Livre Blanc La sécurité des systèmes d information industriels

Dimension: px
Commencer à balayer dès la page:

Download "Livre Blanc La sécurité des systèmes d information industriels"

Transcription

1 Livre Blanc La sécurité des systèmes d information industriels

2 Le livre blanc de la sécurité des systèmes d information industriels

3 Avant-propos Le présent document est la propriété d EURIWARE et ne peut être utilisé que dans le seul but pour lequel il a été transmis. Il ne peut en aucun cas être utilisé ou copié, partiellement ou en totalité, dans quelque document que ce soit, sans l accord préalable et écrit d EURIWARE. Il peut naturellement être communiqué, en version papier ou électronique, à toute personne qui pourrait en avoir l usage, avec information à Euriware. La communication par EURIWARE du présent document et des informations qu il contient ne saurait constituer et/ou conférer quelque droit de propriété intellectuelle et/ou industrielle que ce soit dont EURIWARE est titulaire. Remerciements Les rédacteurs de cet ouvrage, Michel Brayard et Etienne Busnel, remercient les sociétés AREVA et TOTAL et plus particulièrement messieurs Cardebat, Jeufraux, Romary et Zimmer pour leurs conseils et leur soutien tout au long de ce projet. Révision mai 2010

4 Le livre blanc de la sécurité des systèmes d information industriels

5 Sommaire Quelques rappels sur la sécurité des SI Caractéristiques de l information Référentiels et méthodologies 9 Les systèmes d information industriels (SII) Périmètre concerné Evolution, tendance et historique Besoins de sécurité et état actuel 15 Deux mondes avec des différences notables Priorités, organisation et fournisseurs Technologies, utilisation et gestion 18 Les bonnes pratiques Les composantes de la sécurité pour tous les systèmes Une déclinaison pour les SII Démarche proposée Risques et enjeux Mise en oeuvre Gestion opérationnelle 37 Annexes 39 L enquête sur les SII 39 Les attentes les plus courantes 43 Les vulnérabilités des SCADA 44

6 Le livre blanc de la sécurité des systèmes d information industriels Introduction De manière simpliste, mais surtout pragmatique et évitant tout débat avec la SURETE, la SECURITE au sens général concerne les risques que chaque activité engendre pour l Homme, ses Biens et son Environnement. La SECURITE DES SYSTEMES D INFORMATION s intéresse aux pannes, aux intrusions, aux incohérences ou aux altérations qui peuvent affecter les systèmes d information et leurs données. Bien entendu, cette sécurité des systèmes d information est une composante essentielle de la sécurité, mais son action est rarement directe, car le contact entre ces systèmes et l homme, ses biens ou son environnement se fait presque toujours à travers des équipements ou dispositifs qui participent eux aussi à la sécurité. La sécurité des systèmes d information est devenue une thématique à part entière avec l émergence d Internet, des interconnexions et des risques d accès non sollicités aux systèmes et aux informations. Cette problématique a touché les applications et systèmes bureautiques qui communiquent de plus en plus avec des applications centrales, et dont la technologie «grand public» universelle attire les tentations et les malveillances. Historiquement, ces technologies bureautiques ainsi que les applications centrales concernées relèvent des DSI et ces DSI ont mis en place et déployé des parades de plus en plus efficaces pour protéger ces systèmes dits «de gestion». Il existe, dans les entreprises, d autres systèmes informatiques liés à la production et à la gestion des «utilités». Ce sont les Systèmes d Information «Industriels» : les SII. Ils sont dans les usines ou dans les salles techniques des bâtiments, et sont souvent connus seulement par les responsables de production, les services généraux et les agents de maintenance. 6

7 Avec l évolution des technologies, les systèmes industriels «ressemblent» de plus en plus aux systèmes de gestion et on pourrait penser y appliquer les mêmes solutions que celles mises en œuvre sur les SI de gestion. Ce serait oublier que les SII possèdent des spécificités non négligeables. De plus, et c est là un point MAJEUR de ce livre blanc, la Technologie n est qu une des composantes de la sécurité. D autres aspects, tels que l organisation, les accès, l exploitation ou la maintenance doivent également être pris en compte dans une réflexion globale. Ce sont des composants essentiels pour que les visions des DSI et des responsables de production convergent. Avec près de 400 ingénieurs et techniciens œuvrant depuis plus de 15 ans dans ce domaine, EURIWARE a acquis une expérience incomparable dans tout le périmètre des SII, quel que soit leur type, et dans presque tous les domaines d application. EURIWARE a vécu l émergence des besoins en matière de sécurité des SII chez ses clients et a apporté les réponses appropriées aux problèmes soulevés. La démarche proposée donnera aux entreprises des pistes pour adresser les composantes d une politique de sécurité efficace et mettra en lumière les éléments récurrents à traiter pour une bonne sécurité des SII. Il ne faut cependant pas chercher dans ce livre des éléments exhaustifs pour résoudre tous les problèmes. Il convient d une part d être bien conscient de la grande diversité des solutions et fournisseurs de SII, et d autre part de reconnaître que, dans les différents secteurs de l industrie, les niveaux de sécurité requis pour les SII sont très variables d un secteur à l autre : certains répondent à de très hautes exigences sécuritaires (le spatial, l aéronautique, le nucléaire et la santé). 7

8 Le livre blanc de la sécurité des systèmes d information industriels Quelques rappels sur la sécurité des SI Tout d abord, quelques rappels sur les concepts de la sécurité des systèmes d information afin de faciliter la compréhension des différences entre l approche des systèmes d information industriels et celle des systèmes d information «de gestion». Signalons que ce livre blanc n intègre pas les contraintes réglementaires liées aux systèmes classifiés de défense ou d importance vitale même si des approches et des pratiques proposées sont également applicables à ces environnements. Il nous semble malgré tout utile de signaler l existence d une réglementation interministérielle traitant de la sécurité des systèmes industriels dits «d importance vitale» : l IGI 6600/SGDN/PSE/PPS du 26 septembre Caractéristiques de l information La sécurité des «systèmes d information» - ensemble des moyens techniques, organisationnels, juridiques et humains mis en place - repose principalement sur les quatre critères de sensibilité rappelés ci-après : D Disponibilité : c est la garantie pour que les informations ou services soient accessibles et utilisables dans des conditions spécifiées de temps, C Confidentialité : c est la garantie que l accès aux informations et services considérés ne soit pas possible sans autorisation, I Intégrité : c est la garantie que les informations ou services considérés ne soient pas modifiés de manière indue, P Preuve (ou Traçabilité, ou encore Imputabilité) : c est la garantie de disposer des éléments qui apportent la preuve des traitements ou autres événements relatifs aux informations ou services considérés. 8

