LPM et sécurisation des SI industriels Retour d expérience d un intégrateur ENGIE Ineo

Transcription

1 LPM et sécurisation des SI industriels Retour d expérience d un intégrateur ENGIE Ineo

2 Historique 1958 Ordonnance n Ordonnance n Décret n Livre blanc Notion d OIV Code de la défense Création des SAIV Menaces informatiques Juillet 2016 Premiers arrêtés sectoriels 2013 LPM Cyber-protection des OIV 2013 Livre blanc Menaces informatiques menaces de 1 ere importance 2009 Création de l ANSSI 2014 Guides protection ICS 2

3 Conséquence La protection contre les cybermenaces pour les OIV est une problématique très récente Le secteur industriel est peu sensibilisé à la SSI Les différents acteurs devant intervenir doivent encore progresser 3

4 INTERVENANTS El-Yamani Hamedi, RSSI, INEO Cyber Securite Loïc Mouezy, Resp. Projet, INEO Atlantique Mathieu Hernandez, Architecte SSI, INEO Cyber Securite 4

5 ENGIE INEO Ville & territoires Tertiaire Industrie Infrastructures de transport Infrastructures de télécommunications Services / maintenance Défense & sécurité Infrastructures d énergie 5

6 ENGIE INEO Notre retour d expérience s appuie sur les projets impliquant : GTB / GTC GTE Smart GRID Contrôle d accès Vidéo protection 6

7 AGENDA But : Réaliser un SI conforme aux exigences / homologable restant exploitable pour le métier Un accompagnement des clients De nouvelles méthodes de travail pour l intégrateur Un écosystème en développement 7

8 Un accompagnement des clients Une organisation de la SSI parfois précaire RSSI parfois non formé ou non présent Une chaîne de responsabilité défaillante Une PSSI souvent inachevée Absence de processus liés à la SSI et aux SIIV Défaut de gestion des incidents / de crise Absence de processus d homologation 8

9 Un accompagnement des clients Une SSI non prise en compte AVANT la venue de l intégrateur Analyse de risque du projet ou du SIIV Définition des objectifs de sécurité non présente dans le contrat Absence de prise en compte de la sécurité de façon globale Des correspondants non sensibilisés à la maitrise des risques Identification des informations sensibles non réalisée Difficulté pour segmenter le système 9

10 Un accompagnement des clients Les coûts supplémentaires engendrés par la SSI Incapacité à estimer le coût que peut avoir la sécurité sur un système d information Coûts directs Mesures de sécurité à appliquer sur le système Mise en place d une plateforme de test Coûts indirects Mise en place de l organisation adéquate Mise en conformité des locaux Recrutement / formation 10

11 Un accompagnement des clients Comment aider le client? Nécessite que l intégrateur soit en capacité d accompagner le client : Sensibiliser Guider 11

12 De nouvelles méthodes de travail Une prise en compte de la sécurité par l intégrateur Le secteur industriel est un secteur en mutation Nécessite : Une formation et sensibilisation de tous les intervenants Une mise en place de SI de niveau sensible Une mise à niveau des infrastructures matérielles Une organisation SSI à mettre en place 12

13 De nouvelles méthodes de travail De nouvelles démarches de développement Rédaction d un PAS / Dossier d homologation Intégration de procédures d administration Développement sécurisé Durcissement des configurations et intégration du concept de défense en profondeur Prise en compte du MCS Prise en compte de la sécurité de façon globale 13

14 De nouvelles méthodes de travail Une nouvelle méthode de télégestion Conformité à l état de l art Télégestion à distance limitée Contextualisation des clients et des systèmes Utilisation de matériels dédiés pouvant rester chez le client Traçabilité des interventions Mesures de sécurité impopulaires pour la sous-traitance 14

15 De nouvelles méthodes de travail Une mise en conformité de l intégrateur Volonté / conviction de la hiérarchie Capacité d anticiper les besoins Investissement conséquent pour l intégrateur Etablissement d une relation de confiance Prise en compte de la sécurité dans les contrats de soustraitance La sécurité au service du métier 15

16 De nouvelles méthodes de travail Etapes d un projet ICS Analyse Fonctionnelle Etude Schématique Développement Essai Plateforme Intégration sur site / Mise en service Test / Recette Besoins de sécurité Formation Analyse de risques / Classification Mise en place de mesures de sécurité Mise en place de produits de confiance Intégration par des prestataires de confiance MCS Livraison / Réception 16

17 De nouvelles méthodes de travail Les conséquences de l intégration de la sécurité dans les projets ICS : Documentations Plan de sauvegarde Coût de revient Contrôle des flux Organisation interne / projet Journalisation des évènements Durcissement des architectures 17

18 Un écosystème en développement Des équipements répondant aux exigences Equipements labélisés / certifiés Matériels implémentant des mécanismes de sécurité Qui soient compatibles entre eux dans un milieu hétérogène Equipements en place ne répondant pas aux normes de sécurité Evolution vers l usine

19 Un écosystème en développement Des méthodes à adapter Analyse de risques Architectures sécurisées Implémentation de la sécurité dans les processus industriels Secure coding 19

20 Pour conclure Un écosystème qui évolue positivement : Clients Prestataires Equipementier Des guides de l ANSSI pour aider les intégrateurs Un référentiel : Exigences de cybersécurité pour les prestataires d intégration et de maintenance de systèmes industriels 20

21 Pour conclure Evolution dans le temps de la sécurité appliquée à un système industriel Cas des SI industriels traitant de données sensibles L intégrateur doit encore travailler à l optimisation des coûts liés à l intégration de la sécurité dans un SI industriel 21

22 Questions Merci pour votre écoute!!! 22