaire Introduction Organisation
Plus en détailIntégrer l assurance dans la gestion des risques liés à la sécurité des données
Intégrer l assurance dans la gestion des risques liés à la sécurité des données François Brisson, responsable marché Technologie-Media-Télécoms 48 ème plénière MEDINSOFT - Marseille 27 novembre 2012 1
Plus en détailNotre industrie : le SERVICE
Notre industrie : le SERVICE LES METIERS DE SYLOB Depuis sa création en 1991, la SSII SYLOB exerce le double métier d éditeur et d intégrateur de solutions de gestion industrielle. C est ce choix, assumé
Plus en détailSÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE
PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l
Plus en détailRecommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing
Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés
Plus en détailArticle 2 : Conseils et meilleures pratiques pour gérer un cloud privé
Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé Sponsored by Mentions relatives aux droits d'auteur 2011 Realtime Publishers. Tous droits réservés. Ce site contient des supports
Plus en détailFiche Technique. Cisco Security Agent
Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit
Plus en détailSurveillance stratégique des programmes malveillants avec Nessus, PVS et LCE
Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE 19 mars 2013 (Révision 3) Sommaire Présentation 3 Nessus 3 Détection des programmes malveillants... 3 Détection des réseaux
Plus en détailA propos de la sécurité des environnements virtuels
A propos de la sécurité des environnements virtuels Serge RICHARD - CISSP (IBM Security Systems) serge.richard@fr.ibm.com La virtualisation, de quoi parlons nous «Virtualiser» un objet informatique, ou
Plus en détailLa prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA
TRITON AP-DATA Mettez un terme au vol et à la perte de données, respectez les exigences de conformité et préservez votre marque, votre réputation et votre propriété intellectuelle. Entre une réputation
Plus en détailL hygiène informatique en entreprise Quelques recommandations simples
L hygiène informatique en entreprise Quelques recommandations simples Avant-propos à destination des décideurs Les formidables développements de l informatique et d Internet ont révolutionné nos manières
Plus en détailGouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014
Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs
Plus en détailLa conformité et la sécurité des opérations financières
La conformité et la sécurité des opérations financières Au service de vos systèmes d information critiques www.thalesgroup.com/security-services Des services financiers plus sûrs, même dans les passes
Plus en détailla conformité LES PRINCIPES D ACTION
La fonction Conformité au sein de BNP Paribas La fonction Conformité a été créée en décembre 2004, en anticipation de nouvelles dispositions du règlement 97-02 sur le contrôle interne des établissements
Plus en détaille paradoxe de l Opérateur mondial
HCFDC Internet, cyberdéfense et cybersécurité Enjeux et réponses le paradoxe de l Opérateur mondial Francis BRUCKMANN Directeur adjoint de la Sécurité Groupe ORANGE Diffusion libre Haut Comité Français
Plus en détailFirewall IDS Architecture. Assurer le contrôle des connexions au. nicolas.hernandez@univ-nantes.fr Sécurité 1
Sécurité Firewall IDS Architecture sécurisée d un réseau Assurer le contrôle des connexions au réseau nicolas.hernandez@univ-nantes.fr Sécurité 1 Sommaire général Mise en oeuvre d une politique de sécurité
Plus en détailLa sécurité des systèmes d information
Ntic consultant contact@ntic-consultant.fr 02 98 89 04 89 www.ntic-consultant.fr La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence
Plus en détailF actorycast Gateway ETG 1000 / 1010 Une offre simple et économique
P a sserelles Web intelligentes F actorycast Gateway ETG 1000 / 1010 Une offre simple et économique Passerelle ou portail Web, les modules ETG 1000 /1010 vous offrent de multiples fonctionnalités pour
Plus en détailIndicateur et tableau de bord
Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72
Plus en détailLes Infrastructures critiques face au risque cybernétique. Par M. Ahmed Ghazali Président de la Haute Autorité de la Communication Audiovisuelle
Les Infrastructures critiques face au risque cybernétique. Par M. Ahmed Ghazali Président de la Haute Autorité de la Communication Audiovisuelle Introduction I. Cyber sécurité 1) Systèmes d information
Plus en détailSECURISEZ ANTIVIRUS LISTE BLANCHE FIREWALL PROTECTION USB LECTEUR BADGES RFID SIEM DATADIODE VOS SYSTÈMES DE CONTRÔLE INDUSTRIELS (ICS)
SECURISEZ VOS SYSTÈMES DE CONTRÔLE INDUSTRIELS (ICS) ANTIVIRUS LISTE BLANCHE FIREWALL PROTECTION USB LECTEUR BADGES RFID SIEM DATADIODE EXPERIENCE INDUSTRIELLE ET SCADA Plus que jamais, les systèmes de
Plus en détailNote technique. Recommandations de sécurité relatives aux ordiphones
DAT-NT-010/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, le 19 juin 2013 de la défense et de la sécurité nationale N o DAT-NT-010/ANSSI/SDE/NP Agence nationale de la sécurité Nombre