9 1.2 Référentiels et méthodologies Plusieurs normes, méthodologies et bonnes pratiques en matière de sécurité des systèmes d information, existent. L ISO a entrepris un vaste effort de rationalisation des travaux existants donnant naissance à la série des ISO : ainsi, issue de la norme BS 7799 du British Standard Institute datant du début des années 1990, la norme internationale ISO formalise le périmètre global sur lequel doit s appliquer ou se décliner la sécurité des systèmes d information. Cette norme peut être représentée comme suit : Politique de sécurité Organisationnel Stratégique Organisation de la gestion de la sécurité des systèmes d'information Gestion des biens et actifs Sécurité des personnels Contrôles d'accès Sécurité physique et environnementale Gestion de la continuité d'activité Acquisition, développement et maintenance de systèmes Gestion des opérations et des communications Conformité Gestion des incidents de sécurité Opérationnel Mais d autres approches existent également parmi lesquelles nous citerons : La norme ISO 15408, datant de 1999, qui, plutôt tournée vers les industriels du secteur informatique, propose des critères communs d évaluation de la sécurité des technologies de l information (Common Criteria - CC - for Information Technology Security Evaluation). 9

10 Le livre blanc de la sécurité des systèmes d information industriels EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), méthode établie par l ANSSI (Agence nationale de la sécurité des systèmes d information ex DCSSI) pour identifier les besoins de sécurité d un système d information, se présente sous la forme d une brochure et d un logiciel gratuits. La méthode MEHARI (Méthode Harmonisée d Analyse de Risques), proposée par le CLUSIF (Club de la Sécurité des Systèmes d Information Français) est destinée à permettre l évaluation des risques, mais également le contrôle et la gestion de la sécurité du système d information. Le référentiel de gouvernance et d audit des SI COBIT (Control Objectives for Business and Related Technology), publié en 1996 par l ISACA (Information Systems Audit and Control Association), contient, dans ses 34 objectifs de contrôle, un objectif couvrant une bonne partie des domaines de l ISO 27002, mais en s intéressant à beaucoup plus de critères de sensibilité de l information (Efficacité, Efficience, Confidentialité, Intégrité, Disponibilité, Conformité et Fiabilité). Dans le contexte spécifique des SII, des normes liées aux métiers ont également formalisé la prise en compte de la sécurité des SI. On peut notamment citer : NERC-CIP : norme américaine concernant le secteur de l énergie, CNPI : recommandations de l organisme britannique en charge des infrastructures nationales critiques, API 1164 (American Petroleum Institute) et AGA 12 (American Gaz Institute) : normes de sécurisation des SCADA (systèmes de contrôle - commande, cf paragraphe suivant) mis en œuvre par des sociétés pétrolières ou gazières, ISA 99 (ex ISA SP 99) : norme relative à la Cyber-sécurité des systèmes de contrôle promue par l ISA (International Society of Automation), association regroupant les professionnels de l automatisation et de la supervision des procédés industriels. 10

11 Les systèmes d information industriels (SII) 2.1 Périmètre concerné Depuis déjà longtemps, le modèle CIM 1 (Computer Integrated Manufacturing) organise l information servant dans la chaîne de production en cinq couches ou niveaux, repris par de plus récents standard comme l ISA Le schéma suivant résume ce modèle : Informatique de gestion N 4 Fonctions centrales : finance, commerce, comptabilité ERP d entreprise, Bureautique, Info-centre Level 4 Business Planning & Logistics Plants Product Scheduling. Operational Management, etc. Gestion industrielle N 3 Pilotage : GPAO, GMAO, Ordonnancement LIMS, métrologie Level 3 Manufacturing Operations Management Dispatching Production. Detailed Production Scheduling. Production Tracking, etc. Procédé N 2 N 1 Superviseurs : élaboration des ordres Calculateur de process, CFAO, transitique Régulation et automatismes Level 2 Level 1 Batch Control Continuous Control Discrete Control (N0) Capteur, actionneur intelligent Média de communication Level 0 Modèle CIM OU ISA Ce modèle est une très bonne représentation des informations utilisées dans les chaines de production, même si certains éléments à la marge sont difficiles à intégrer (réseaux locaux, capteurs intelligents, packages ver ticaux, etc.). En ce qui nous concerne, nous préférons une autre représentation, un peu plus éloignée des «modèles et standards qui séparent arbitrairement, par exemple, les superviseurs des autres constituants d un même système. 1 Ne pas confondre avec un autre modèle aux mêmes initiales, le Common Information Model qui permet avec une représentation UML des échanges d informations sur l état et la configuration des réseaux électriques. 11

12 Le livre blanc de la sécurité des systèmes d information industriels Notre approche intègre des systèmes que les «normes» et «standards» ignorent souvent et qui sont pourtant fondamentaux pour la marche d une installation de production ou d une entreprise industrielle. Elle nous semble à ce titre plus représentative et plus complète. Dans cette représentation, qui va DU PLUS PRES AU PLUS LOIN DE LA PRODUCTION proprement dite, nous préférons utiliser la notion de «type» plutôt que de «niveau», et VOLONTAIREMENT sans distinguer les différents constituants des types de systèmes. Level 4 Level 3 Level 2 Level 1 Level 0 Production Capability Information (What is available for use) Business Planning & Logistics Plants Product Scheduling. Operational Management, etc. Manufacturing Operations Management Dispatching Production. Detailed Production Scheduling. Production Tracking, etc. Batch Control Product Definition Information (How to make a product) Continuous Control Production Schedule (What to make and use) Discrete Control Couverts par ISA 95 Enterprise Information Plant Product Scheduling, Operational Management, etc. Production Performance (What was made and used) Manufacturing Control Information Area Supervision, Production Planning, Production Tracking, etc. Non couverts par ISA 95 Les systèmes de conduite (et de sécurité) Classiques (SNCC, SCADA) Hétérogènes (superviseurs + PLC) Spécifiques (pilotage magasins, équipements d emballage, etc.) Les systèmes informatiques interagissant avec les systèmes de conduite Historisation (PI, IP21, etc.) Métrologie (et détection de défauts) Conduite avancée Les systèmes informatiques d aide à la production Système d ordonnancement Gestion de production et de distribution Gestion de la maintenance Type 3 Gestion de la logistique (chargement - déchargement, circuits) Gestion de laboratoire (LIMS) Les systèmes de sécurité site (type «Services généraux») Gestion Technique Centralisée (GTC) Sécurité incendie Consignations des équipements Contrôle d accés du personnel (clefs et badges) Type 1 Type 2 AUTRES Du plus près au plus loin de la production 12

