France. L évolution des normes et des modèles. Jean-Pierre HAUET Président ISA-France Rédacteur en chef de la REE

Transcription

1 France L évolution des normes et des modèles Standards Certification Education & Training Publishing Conferences & Exhibits Jean-Pierre HAUET Président ISA-France Rédacteur en chef de la REE Symposium sur la cybersécurité des réseaux intelligents Rennes 25 novembre 2016

2 Réaliser et exploiter un REI implique des choix difficiles S assurer de la qualité des intervenants (conception, fourniture de produits et services ) Valider l architecture S assurer de la qualité des produits/systèmes Valider l intégration du système Organiser l exploitation et la maintenance Un système de gestion de la cybersécurité (CSMS) est nécessaire Un tel système doit s appuyer sur un référentiel normatif permettant de : Introduire de la «rationalité» dans un domaine subjectif Etre davantage certain de ne rien oublier (complétude) Etre homogène dans les évaluations Traiter les problèmes de façon économiquement raisonnable

3 Le bilan dressé par le Livre blanc de la cybersécurité des REI (SEE) Situation début 2016 Travaux européens Réglementations et normes internationales Réglementations françaises Certifications

4 Les travaux européens Menés dans le cadre de l ENISA et du «Smart Grid Coordination Group» CEN-CENELEC-ETSI Trois rapports essentiels : Rapport «Smart Grid Threat Landscape and Good Practice Guide» de l ENISA ; Rapport «Proposal for a list of security measures for smart grids» de l ENISA et de l Expert Group 2 (EG2) de la Smart Grid Task Force de la Commission européenne Rapport «Smart Grid Information Security» du Groupe de travail «Smart Grid Coordination Group (SG-CG/SGIS)» des CEN-CENELEC- ETSI Ces rapports s appuient sur la méthodologie définie par la mission M/490 confiée aux CEN-CENELEC-ETSI «SG-CG/M490/F Overview of SG-CG Methodologies» et notamment sur le modèle SGAM : Smart Grid Architecture Model Rapports spécifiques sur le smart metering (CEN-CENELEC-ETSI Smart Meters Coordination Group Mandat M/441)

5 Le modèle SGAM (1) Modèle générique de description des réseaux électriques intelligents Langage commun utilisable par tous les travaux sur les REI, en particulier ceux relatifs à la cybersécurité Fondé sur la notion de «Smart grid Plane»

6 Le modèle SGAM: les cinq niveaux d interopérabilité Component Communication Information Function Business

7 Le rapport «Smart grid Information Security» Propose d évaluer la sécurité sur cinq niveaux Niveau Désignation Critères au regard de la stabilité du réseau européen 1 Très critique Perte possible de plus de 10 GW Incident pan-européen 2 Critique Perte possible de 1 à 10 GW Incident national ou européen 3 Elevé Perte possible de 100 MW à 1 GW Incident régional ou national 4 Moyen Perte possible de 1 MW à 100 MW Incident urbain ou régional 5 Faible Perte possible de moins de 1 MW Incident local ou urbain Positionne les mesures du rapport «Proposal for a list of security measures» sur l architecture SGAM Préconise une approche («framework») pour définir, pour un cas d usage donné : Les niveaux de sécurité à retenir Les normes pertinentes Les mesures à mettre en œuvre

8 La normalisation internationale : les normes ISO/IEC ISO/IEC : Management de la sécurité de l'information ISO/IEC 27002:2013 : Code de bonne pratique pour le management de la sécurité de l'information ISO/IEC 27003:2010 : Lignes directrices pour la mise en œuvre du système de management de la sécurité de l'information ISO/IEC 27004:2009 : Management de la sécurité de l'information Mesurage ISO/IEC 27005:2011 : Gestion des risques liés à la sécurité de l'information ISO/IEC TR27019:2013 : Lignes directrices de management de la sécurité de l'information fondées sur l'iso/iec pour les systèmes de contrôle des procédés spécifiques à l'industrie de l'énergie

9 La norme IEC (ex ISA-99) Norme applicable aux IACS (Industrial Automation and Control Systems) y compris scadas et réseaux électriques Norme répartie en 13 documents distinguant 4 niveaux de standardisation 1. General 2. Policies & procedures 3. System 4. Components Reprend ISO et dans le nouveau standard -2-1 Propose un ensemble de critères techniques pour évaluer le niveau de sécurité offert par un système ou un composant (standards -3-3 et 4-2)

