SECURITE GLOBALE DE SITES SENSIBLES. Comment intégrer la composante cybersécurité dans. Cédric TAVERNIER

Transcription

1 SECURITE GLOBALE DE SITES SENSIBLES Comment intégrer la composante cybersécurité dans 18 MARS 2014 Michel DRAN Cédric TAVERNIER

2 Assystem en bref 2 SECTEURS D ACTIVITES AUTOUR DE L INGENIERIE ASSYSTEM DEVELOPPE DES EXPERTISES EN INGENIERIE DES INFRASTRUCTURES COMPLEXES ET EN R&D EXTERNALISEE A LA POINTE DES BESOINS DE MARCHES DIVERSIFIES AUTOMATION & SURETE ASSYSTEM PROPOSE UN ENSEMBLE DE SOLUTIONS ET SERVICES DANS LES DOMAINES DE LA SECURITE DU CONTRÔLE COMMANDE ET DE L INFORMATIQUE INDUSTRIELLE DEDIES A LA REALISATION ET AU MAINTIEN EN CONDITIONS OPERATIONNELLES DE SYSTEMES CRITIQUES SYSTEMES C/C et Supervision de process Gestion Technique Centralisée Sécurité (Vidéo, contrôle d accès, anti-intrusion, hypervision) Cybersécurité GLOBAL PRODUCT SOLUTIONS CONCEVOIR, TESTER ET VALIDER LES DEVELOPPEMENTS MATERIELS ET LOGICIELS DE PRODUITS ET SYSTEMES DESTINES AUX SECTEURS DE L INDUSTRIE ET DES NOUVELLES TECHNOLOGIES APPORTER LES EXPERTISES MECANIQUES ET TECHNOLOGIQUES DU PREMIER BUREAU D ETUDES EUROPEEN EN AEROSTRUCTURE AU SERVICE DES AVIONNEURS, MOTORISTES ET EQUIPEMENTIERS DU MONDE ENTIER PRESTATIONS Assistance Maitrise d Ouvrage ou Maitrise d Œuvre Management de projets Etudes de conception Définition d architecture système Intégration de Systèmes clé en main (matériel et logiciel) Tests et validation fonctionnelle Essais / Mise en service MCO et TMA COMPLEX INFRASTRUCTURE ENGINEERING ACCOMPAGNER LES ENTREPRISES DANS LA MAITRISE DE LEURS INVESTISSEMENTS INDUSTRIELS DE LA CONCEPTION D INFRASTRUCTURES A LEUR DEMANTELEMENT, EN PASSANT PAR LA MISE EN SERVICE, L EXPLOITATION ET LA MAINTENANCE Chiffres clés SECTEURS C.A. global 2013 : 871,4 M 40% du CA 2013 réalisé à l international Présence dans 19 pays Plus de collaborateurs 2 GLOBAL SECURITY PROCESS 18 MARS 2014 Industrie Infrastructures Administrations Tertiaire Musées Transports

3 Sécurité globale 3 MENACE GLOBALE Criminelle Terroriste Concurrentielle Etatique SECURITE GLOBALE Etat Plans gouvernementaux Doctrine sécuritaire Entreprises Politique de sécurité Individus Sécurité privée GLOBAL SECURITY PROCESS 18 MARS 2014

4 Les OIV Obligations des opérateurs d importance vitale Formation de leurs responsables et leurs directeurs de la sécurité en central et en local. Après une analyse de risques, établissement d un plan de sécurité opérateur prenant en compte les attendus de la directive nationale de sécurité Identification de leurs points d importance vitale qui feront l objet d un plan particulier de protection (PPP) à leur charge et d un plan de protection externe (PPE) à la charge du préfet de département. VIGIPIRATE Directives nationales De sécurité (DNS) Secteur Opérateur Point d importance vitale 4 Traitement de la menace Plans de sécurité Opérateur (PSO) Plans particuliers De protection (PPP) Plans de protection externe (PPE) GLOBAL SECURITY PROCESS 18 MARS 2014 Traitement des risques