Plus en détailIBM Lotus Notes 7 Membre de la famille IBM Workplace
Intensifiez la productivité des utilisateurs avec un logiciel de messagerie et de collaboration conçu pour l entreprise IBM Lotus Notes 7 Membre de la famille IBM Workplace Points forts Maximise la réactivité
Plus en détailSurveillance de production Système de surveillance de production (FMS)
Surveillance de production Système de surveillance de production (FMS) Surveillance des particules pour une fabrication pharmaceutique conforme à la norme ISO 21501 Et maintenant... A partir de maintenant
Plus en détailSymphony Plus Engineering S+ : Composer Melody
Symphony Plus Engineering S+ : Composer Melody Symphony Plus Engineering S+ : Composer Melody Caractéristiques et avantages Un environnement d ingénierie performant Profi tez des interfaces utilisateur
Plus en détailRisques liés aux systèmes informatiques et de télécommunications
Risques liés aux systèmes informatiques et de télécommunications (Juillet 1989) La vitesse de l innovation technologique liée aux ordinateurs et aux télécommunications, ces dernières années, et l intégration
Plus en détailProcessus d Informatisation
Processus d Informatisation Cheminement de la naissance d un projet jusqu à son terme, deux grandes étapes : Recherche ou étude de faisabilité (en amont) L utilisateur a une idée (plus ou moins) floue
Plus en détailCHARTE INFORMATIQUE LGL
CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification
Plus en détailRemplacement du système de contrôle d accès de l Enssat
Remplacement du système de contrôle d accès de l Enssat Cahier des Clauses Techniques Particulières (CCTP) Dossier 0955 W ENSSAT 17 juin 2009 Page 1/8 Table des matières I. Présentation de l environnement...
Plus en détailJedox rafraîchit les rapports du fabricant de boissons MBG
Jedox rafraîchit les rapports du fabricant de boissons MBG «Nous pouvons désormais réaliser plus efficacement notre reporting et la planifi cation de nos ventes grâce à Jedox, et avons même soif de plus
Plus en détailGuide pratique spécifique pour la mise en place d un accès Wifi
MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S)- Mai 2014 - V1.0
Plus en détailPrestations d audit et de conseil 2015
M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations
Plus en détailLivre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés
Livre blanc La sécurité de nouvelle génération pour les datacenters virtualisés Introduction Ces dernières années, la virtualisation est devenue progressivement un élément stratégique clé pour le secteur
Plus en détailVirtual Data Center d Interoute. Prenez la main sur votre Cloud.
Virtual Data Center d Interoute. Prenez la main sur votre Cloud. Faites évoluer vos ressources informatiques à la demande Choisissez la localisation d hébergement de vos données en Europe Le réseau européen
Plus en détail3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde
3 minutes pour tout savoir sur la cybersécurité mobile, network & cloud maîtrisez vos risques dans le cybermonde avec Orange Consulting 1 estimez la menace évaluez vos vulnérabilités maîtrisez vos risques
Plus en détailTraçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés
Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés 1. Définition et implications de la traçabilité en droit 2. La protection des données personnelles 3. La responsabilité
Plus en détailCahier des Clauses Techniques Particulières
COMMUNE DE CHATEAUFORT Marché de services pour le suivi de l environnement Informatique Systèmes et Réseaux Procédure adaptée en vertu des dispositions de l article 28 du Code des Marchés Publics Cahier
Plus en détailSolutions McAfee pour la sécurité des serveurs
Solutions pour la sécurité des serveurs Sécurisez les charges de travail des serveurs avec une incidence minime sur les performances et toute l'efficacité d'une gestion intégrée. Imaginez que vous ayez
Plus en détailFace aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012
Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Sommaire 1 L évolution des menaces 2 L évolution du SMSI
Plus en détailStratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants
Dossier à l attention des dirigeants Centres d évaluation de la technologie inc. Le cloud computing : vue d ensemble Les sociétés de services du monde entier travaillent dans un environnement en pleine
Plus en détailPlan d action 2010-2015 de la Stratégie de cybersécurité du Canada
Plan d action -2015 de la Stratégie de cybersécurité du Canada Sa Majesté la Reine du Chef du Canada, 2013 No de cat. : PS9-1/2013F-PDF ISBN : 978-0-660-20521-2 ii Introduction La technologie de l information
Plus en détailInfostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données
Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Integrated Security Engineering (ISE) La sécurité au cœur de vos projets et systèmes
Plus en détail10 bonnes pratiques de sécurité dans Microsoft SharePoint
10 bonnes pratiques de sécurité dans Microsoft SharePoint SharePoint constitue certes un outil collaboratif précieux. Mais gare aux risques pour votre entreprise. 10 bonnes pratiques de sécurité dans Microsoft