13 A titre d exemple, les différents systèmes concernés sont : Type 1 : les systèmes sont directement en liaison avec le procédé de fabrication, par l intermédiaire des capteurs et des actionneurs et peu importe qu ils soient aux niveaux 0, 1, 2, voire 3 de ISA 95. Ce sont des systèmes : De conduites classiques (SNCC) De conduites hétérogènes (superviseurs + PLC) De conduites spécifiques (pilotage magasins, équipements d emballage, etc.) De contrôle et de mesure à base de PC (permanents ou temporaires aides au diagnostic) Type 2 : les systèmes ne sont pas en liaison directe avec le procédé, mais interagissent avec les systèmes de Type 1. On y trouve, par exemple les dispositifs : D historisation De métrologie et détection de défauts De conduite avancée Type 3 : les systèmes ne sont presque jamais reliés directement à la production, mais ils sont indispensables aux activités de production : Systèmes d ordonnancement Gestion de production et de distribution Gestion de la maintenance Gestion de la logistique (chargement déchargement, circuits) Gestion de laboratoire (LIMS) Cette décomposition en trois types, inclut aussi les composants tels que les systèmes embarqués ou les lecteurs de codes à barres ou de RFID qui participent aux opérations de production ou de livraison de produits. Cette représentation est également applicable à d autres types de systèmes d information pilotant : les grandes infrastructures des utilités (réseaux, électricité, gaz, eau, etc.) les grandes infrastructures de transport (train, métro, tramway, aéroports, autoroutes, tunnels, etc.) 13

14 Le livre blanc de la sécurité des systèmes d information industriels Cependant, d autres systèmes sont inclassables selon les modèles CIM ou ISA 95, car ils n ont rien à voir avec la fabrication, bien qu agissant pourtant sur des équipements réputés industriels. Ils constituent le type «AUTRES». On les trouve bien sûr dans les usines, mais aussi, et c est au moins aussi important, dans les datacenters, les bureaux et les sièges. Ce sont tous les systèmes que nous qualifions de type «services généraux», en particulier les systèmes qui servent à la surveillance des bâtiments, aux utilités des salles de machine, à l accès des personnels et des visiteurs. Ils sont indispensables à l activité de la société, au même titre que la bureautique, les applications de paye et de facturation, mais ils sont rarement visibles de la DSI. 2.2 Evolution, tendance et historique Pour reprendre la définition de Wikipedia : «Le directeur des systèmes d information (DSI) d une organisation est responsable de l ensemble des composants matériels (postes de travail, serveurs, équipements de réseau, systèmes de stockage, de sauvegarde et d impression, etc.) et logiciels du système d information, ainsi que du choix et de l exploitation des services de télécommunications mis en œuvre». Comme mentionné dans l introduction, les DSI se sont jusqu à il y a peu surtout consacré aux applications «métiers» : les ERP, les réseaux d entreprise, la bureautique. Ces chantiers sont lancés et plutôt bien maîtrisés ; par ailleurs la tendance est à un système d information intégré et global pour l entreprise (incluant tous les systèmes d information). Les DSI voient donc, de plus en plus, arriver dans leur périmètre de responsabilité ces nouveaux systèmes que sont les SII. Autre facteur favorisant le rapprochement évoqué précédemment, la «standardisation» des matériels et des systèmes d exploitation fait que techniquement la DSI peut ou pense pouvoir mieux maîtriser l infrastructure des SII. Parallèlement, les personnes en charge des SII ont l impression de moins en moins les maîtriser compte tenu de la rapidité d évolution et du changement de «philosophie». 14

15 2.3 Besoins de sécurité et état actuel Un retour d expérience d une cinquantaine d industriels dans les 5 dernières années converge avec les conclusions d études externes disponibles : il montre que la prise de conscience de la problématique sécurité existe au niveau des personnes en charge des systèmes d information industriels, que le besoin existe, mais que la situation actuelle n y répond pas de façon satisfaisante. Ce constat est illustré par les deux schémas suivants qui montrent l importance de la sécurité des SII et son niveau d atteinte, même si les chiffres sont à utiliser avec beaucoup de prudence. Quelle est l importance de la sécurité de l informatique dans vos sites de production? 30 % 40 % 10 % 20 % Non sensible Sensible Important Vital Quel est le niveau actuel de cette sécurité? 50 Non satisfaisant Partiel Bon Très bon Pour 90% des industriels, la sécurité des SII est un enjeu important, voire critique, mais seuls 45% estiment être parvenus à un niveau plutôt bon. Cependant, même si la prise de conscience est présente, de nombreuses différences entre les SII et les SI de gestion font que ce qui a été mis en oeuvre sur ces derniers n est pas directement reproductible en l état sur les SII. 15

16 Le livre blanc de la sécurité des systèmes d information industriels Deux mondes avec des différences notables 3.1 Priorités, organisation et fournisseurs Plusieurs points distinguent les SII et les systèmes d information «de gestion» sur l approche et les caractéristiques générales. Les priorités concernant les besoins de sécurité des Systèmes d Information sont souvent différentes. Les SI industriels ont en premier lieu un besoin de disponibilité afin de ne pas interrompre la production ou la marche de l entreprise : l impact d interruptions pouvant être fort non seulement sur l arrêt de production (ou sa remise en marche) mais aussi sur l utilisation des «utilités» (bureaux, sièges). Des considérations de sûreté et de protection des personnes sont également à l origine de cette priorité. Les priorités des SI de gestion sont souvent différentes. Compte tenu des données traitées, un des premiers besoin de sécurité exprimés concerne la confidentialité des données. L ordre de priorité couramment retenu est le suivant : L ordre de priorité perçu est souvent le suivant : 1. Disponibilité 2. Intégrité 3. Preuve 4. Confidentialité 1. Confidentialité 2. Intégrité 3. Preuve 4. Disponibilité SI Industriels SI Gestion En termes d organisation, le rattachement de la responsabilité de la sécurité des systèmes est également très différent entre les deux mondes. Les SI industriels, par leur histoire et leur fonction initiale, sont souvent rattachés à la production, mais leur sécurité, souvent liée aux équipements, est en général du ressort de plusieurs fonctions de l entreprise (services généraux, direction de la production, etc.). Les résultats de l enquête interne précédemment citée illustrent cette diversité : 10 % Risques HQSE % 20 % 15 % DSI Production 15 % Pas de responsable Autres Parce que la sécurité est venue de l omniprésence de l informatique, d Internet et des interconnexions, des virus et des attaques, la sécurité de l informatique de gestion est le plus souvent gérée par la DSI. Le graphique suivant issu d une étude récente du CIGREF le montre bien : 76 % SI Industriels SI Gestion Même si la structure d accueil est identifiée comme étant souvent la production, la responsabilité des systèmes informatiques et de leur sécurité est variable et diffuse : département technique, HQSE, opérations, exploitation, maintenance, services généraux ; elle est en tout cas mal connue. 0 % 0% 0 % 3 % 6 % Direction Direction des risques financière Autre Direction de l audit et du contrôle Direction métier 18 % Direction générale Direction des systèmes d information 16