5 La sécurité dans une entreprise Sécurité réseau Sécurité physique Sécurité des unités de production SCADA Sécurité physique WAN BYOD Cybersécurité 5 Sécurité des personnels Sécurité transports Sécurité réseaux de distribution GLOBAL SECURITY PROCESS 18 MARS 2014

6 Systèmes et acteurs Cy be Cy be rs éc ur ité SI entreprise RSSI Systèmes de sûreté be y C Cy b té ri u éc s r Directeur H&SE Sûreté SI Systèmes industriels Sécurité personnel er s éc u r ité 6 Directeur Production rs éc ur ité GLOBAL SECURITY PROCESS 18 MARS 2014

7 Analogie des modèles Basé sur le modèle CIM Ethernet - Internet Ethernet - Internet Ethernet - Radio Ethernet - Radio Bus de terrain Ethernet - Radio Bus de terrain Ethernet - Radio SYSTEMES DE SURETE 7 PROCESS SYSTEMES INDUSTRIELS GLOBAL SECURITY PROCESS 18 MARS 2014

8 Principe d architecture de sûreté Moyens de communication Vidéosurveillance Interphone, Visiophone, Radio, PTI Caméras analogiques, IP Analyse d images é Contrôle d'accès ré se a us ûr et Poste Central de Sécurité Hypervision Accès physiques Lecteurs de badges Biométrie Détection d intrusion Barrières Hyper, IR Câbles rayonnants Lasers Fibres optiques concentrateur d'alarmes 8 GLOBAL SECURITY PROCESS 18 MARS 2014

9 Principe d architecture SCADA Conduite Supervision Réseau de communication Contrôle Bus de terrain Procédé 9 GLOBAL SECURITY PROCESS 18 MARS 2014

10 Risques d intrusion Stuxnet Gauss DUQu Flame Ou bien 10 Ou bien GLOBAL SECURITY PROCESS 18 MARS 2014

11 Recommandations de l ANSSI Poursuivre les efforts en matière d hygiène élémentaire de sécurité. L ANSSI a publié un document contenant 40 règles permettant de concrétiser cette hygiène élémentaire dans les entreprises. Savoir dire non : Il est important que les règles édictées pour la sécurité des systèmes d information soient prises en compte sérieusement et contrôlées au sein des organisations. Il faut que les responsables et leurs hiérarchies soient en mesure de ne pas céder à toutes les modes (ex: utilisation des contrôles d accès aux applications, objets communicants personnels). Enfin, le directeur général de l ANSSI a mis en avant la préoccupation principale de l agence aujourd hui : la sécurité des systèmes industriels et il a réaffirmé avec conviction la nécessité de déconnecter ce type de systèmes de l Internet et d explorer d autres modes d interaction entre les systèmes de production et les systèmes de communication classiques. 11 GLOBAL SECURITY PROCESS 18 MARS 2014

12 Politique de sécurité 12 GLOBAL SECURITY PROCESS 18 MARS 2014

13 Les principes de protection Sécurité physique Protection physique Sirènes Eclairage Protection physique Contrôle d accès Déclenchement intervention Détecteurs d intrusion Vidéosurveillance Télésurveillance Obstacles physiques Dissuasion active 13 GLOBAL SECURITY PROCESS 18 MARS 2014 Sécurité informatique PKI IAM Chiffrement (VPN) Pare-feu IDS, IPS Anti-virus Sondes Détection d intrusion Monitoring Analyse de logs (SIEM, SOC)

14 Méthodologie d analyse de risques Technologies 14 Procédures GLOBAL SECURITY PROCESS 18 MARS 2014

15 Approche systémique Sécurité informatique Sécurité physique Pas de méthodologie spécifique mais recommandations gouvernementales ou associations professionnelles (ex CNPP) Approche systémique: Evaluation de l existant Analyse des menaces Analyses des vulnérabilités Définition et mise en place des moyens (équipements terrain, architecture informatique, réseau, logiciels applicatifs, ) Définition de l organisation d exploitation Formation et maintenance Méthodologie d analyse de risques : EBIOS, MEHARI, Normes de sécurité des systèmes d informations : ISO Recommandations ANSSI ou associations professionnelles (ex CLUSIF, CERT, R2GS, ) Approche systémique 15 Evaluation de l existant Définition de la politique de sécurité (management et organisation) Formation et sensibilisation du personnel Définition et mise en place des moyens matériels et logiciels Monitoring GLOBAL SECURITY PROCESS 18 MARS 2014