Plus en détailMeilleures pratiques de l authentification:
Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données
Plus en détailWHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace
Quatre indices pour identifier une intégration ERP inefficace 1 Table of Contents 3 Manque de centralisation 4 Manque de données en temps réel 6 Implémentations fastidieuses et manquant de souplesse 7
Plus en détail<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts
La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts Christophe Bonenfant Cyril Gollain La GRC en période de croissance Gouvernance Gestion
Plus en détailMenaces du Cyber Espace
Menaces du Cyber Espace Conférence 02-04-2014 David WARNENT Police Judiciaire Fédérale Namur Regional Computer Crime Unit Faits Divers Tendances Social Engineering Hacktivisme Anonymous et assimilés Extorsions
Plus en détailCloud Computing et SaaS
Cloud Computing et SaaS On a vu fleurir ces derniers temps un grands nombre de sigles. L un des premiers est SaaS, Software as a Service, sur lequel nous aurons l occasion de revenir. Mais il y en a beaucoup
Plus en détailCréer un tableau de bord SSI
Session n 16 Créer un tableau de bord SSI en 4 fois sans frais Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com Patrick CHAMBET Bouygues Telecom http://www.chambet.com
Plus en détailManaged VirusScan et renforce ses services
VirusScan ASaP devient Managed VirusScan et renforce ses services Protection antivirus administrée, automatique et permanente pour les postes de travail, les nomades et les serveurs de fichiers. Avec la
Plus en détailSupplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de
Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008
Plus en détailde la DSI aujourd hui
de la DSI aujourd hui Partout, l industrialisation de l IT est en cours. ITS Group accompagne ce mouvement avec une palette de compétences exhaustives permettant de répondre aux principaux challenges que
Plus en détailLa sécurité de l'information
Stéphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca Table des matières Introduction 2 Quelques statistiques 3 Sécurité de l information Définition 4 Bref historique de la sécurité 4 La sécurité un processus
Plus en détailCours n 12. Technologies WAN 2nd partie
Cours n 12 Technologies WAN 2nd partie 1 Sommaire Aperçu des technologies WAN Technologies WAN Conception d un WAN 2 Lignes Louées Lorsque des connexions dédiées permanentes sont nécessaires, des lignes
Plus en détailECM ENTERPRISE CONTENT MANAGEMENT POUR
ECM ENTERPRISE CONTENT MANAGEMENT POUR L ENTREPRISE SANS PAPIER OU PRESQUE La collaboration au sein d une organisation passe par le partage de l information. Si pour vous, fi abiliser votre gestion documentaire
Plus en détailRSA ADAPTIVE AUTHENTICATION
RSA ADAPTIVE AUTHENTICATION Plate-forme complète d authentification et de détection des fraudes D UN COUP D ŒIL Mesure du risque associé aux activités de connexion et de postconnexion via l évaluation
Plus en détailLa sécurité IT - Une précaution vitale pour votre entreprise
Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien
Plus en détailL Agence nationale de la sécurité des systèmes d information
L Agence nationale de la sécurité des systèmes d information http://www.ssi.gouv.fr http://www.certa.ssi.gouv.fr http://www.securite-informatique.gouv.fr Vendredi 5 juin 2015 OZSSI sud C'est le relais
Plus en détailSymantec Endpoint Protection 12.1.5 Fiche technique
Symantec Endpoint Protection 12.1.5 Fiche technique Fiche technique : Sécurité des terminaux Présentation Outre les attaques massives à grande échelle qu ils perpétuent, les logiciels malveillants ont
Plus en détailIBM Tivoli Compliance Insight Manager
Simplifier les audits sur la sécurité et surveiller les activités des utilisateurs privilégiés au moyen d un tableau de bord permettant de contrôler la conformité aux exigences de sécurité IBM Points forts
Plus en détailPanorama général des normes et outils d audit. François VERGEZ AFAI
Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,
Plus en détailSécurisation d un site nucléaire
Sécurisation d un site nucléaire Club automation 03 décembre 2013 Application du concept de défense en profondeur Laurent RAILLIER Un site nucléaire existant Base installée Schneider Electric importante
Plus en détailUne offre globale pour les datacenters. Siemens France. www.siemens.fr
Une offre globale pour les datacenters Siemens France www.siemens.fr Le défi majeur d un datacenter : garantir la disponibilité de de l équipement 24/7 100 % 84 % des datacenters rencontrent des problèmes
Plus en détailLe contrat Cloud : plus simple et plus dangereux
11 février 2010 CONFERENCE IDC CLOUD COMPUTING Le Cloud dans tous ses états Le contrat Cloud : plus simple et plus dangereux Les bons réflexes pour entrer dans un contrat Cloud en toute sécurité Benjamin
Plus en détailCahier des charges pour la mise en place de l infrastructure informatique
1 COMMUNE DE PLOBSHEIM Cahier des charges pour la mise en place de l infrastructure informatique Rédaction Version 2 : 27 /05/2014 Contact : Mairie de PLOBSHEIM M. Guy HECTOR 67115 PLOBSHEIM dgs.plobsheim@evc.net
Plus en détail