17 Concernant les systèmes eux-mêmes, un certain nombre de caractéristiques différencie largement les deux mondes. SI Industriels Les SI industriels sont souvent caractérisés par une forte expertise de l éditeur ou du constructeur sur le métier lui-même. Cela se traduit souvent par des formats, technologies, protocoles, propriétaires. L expertise nécessaire pour comprendre et «détourner» ces systèmes est donc peu répandue et directement liée à l éditeur ou au constructeur. Autre conséquence : ces systèmes sont peu connus et faiblement diffusés, quelques milliers tout au plus pour les plus connus (Honeywell, Invensys, Yokogawa, Siemens, Schneider, Emerson, etc.). Autre point de différence notable, la durée de vie des SII est liée à celle des chaînes de production ou des bâtiments. La durée de vie de ces systèmes peut aller de 5 à 25 ans. Fonctionnellement, ces systèmes sont conçus pour fonctionner de manière autonome, avec peu de liaisons avec le monde extérieur. Ils sont très rarement administrés ou supervisés de l extérieur. Ils ne peuvent ou ne doivent pas dépendre de téléchargements. L installation ou les mises à jour se font souvent à partir de supports numériques. SI Gestion A l inverse, les SI de gestion se sont largement homogénéisés et leur large diffusion, notamment au-delà du monde de l entreprise vers la sphère personnelle, fait que la connaissance voire l expertise sur ces systèmes sont largement répandues et diffusées (notamment par Internet). Les failles et les attaques sont de ce fait plus critiques et en même temps plus intéressantes pour les «pirates» dans la mesure où elles touchent potentiellement un nombre très élevé de systèmes. Les évolutions technologiques, la standardisation et la volonté des éditeurs et des constructeurs font que les SI de gestion ont généralement une durée de vie de 2 à 5 ans. Les systèmes d information de gestion sont aujourd hui to t a lement in te rconnecté s. L ex ternalisation de la super vision et de l administration est une pratique qui existe et qui se répand. La diffusion des mises à jour voire des installations se fait de plus en plus via des téléchargements afin d accélérer leur diffusion et de faciliter leur utilisation. Les éditeurs et constructeurs ont également des caractéristiques particulières. Les SNCC (Systèmes Numériques de Contrôle Commande) gèrent des données «d instrumentation» (capteurs et actionneurs). De ce fait, les fournisseurs travaillent chez tous les industriels du même métier et connaissent l instrumentation aussi bien que leurs clients. Compte tenu de la faible diffusion des outils, le monde de l industriel est très fermé : la réputation se partage et le domaine de confiance inclut souvent le fournisseur. Les éditeurs et constructeurs majeurs des SI de gestion sont internationaux et ne connaissent que rarement les clients finaux et l utilisation qu ils font de leurs systèmes. Par ailleurs, les problématiques adressées sont très générales et les éditeurs/constructeurs ne maîtrisent pas les spécificités des clients qui sont généralement laissées aux intégrateurs. 17

18 Le livre blanc de la sécurité des systèmes d information industriels Technologies, utilisation et gestion L utilisation et l approche concernant les postes de travail et les serveurs sont différentes. SI Industriels La sécurisation des composants du SII est souvent hétérogène et très variable d un poste de travail ou d un serveur à l autre, sans justification particulière. Ainsi, on peut constater sur des machines de niveau de criticité identique, des niveaux de sécurité très différents (verrouillage de poste, authentification nécessaire, redondance ou matériel de secours, etc.). La sécurisation des postes de travail et des serveurs est récente. Un apport des SI de gestion est le point d accès unique sur le réseau de l entreprise. Ce dispositif, encore peu répandu, permet de mettre à jour les antivirus maintenant courants dans les SII avec des mises à jour que les fournisseurs valident et rendent accessibles dans le cadre d un contrat de maintenance. C est beaucoup moins vrai pour les correctifs de sécurité, qui eux, sont plus rarement validés sur les sites des fournisseurs. Le verrouillage des postes de travail est un moyen rarement mis en œuvre dans la mesure où les opérateurs, souvent externes par ailleurs, doivent pouvoir intervenir rapidement sur les postes de travail. Par ailleurs, d un point de vue métier, la nécessité de déverrouiller un écran juste pour pouvoir consulter une valeur est difficile à justifier. L identification et l authentification des utilisateurs sont peu appliquées dans la mesure où la rotation des équipes et des intervenants est souvent incompatible avec les contraintes d une authentification minimale. SI Gestion Globalement, la mise en œuvre de moyens de sécurisation sur le SI de gestion, aidée par l automatisation est relativement homogène et se déploie sur l ensemble des composants. La cohérence de la sécurisation n est cependant pas toujours simple à assurer, par exemple pour les postes des utilisateurs nomades. La sécurisation des postes de travail passe par la mise en œuvre de différents moyens. De façon quasi systématique, un antivirus est installé. En complément, des pare-feux personnels, des anti-malware, des anti-spam, du SSO, etc. sont installés. Ces composants, pour la plupart, nécessitent des mises à jour régulières afin de ne pas dégrader le niveau de sécurité qu ils apportent. Les correctifs de sécurité sont des points clés dans la sécurisation des postes de travail. Le délai de mise en œuvre dépend de la criticité et de la politique de sécurité de l entreprise. Il doit dans tous les cas être le résultat d une étude de risques. A u t r e p o i n t «c l a s s i q u e» c o n c e r n a n t l implémentation d une politique de sécurité, le verrouillage des matériels et des logiciels en cas d inactivité durant une certaine période est également largement répandu sur les systèmes d information de gestion. L authentification est réalisée de façon quasi systématique sur les SI de gestion. Ce point est facilité par la mise en œuvre de systèmes d authentification centralisée (Annuaires Active Directory Microsoft, LDAP, Novell, etc.). En complément de l absence de mots de passe évoquée précédemment, lorsque des mots de passe sont utilisés, ils sont soit «simples» (pour des problématiques de mémorisation), soit laissés à leur valeur par défaut. Il faut également mentionner le fait que les systèmes notamment «anciens» n acceptent pas toujours des mots de passe complexes ou de taille suffisante. Les mots de passe font généralement l objet de directives de type «politique de sécurité» qui imposent une taille et une complexité minimales. Des contrôles techniques peuvent être ajoutés afin d imposer ces contraintes et les utilisateurs sont généralement sensibilisés à l importance de ces contraintes. 18

