Assises de l embarqué 28 OCTOBRE 2013

Transcription

1 Assises de l embarqué 28 OCTOBRE 2013

2 2 / Des défis à venir Les mutations continuelles de la cyber menace augmentent l impact des cyber attaques La gestion de crise et l impérative résilience des métiers dans un monde complexe en interconnexion croissante

3 3 / Contexte de la cyber défense dans l embarqué Les 3 axes contraignants de l embarqué Facteur de forme ( espace disponible) Consommation Contraintes du temps réel La preuve de la confiance (i.e. sureté du fonctionnement) Périmètre global (interactions) Résilience des fonctions critiques Test et certification du HW au SW Positionnement de la cyber défense dans ce contexte Convergences : (attaques sur l embarqué, technologies ouvertes, interconnexions) Complémentarités : le meilleur des deux mondes Conflits : culture, surcoûts, non-déterminisme des attaques Thales Communications & Security

4 4 / Objectifs Dans ce contexte PF HW avec fonctions SW (calculateur) => cible safety donnée Tout perturbateur est malvenu! Aléatoire traité par la safety (pannes, redondances d architecture de technologie ) Intentionnel à traiter par la security (security for safety) Contraintes du temps réel Des améliorations à rechercher Analyse de risque: Adapter, rapidement et de façon pragmatique, l analyse des menaces de l embarqué à l approche security (EBIOS) Optimiser le surcoût «security» dans le cadre de la certification (maintien en condition de sécurité : MCS) Réflexion des axes de correction pour les fonctions exposées : Conception de l architecture en mesure de résister (f. critiques) sous stress d attaques informatiques Patches (f. critiques) Thales Communications & Security

5 5 / Convergences Phases IT Embarqué 1 Démarche réglementaire : classification étude de risques. Gestion des vulnérabilités résiduelles/ homologation régulière (critères de remise en cause) Démarche réglementaire : axée sur la safety Pas de remise en cause hors panne Faible connectivité 2 SSI complétée par cyberdéfense (Fonctions complémentaires & interactions) Approche résilience (fonctions & ressources critiques) Référentiel des confiance : produits évalués/certifiés 3 Evolution rapide et tous azimuts de la menace (SCADA, armes,..) Postulat : le système est attaqué en permanence > Critères de conception et de soutien (MCS) intégré Evolution de la réglementation : security for safety (ED 202/203) Evaluation des risques Intégration dans l architecture (angle de non-perturbation safety) Recours majoritaire aux COTS Analyses de risques/pentest (dde autorités) Evolution technique : Même problématique, mais prise en compte concepts de cyber-résilience (conception & MCS) au domaine fonctionnel de l embarqué (achat de temps distinct) SESAR Perception de l accélération de la menace Résilience sous contraintes Thales Communications & Security

6 6 / Pistes pour la security dans l embarqué REGLEMENTATION + analyse de risque pragmatique Acheter du TEMPS (1 er ) donc recours aux méthodologies existantes Adapter à la marge pour les spécificités des métiers de l embarqué Adapter les process et faire travailler des binômes cyber-défense / métiers Poursuivre les avancées de la réglementation (ED 202/203) aux limites structurelles près du déterminisme de la safety vs security ARCHITECTURE Résilience fondée sur selon une analyse de risque (objectifs et menaces) (2 ème temps) Paramètres HW (safety +) : OS cloisonnant temporel et spatial Maîtrise de l accès aux ressources externes achat de CONVERGENCE certification (navigabilité, ) et cyber résilience (conception et soutien) Recours OS «bi-certifiés» ex : DAL A et EAL6+ Tests systématiques au sens cyber des PF critiques (attentes des autorités) Education du marché (clients, fournisseurs) à la cyber résilience selon les enjeux Thales Communications & Sécurité

7 7 / Activité Cyber-Sécurité TCS Une organisation dédiée à la cyber protection & à la cyber défense des systèmes Plus de 1500 personnes spécialisées en SSI Présence mondiale THALES SSI - Janvier 2010

8 8 / Nos prestations Services professionnels Analyse de risques, audits de sécurité, politique de sécurité Conception et architecture de sécurité Programme d évaluation et de certification des produits et des systèmes 1- Expertise cryptographique - études cryptographiques, conception et intégration de composants 2- Expertise cyber protection - conception solutions, intégration, SOP Produits, supports & services Conception de produits de sécurité Production sous contrôle Assistance clients (formation, maintenance, assistance ) Modify or Hide in the header / footer properties : Date

9 9 / Quelques références Défense Sécurité du Système de communication par satellite Syracuse III. Gendarmerie nationale Analyse des risques sécurité et réflexion sur la politique de sécurité SI. INTRACED Intranet sécurisé de la défense. Sécurité des Systèmes de transmissions stratégiques. Ministère des Finances Appui à l AIFE et à la DGFIP en sécurité IT. SELTIC Système de gestion des clés de la défense. Systèmes critiques Crédit Agricole CIB Mise en oeuvre de la sécurité IT. Audits & tests d intrusion depuis BALARD Conception du système de gestion de la sécurité et homologation. GALILEO Sécurité du système de géolocalisation Européen. Mexico Conception, maintien et contrôle de la sécurité IT. THALES SSI - Janvier 2010

10 10 / Conseil Stratégie et gouvernance Analyse et gestion de risques, audits Systèmes de Management de la Sécurité de l'information (SMSI) Contrôle de conformité, certifications & homologations Sensibilisation du personnel Conception & architecture Conception d architectures sécurisées Configuration et déploiement des solutions Sécurité des SI traditionnels Sécurité du Cloud & virtualisation Business Continuity & Resilience Plan de reprise d'activité (PRA) & Plan de Continuité des Activités (PCA) Gestion de crise Tests de pénétration ISO ISO EBIOS Etat des lieux et analyse de risques Politique de sécurité Architecture sécurité Résistance de l architecture Résilience