16 Une démarche saine: une analyse de sécurité EBIOS Risques transférés Objectifs de sécurité Risque SSI (cahier des charges «ouvert») Exigences de sécurité (cahier des charges «fermé») Mesures de sécurité Risques résiduels 16 GLOBAL SECURITY PROCESS 18 MARS 2014

17 Application à une architecture SCADA Zone hors ICS AVANT Client «externe» https, RDP Vulnérable! Serveur Scada Protocole de com. Propre aux PLC PLC 17 Zone ICS PLC GLOBAL SECURITY PROCESS 18 MARS 2014

18 Principe d architecture SCADA sécurisée Zone hors ICS APRES Client «externe» Serveur Scada externe Diode Serveur Scada Réplication des données Protocole de com. Propre aux PLC PLC 18 Zone ICS PLC GLOBAL SECURITY PROCESS 18 MARS 2014

19 Mesures de sécurité des systèmes Sécurisation Hygiène informatique et veille technologique Sécurisation de l environnement informatique : Contrôle d accès logique 19 Filtrage ACL Authentification 802.1x VLAN applicatifs Sécurisation d accès Authentification forte Sécurisation réseaux Chiffrement liaisons Sécurisation réseau Blocage ports USB Annuaires LDAP, stratégies de domaines Technologie de badges sécurisés Biométrie Autoprotection des équipements Traçabilité des équipements (authentification, procédures, ) GLOBAL SECURITY PROCESS 18 MARS 2014

20 Cohérence de la sécurisation des systèmes Niveau de sécurité Disponibilité 20 Redondance fonctionnelle (matérielle et logicielle) Sûreté de fonctionnement Redondance d archivage, Redondance réseau, Redondance de transmission d alarmes (réseau filaire, hertzien, radio, ), Energie secourue (onduleurs, batterie, ), Gestion des modes dégradés Fonctionnement autonome des équipements de niveau 2 Différents niveaux : CSPN, EAL 1 à 7, FIPS,... Cohérence sur tous les maillons de la chaîne Identification du maillon faible Prise en compte de l évolution rapide des menaces Veille permanente nécessaire GLOBAL SECURITY PROCESS 18 MARS 2014

21 Architecture SIEM SCADA Antivirus(alarme) Lo gs Firewall (alarme) Lo gs Diode (alarme) Lo gs SIEM pour infrastructure critique gs Lo IDS/IPS (alarme) Alarme Sûreté (vidéo, contrôle d accès) Logs Logs Firewall applicatif ICS Centre opérationnel des opérations (SOC) 21 GLOBAL SECURITY PROCESS 18 MARS 2014

22 L offre Assystem en matière de sécurité Ingénierie Offres correspondant au cycle de vie projet Domaines d expertise MOE AMO Conseil Conception Intégration de systèmes Tierce recette applicative Essais Mise en service Tierce Maintenance applicative Pérennité Contrôle Commande Sécurisation de site Gestion Technique Centralisée Maintien en Conditions Opérationnelles Cybersécurité Métiers/ Compétences 22 Automatismes, Supervision, MES, Contrôle commande sécuritaire Contrôle d accès, vidéosurveillance, anti-intrusion, interphonie Architecture système, sécurité informatique, réseaux, telecom Développement électronique, développement logiciel Gestion de projets GLOBAL SECURITY PROCESS 18 MARS 2014

23 Merci de votre attention Questions - Réponses 23 GLOBAL SECURITY PROCESS 18 MARS 2014

24 24 GLOBAL SECURITY PROCESS 18 MARS 2014

25