19 SI Industriels L installation des systèmes est généralement réalisée en utilisant les options par défaut proposées par l éditeur ou le constructeur. Cela a pour conséquence de laisser des vulnérabilités et des services inutiles qui peuvent être vecteurs d incidents, d attaques ou de dysfonctionnements. Malgré un besoin de disponibilité fort, les mécanismes proposés par les technologies «standard» sont rarement mis en œuvre sur les SII, même si des mécanismes propriétaires existent. L environnement dans lequel sont utilisés les matériels des SII est également particulier : il s agit d environnements industriels avec une qualité d air, une température, des conditions d hygrométrie, des rayonnements électromagnétiques souvent incompatibles avec l utilisation de composants des systèmes de gestion, pourtant souvent faite. Par ailleurs, si les matériels implantés à la conception des installations sont conformes à l environnement, des risques supplémentaires apparaissent souvent en exploitation, liés à la présence de conduites de fluides, à la présence de graisses, de poussières, et au partage des accès physiques et des responsabilités avec d autres acteurs voire des prestataires externes. SI Gestion De même que précédemment, les politiques de sécurité définies dans les entreprises intègrent en général des principes visant à proposer des configurations standard personnalisées afin de présenter un niveau minimal de sécurité. Les technologies actuelles permettent de prendre en compte un besoin de disponibilité qui augmente, mais aussi de limiter la perte de données en cas d incident. Le partage de charge, la réplication à chaud, les sauvegardes, les bascules sont autant de moyens techniques qui, associés aux procédures et à l organisation adéquates, permettent de répondre à la plupart des besoins de disponibilité et de «non-perte» de données. L environnement du SI de gestion est en général conforme aux recommandations des constructeurs : «salle blanche» pour les serveurs et bureaux pour les postes de travail. Les risques liés à l environnement sont limités : détection d incendie, contrôle d hygrométrie, filtre antipoussière, etc. Les accès physiques sont contrôlés aussi bien sur les salles serveurs que sur les postes de travail. Sur ce dernier point, la sensibilisation des utilisateurs vise à expliquer l objectif et à les faire adhérer à l exigence et à les faire comprendre la contrainte.ce dernier point, la sensibilisation des utilisateurs vise à expliquer l objectif et à les faire adhérer à l exigence et à les faire comprendre la contrainte. L accès au système et au réseau sont également vus et mis en œuvre de façon très différente dans les deux mondes. Comme mentionné précédemment, les systèmes d information industriels sont au départ prévus pour fonctionner de façon autonome. De ce fait, les SII sont souvent cloisonnés physiquement sur des réseaux spécifiques. Cependant, les interconnexions et la remontée d information notamment vers les systèmes de gestion, imposent de plus en plus d abandonner le cloisonnement physique sans pour autant prendre en compte les risques induits. Les SI de gestion s appuient de façon massive sur l interconnexion de réseau aussi bien entre les entités de l entreprise qu avec le monde extérieur (partenaires, clients, fournisseurs, Internet, etc.). Ces interconnexions permettent d optimiser et de donner plus de valeur ajoutée aux systèmes d information. Elles exposent également de ce fait le SI de l entreprise à de nouveaux risques qu il faut prendre en compte. 19

20 Le livre blanc de la sécurité des systèmes d information industriels SI Industriels La priorité étant à la disponibilité du système, le filtrage des flux entre le réseau industriel et le réseau «de gestion» est rarement mis en œuvre. De même, l utilisation de cloisonnements de type VLAN fait rarement partie des dispositifs implémentés par défaut par les exploitants des réseaux industriels. Cependant, les flux étant souvent mal connus (notamment du fait du caractère propriétaire des systèmes) et rarement conçus pour être filtrés, la mise en œuvre d un tel filtrage est souvent complexe. Compte tenu de la durée de vie des SI industriels (cf. point évoqué précédemment), les technologies utilisées dans les SI industriels sont rarement les dernières. A titre d exemple, les protocoles réseau utilisés dans les SI industriels sont récemment IP : des protocoles plus anciens voire propriétaires sont également utilisés. De ce fait, les outils de protection classiques proposés par les éditeurs et constructeurs peuvent être difficiles à mettre en œuvre, voire être inopérants. L optimisation de l architecture en termes de routage notamment est souvent mal maîtrisée des exploitants. Les réseaux sont donc souvent installés de façon basique, «à plat». Le manque fréquent de maîtrise induit également une installation des composants réseau par défaut (avec par exemple des comptes d administration protégés par les mots de passe initiaux des constructeurs et éditeurs, des services offerts inutiles, un niveau de sécurité minimal : utilisation de Telnet/HTTP au lieu de SSH pour l administration, etc.). Les accès distants sur les réseaux industriels sont une pratique courante pour permettre aux éditeurs et constructeurs de pouvoir assurer la maintenance des composants du SII. La sécurité de ces accès est souvent limitée à des autorisations ponctuelles en cas d incident, suivie d une fermeture manuelle après résolution. Ces accès se faisant pour certains directement sur les postes de commande, le risque induit et son impact peuvent être très importants. SI Gestion C o m p t e t e n u d e s r i s q u e s décrits précédemment, le besoin de cloisonnement est important dans les SI de gestion. Par ailleurs, afin d optimiser la gestion, la virtualisation via des techniques de type VLAN et VPN a été largement développée et permet de répondre à ces besoins de sécurité. De nombreuses solutions permettent d améliorer la sécurité des réseaux. Elles permettent une sécurisation à différents niveaux : Protection, filtrage, cloisonnement (Firewall, contrôle d accès réseau NAC) Détection d incidents, de tentatives d intrusion (détection/prévention d intrusion IDS/IPS, analyse de comportement réseau NBA) Mise en œuvre de politique de protection de l information (protection contre la fuite de données DLP). L optimisation des réseaux est également une préoccupation importante, aussi bien pour des raisons de performances que de sécurité. Le cloisonnement des systèmes en fonction de rattachement «métier», des performances attendues, etc. est aujourd hui une pratique répandue. La sécurisation des réseaux passe également par la définition de politiques de sécurité dédiées au réseau, qui définissent le niveau minimal de sécurité attendu à travers des configurations requises. Les accès distants sur les SI de gestion sont limités au strict minimum et sécurisés via des mécanismes de type authentification forte. Les maintenances et supports sont rarement réalisés par les éditeurs/ constructeurs directement sur les systèmes, mais plutôt via les exploitants, ou au travers d un point d accès unique sur le réseau de l entreprise, heureusement de plus en plus utilisé aussi pour les SII. 20