10 Structure de la norme IEC 62443

11 Une norme adaptée aux différents types d intervenants Onsite / site specific Industrial Automation and Control System (IACS) Asset Owner Service Provider operates and maintains Operational policies and procedures Maintenance policies and procedures System Integrator designs and deploys Basic Process Control System (BPCS) Automation solution Safety Instrumented System (SIS) Complementary Hardware and Software Offsite Product Supplier develops control systems develops components is the base for Control System as a combination of components Embedded devices Network components Host devices Applications

12 Architecture REI avec zones, conduits et niveaux de sécurité Source: Alstom Grid

13 Autres normes internationales Sécurisation des communications IEC à 13 : Power systems management and associated information exchange - Data and communications security. Audessus des protocoles IEC 61850, IEC , IEC 61968, IEC 61970) IEC : série de standards visant à assurer la sécurité des échanges de données dans les compteurs communicants Issue de la spécification DLMS (Device Language Message Specification) et du COSEM (Companion Specification for Energy Metering) IEC 62541: plate-forme d échange client/serveur OPC-UA (recommandée par Industrie 4,0) normalisant les services et les formats d échange sécurisé de données Compatible avec de nombreux protocoles (IEC 61850)

14 Normes aux Etats-Unis NIST (National Institute of Standards and Technology) Framework for Improving Critical Infrastructure Cybersecurity (février 2014) NISTIR 7628 rev 1 (2014) : Guidelines for Smart Grid Cybersecurity (oct 2014) NERC (North American Electric reliability Corporation) CIP standards (Critical Infrastructure Protection) La NERC a designee par la FERC comme Energy Regulatory Office (REO). Le respect des CIP 2 à 11 est obligatoire pour les réseaux de transport américains.

15 Les standards CIP CIP-002 BES Cyber System Categorization CIP-003 Security Management Controls CIP-004 Personnel and Training CIP-005 Electronic Security Perimeter(s) CIP-006 Physical Security of BES Cyber Systems CIP-007 System Security Management CIP-008 Incident Reporting and Response Planning CIP-009 Recovery Plans for BES Cyber Systems CIP-010 Configuration Change Management and Vulnerability Assessments CIP-011 Information Protection 15

16 En France Rapports et guides de l ANSSI Maîtriser la SSI pour les systèmes industriels (2012) Cas pratique (2012) Méthode de classification et mesures principales (2014) Mesures détaillées (2014) Réglementation OIV Article 22 de la loi de programmation militaire du 18 décembre 2013 Décrets du 27 mars 2015 et arrêtés Compteurs Arrêté du 4 janvier 2012 : conformité à un référentiel de sécurité Protection des données personnelles Pack de conformité CNIL-FIEEC

17 Les certifications Encore limitée dans le domaine des REI et de la cybersécurité Certifications de produits/systèmes Certifications d acteurs (fournisseurs de produits/systèmes, fournisseurs de service) Toutes les normes ne donnent pas lieu à certification Au niveau international ISO : Management de la sécurité de l information ISO/IEC : Critères d évaluation pour la sécurité (critères communs ISO/IEC : Security requirements for cryptographic modules IEC : Certifications Achilles (IEC ) ISA-Secure (IEC , 4-1, 4-2)

18 Certifications ISA Secure IEC IEC IEC Systèmes de contrôle (en tant que «produits») Processus de développement (Produits et systèmes) Composants (contrôleurs, RTUs, systèmes de supervision, capteurs intelligents.) Logiciels d application SSA (System Security Assurance) et SDLA (Security Development Life cycle) SDLA (Security Development Life cycle) EDSA (Embedded Device Security Assurance) En cours de développement Laboratoires d évaluation accrédités ISO/IEC aux USA, au Japon et en Allemagne En cours au Danemark, en Chine et en Grande-Bretagne.

19 Certifications européennes Pas d approche harmonisée (sauf accords SOG-IS sur critères communs ) Seuls quelques Etats (Allemagne, Grande-Bretagne, Pays-Bas, France) ont développé des exigences spécifiques aux REI Rapport de l ENISA publié en décembre 2014 : Smart grid security certification in Europe Challenges and recommendations jetant les bases d une politique de certification commune En France Politique de certification de l ANSSI Certification de sécurité de premier niveau (orientée tests d intrusion) Evaluation selon les Critères communs (Evaluation Assurance Level 1 à 7) Certification des compteurs communicants (arrêté de janvier 2012) Certification d autres composants (IED, disjoncteurs, contrôleurs) : en cours Qualification des produits de sécurité et des prestataires de services de confiance, au sens LPM et décret du 27 mars 2015 (OIV)

20 France Merci de votre attention Standards Certification Education & Training Publishing Conferences & Exhibits Symposium sur la cybersécurité des réseaux intelligents Rennes 25 novembre 2016