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques Intégration de la cybersécurité aux systèmes de conduite industriels Méthodes et pratiques Les Infrastructures critiques utilisant des Systèmes de Contrôle Industriels Industrie nucléaire Industrie pétrolière,

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

ITIL Gestion de la continuité des services informatiques

ITIL Gestion de la continuité des services informatiques ITIL Gestion de la continuité des services informatiques Sommaire 1 GENERALITES 3 2 PRESENTATION DE LA PRESTATION 3 3 MODALITES DE LA PRESTATION 6 Page 2 1 Généralités Nous utilisons les meilleures pratiques

Plus en détail

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments

Plus en détail

Services informatiques aux organisations

Services informatiques aux organisations I. APPELLATION DU DIPLÔME II. CHAMP D'ACTIVITÉ Services informatiques aux organisations Spécialité «Solutions logicielles et applications métiers» Spécialité «Solutions d infrastructure, systèmes et réseaux»

Plus en détail

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise. IBM Global Services Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise. Les services d infrastructure et d intégration IBM Pour une infrastructure informatique qui participe

Plus en détail

L'AUDIT DES SYSTEMES D'INFORMATION

L'AUDIT DES SYSTEMES D'INFORMATION L'AUDIT DES SYSTEMES D'INFORMATION ESCI - Bourg en Bresse (2005 2006) Audit s Système d'information - P2 1 lan d'ensemble Audit s Systèmes d'information GENERALITES SUR L'AUDIT AUDIT FONCTIONNEL OU D'APPLICATION

Plus en détail

ANALYSE D UN SYSTEME D INFORMATION MES

ANALYSE D UN SYSTEME D INFORMATION MES FC M1 Management 2012/2013 Projet individuel ANALYSE D UN SYSTEME D INFORMATION MES (Manufacturing Execution System) FC M1 Management 2012_2013 / SYSTEMES D INFORMATION / ANALYSE D UN SYSTEME D INFORMATION

Plus en détail

SNCC SCADA MES Vecteurs d intégration

SNCC SCADA MES Vecteurs d intégration SNCC SCADA MES Vecteurs d intégration Paris, le 6 juin 2013 Improving your execution systems Parcours Personnel 30 années d expérience en informatique industrielle ABSY (1983-1988 : constructeur SNCC)

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013 Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes 03 Décembre 2013 2 HIDD Harmonisation des Infrastructures Système Informatique Industrielle et de Gestion Etude

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

M E S. Organiser et suivre la performance de ses ateliers

M E S. Organiser et suivre la performance de ses ateliers M E S. Organiser et suivre la performance de ses ateliers Lorraine La nécessité de «piloter au plus juste» les équipements et les ateliers est à l origine de la naissance des logiciel de Manufacturing

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN. UFC CENTRE DE BAB EZZOUAR EXEMPLES DE SUJETS POUR LE PROJET DE FIN D ETUDE OPSIE PROPOSES PAR M. NACEF (ENSEIGNANT) Sujet 1 : Management des risques par la méthode MEHARI. Type : étude, audit. MEHARI est

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Cloud Computing et SaaS

Cloud Computing et SaaS Cloud Computing et SaaS On a vu fleurir ces derniers temps un grands nombre de sigles. L un des premiers est SaaS, Software as a Service, sur lequel nous aurons l occasion de revenir. Mais il y en a beaucoup

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

Sécurisation d un site nucléaire

Sécurisation d un site nucléaire Sécurisation d un site nucléaire Club automation 03 décembre 2013 Application du concept de défense en profondeur Laurent RAILLIER Un site nucléaire existant Base installée Schneider Electric importante

Plus en détail

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D D O M I N I Q U E M O I S A N D F A B R I C E G A R N I E R D E L A B A R E Y R E Préface de Bruno Ménard, président du Cigref CobiT Implémentation ISO 270 2 e édition Pour une meilleure gouvernance des

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Integrated Security Engineering (ISE) La sécurité au cœur de vos projets et systèmes

Plus en détail

Architecture de référence pour la protection des données. Mercredi 21 Mars 2007

Architecture de référence pour la protection des données. Mercredi 21 Mars 2007 Architecture de référence pour la protection des données Mercredi 21 Mars 2007 Intervenants Serge Richard CISSP /IBM France 2 Introduction Sécurité des données Cadres de référence Description d une méthodologie

Plus en détail

La politique de sécurité

La politique de sécurité La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Qu est-ce qu un système d Information? 1

Qu est-ce qu un système d Information? 1 Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,

Plus en détail

La sécurité IT - Une précaution vitale pour votre entreprise

La sécurité IT - Une précaution vitale pour votre entreprise Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien

Plus en détail

La pratique. Elaborer un catalogue de services

La pratique. Elaborer un catalogue de services La pratique Elaborer un catalogue de services Création : juillet 2006 Mise à jour : août 2009 A propos A propos du document Ce document pratique est le résultat de la mise en oeuvre du référentiel ITIL

Plus en détail

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain Nacira Salvan Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN Nacira.salvan@safran.fr CRiP Thématique Sécurité de l informatique de demain 03/12/14 Agenda Quelques définitions

Plus en détail

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel 1 Sommaire 1) Présentation du contexte technique...3 1.1) Des

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1

Plus en détail

ITIL V3. Exploitation des services : Les fonctions

ITIL V3. Exploitation des services : Les fonctions ITIL V3 Exploitation des services : Les fonctions Création : juin 2013 Mise à jour : juin 2013 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a été réalisé en se basant

Plus en détail

Jalix, intégrateur-conseil en systèmes d information

Jalix, intégrateur-conseil en systèmes d information Jalix est un intégrateur-conseil en systèmes d information spécialisé dans les domaines de : n l infrastructure, n la mise en œuvre de solutions ERP/PGI et CRM, n le pilotage de projets (ERP, CRM, infrastructure),

Plus en détail

La pratique de la gestion des services. Lier les composants techniques avec les services d opérations dans la CMDB

La pratique de la gestion des services. Lier les composants techniques avec les services d opérations dans la CMDB La pratique de la gestion des services Lier les composants techniques avec les services d opérations dans la CMDB Création : octobre 2013 Mise à jour : octobre 2013 A propos A propos du document Ce document

Plus en détail

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le

Plus en détail

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014 Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs

Plus en détail

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats C ) Détail volets A, B, C, D et E Actions Objectifs Méthode, résultats VOLET A : JUMELAGE DE 18 MOIS Rapports d avancement du projet. Réorganisation de l administration fiscale Rapports des voyages d étude.

Plus en détail

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sûreté de fonctionnement Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sommaire Evolution des réseaux industriels et conséquences Modèle de prévention selon

Plus en détail

Comment activer un accès pratique et sécurisé à Microsoft SharePoint?

Comment activer un accès pratique et sécurisé à Microsoft SharePoint? DOSSIER SOLUTIONS SharePoint Security Solution de CA Technologies Comment activer un accès pratique et sécurisé à Microsoft SharePoint? agility made possible La solution de sécurité SharePoint proposée

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse

Plus en détail

La conformité et la sécurité des opérations financières

La conformité et la sécurité des opérations financières La conformité et la sécurité des opérations financières Au service de vos systèmes d information critiques www.thalesgroup.com/security-services Des services financiers plus sûrs, même dans les passes

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

de la DSI aujourd hui

de la DSI aujourd hui de la DSI aujourd hui Partout, l industrialisation de l IT est en cours. ITS Group accompagne ce mouvement avec une palette de compétences exhaustives permettant de répondre aux principaux challenges que

Plus en détail

s é c u r i t é Conférence animée par Christophe Blanchot

s é c u r i t é Conférence animée par Christophe Blanchot s é c u r i t é i n f o r m a t i q u e La sécurité des systèmes d information Conférence animée par Christophe Blanchot Tour de table Présentation Nom, prénom, promotion Entreprise et fonction Expérience(s)

Plus en détail

Circuit du médicament informatisé

Circuit du médicament informatisé Circuit du médicament informatisé Points de vigilance axe technique SOMMAIRE... 1 FICHE N 1- DISPONIBILITE ET PERFORMANCE... 2 FICHE N 2- ENVIRONNEMENT DE TEST... 4 FICHE N 3- VERSIONNING... 5 FICHE N

Plus en détail

Règles pour les interventions à distance sur les systèmes d information de santé

Règles pour les interventions à distance sur les systèmes d information de santé VERSION V0.3 Règles pour les interventions à distance sur les systèmes d information de santé Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Avril 2014 MINISTÈRE DES AFFAIRES

Plus en détail

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés

Plus en détail

Paroles d expert. ITIL V3, accélérateur de la stratégie de services

Paroles d expert. ITIL V3, accélérateur de la stratégie de services 33 3 3 3 ITIL V3, accélérateur de la stratégie de Dans le référentiel ITIL V2, les ouvrages Business Perspective, Plan to Implement, et ceux traitant des processus eux-mêmes, ont, à divers degrés, abordé

Plus en détail

RECRUTEMENT D UN CHEF DE LA DIVISION DES SERVICES INFORMATIQUES DE LA COMMUNAUTE URBAINE DE DOUALA

RECRUTEMENT D UN CHEF DE LA DIVISION DES SERVICES INFORMATIQUES DE LA COMMUNAUTE URBAINE DE DOUALA COMMUNAUTE URBAINE DE DOUALA REPUBLIQUE DU CAMEROUN ------------------------- --------------------- Paix Travail - Patrie Secrétariat Général ----------------- AVIS D APPEL A CANDIDATURE RECRUTEMENT D

Plus en détail

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3 VERSION V0.3 Guide Pratique Règles de sauvegarde des Systèmes d Information de Santé (SIS) Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Juillet 2014 MINISTÈRE DES AFFAIRES

Plus en détail

Methode Mehari www.ofppt.info

Methode Mehari www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail Methode Mehari DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Sommaire 1. Introduction... 2 2. Chapitre

Plus en détail

Architecte d infrastructures informatiques

Architecte d infrastructures informatiques Architecte d infrastructures informatiques E1C23 Infrastructures informatiques - IR L architecte d infrastructures informatiques pilote la conception, le déploiement et la mise en oeuvre d'architectures

Plus en détail

S U P E R V I S É PA R N. A B R I O U X

S U P E R V I S É PA R N. A B R I O U X Tableau de bord SSI S U P E R V I S É PA R N. A B R I O U X S. B A L S S A L. B O B E T M. H A L L O U M I J. M A N O H A R A N 1 Plan Présentation Méthodologie d élaboration Cas pratique Conclusion Nom

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11734-5

Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Groupe Eyrolles, 2006, ISBN : 2-212-11734-5 Chapitre 6 La gestion des incidents Quelles que soient la qualité du système d information mis en place dans l entreprise ou les compétences des techniciens

Plus en détail

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration Pierre-Alexandre FUHRMANN Vice-President Global R&D 25 Avril

Plus en détail

Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés

Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés Traçabilité et sécurité juridique Me Raphaël PEUCHOT, avocat, Ribeyre & Associés 1. Définition et implications de la traçabilité en droit 2. La protection des données personnelles 3. La responsabilité

Plus en détail

La sécurité des systèmes d information

La sécurité des systèmes d information Ntic consultant contact@ntic-consultant.fr 02 98 89 04 89 www.ntic-consultant.fr La sécurité des systèmes d information Ce document intitulé «La sécurité des systèmes d information» est soumis à la licence

Plus en détail

Atelier " Gestion des Configurations et CMDB "

Atelier  Gestion des Configurations et CMDB Atelier " Gestion des Configurations et CMDB " Président de séance : François MALISSART Mercredi 7 mars 2007 (Nantes) Bienvenue... Le thème : La Gestion des Configurations et la CMDB Le principe : Échanger

Plus en détail

CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes.

CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes. Infos sécurité Charte d usage des TIC au sein de l Université de Bourgogne CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes.

Plus en détail

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET Introduction aux solutions de Mobile Device Management NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET QUELQUES CHIFFRES Mi 2011, 77% de la population mondiale

Plus en détail

Service HP Support Plus Services contractuels d assistance clientèle HP

Service HP Support Plus Services contractuels d assistance clientèle HP Service HP Support Plus Services contractuels d assistance clientèle HP Des services complets pour matériel et logiciels vous permettent d améliorer la disponibilité de votre infrastructure informatique.

Plus en détail

Définir une politique de maintenance et sa stratégie de mise en œuvre de responsabilités

Définir une politique de maintenance et sa stratégie de mise en œuvre de responsabilités Chapitre 1 Définir une politique de maintenance et sa stratégie de mise en œuvre de responsabilités La politique de maintenance, entre prévention et correction 25 f Qu est-ce que le «préventif» et le «correctif»?

Plus en détail

MANAGEMENT PAR LA QUALITE ET TIC

MANAGEMENT PAR LA QUALITE ET TIC Garantir une organisation performante pour satisfaire ses clients et ses partenaires, telle est la finalité d une certification «qualité». On dénombre de nombreux référentiels dont le plus connu et le

Plus en détail

L outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise

L outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise Auteur : Robert BERGERON Consultant en Sécurité des Systèmes d Information et Management de la Continuité d Activité Quel outil pour le PCA? de sa conception à sa mise en œuvre en situation de crise Introduction

Plus en détail

Sécurité. Tendance technologique

Sécurité. Tendance technologique Sécurité Tendance technologique La sécurité englobe les mécanismes de protection des données et des systèmes informatiques contre l accès, l utilisation, la communication, la manipulation ou la destruction

Plus en détail

Cegid OPEN SECURITE PREMIUM

Cegid OPEN SECURITE PREMIUM Cegid OPEN SECURITE PREMIUM Livret Services Ref_N08_0001 ARTICLE 1 DEFINITIONS Les termes définis ci après ont la signification suivante au singulier comme au pluriel: Demande : désigne un incident reproductible

Plus en détail

MANAGEMENT PAR LA QUALITE ET TIC

MANAGEMENT PAR LA QUALITE ET TIC MANAGEMENT PAR LA QUALITE ET TIC Lorraine Garantir une organisation performante pour satisfaire ses clients et ses partenaires, telle est la finalité d une certification «qualité». On dénombre de nombreux

Plus en détail

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799 David BIGOT Julien VEHENT Etude du cas ASSURAL Mise en conformité du système d'information avec la norme ISO 17799 Master Management de la Sécurité des Systèmes Industriels et des Systèmes d'information

Plus en détail

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION SUR LES CONDITIONS DE PRÉPARATION ET D ORGANISATION DES TRAVAUX DU CONSEIL AINSI QUE SUR LES PROCÉDURES DE CONTRÔLE INTERNE MISES EN PLACE PAR LA SOCIÉTÉ

Plus en détail

Evolution des infrastructures informatiques au Cerema. Patrick Berge Comité Technique d Établissement

Evolution des infrastructures informatiques au Cerema. Patrick Berge Comité Technique d Établissement Evolution des infrastructures informatiques au Cerema Patrick Berge 1 Objectifs de cette présentation Le contexte de l informatique au Cerema Les besoins du Cerema en matière d Infrastructure Informatique

Plus en détail

POLITIQUE SECURITE PSI - V3.2 VSI - 15/04/2014. L architecte de vos ambitions

POLITIQUE SECURITE PSI - V3.2 VSI - 15/04/2014. L architecte de vos ambitions L architecte de vos ambitions POLITIQUE GENERALE ET ENGAGEMENTS Acteur du développement de solutions informatiques depuis 20 ans, principalement en région lyonnaise, NC2 est une SSII résolument orientée

Plus en détail

Identification, évaluation et gestion des incidents

Identification, évaluation et gestion des incidents Identification, évaluation et gestion des incidents De la cartographie des risques à la mise en place de la base incidents Xavier DIVAY Responsable de la conformité et du contrôle permanent QUILVEST BANQUE

Plus en détail

Les principes de la sécurité

Les principes de la sécurité Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

S engager pour gagner la confiance

S engager pour gagner la confiance Services S engager pour gagner la confiance Depuis 1934, les femmes et les hommes de COURBON mobilisent leurs énergies pour la réussite de vos projets. Les équipes COURBON sont présentes tout au long du

Plus en détail

INDUSTRIALISATION ET RATIONALISATION

INDUSTRIALISATION ET RATIONALISATION INDUSTRIALISATION ET RATIONALISATION A. LA PROBLEMATIQUE La mission de toute production informatique est de délivrer le service attendu par les utilisateurs. Ce service se compose de résultats de traitements

Plus en détail

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014 ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing

Plus en détail

Comment protéger ses systèmes d'information légalement et à moindre coût?

Comment protéger ses systèmes d'information légalement et à moindre coût? Se protéger légalement et à moindre coût. Comment protéger ses systèmes d'information légalement et à moindre coût? Thierry RAMARD Président d AGERIS Group SAS Président du Clusir Est mardi 19 juin 2012

Plus en détail

Introduction. Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas :

Introduction. Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas : Introduction Le CRM se porte-t-il si mal? Les articles de la presse spécialisée tendent à nous laisser penser que c est en effet le cas : «75 % de projets non aboutis» «La déception du CRM» «Le CRM : des

Plus en détail

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

Cahier des Clauses Techniques Particulières. Convergence Voix - Données Cahier des Clauses Techniques Particulières Convergence Voix - Données SOMMAIRE - Objet du document et du marché - Contexte et périmètre du projet - Configurations existantes et besoins - Services attendus

Plus en détail

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de la norme PCI DSS entre les versions 2.0 et 3.0 Novembre 2013 Introduction Ce document apporte un

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

Colloque 2005. Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Colloque 2005. Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires Colloque 2005 de la Sécurité des Systèmes d Information Du contrôle permanent à la maîtrise globale des SI Jean-Louis Bleicher Banque Fédérale des Banques Populaires Mercredi 7 décembre 2005 Du contrôle

Plus en détail

ITSM - Gestion des Services informatiques

ITSM - Gestion des Services informatiques Chapitre 1 - COMPRENDRE LE MARCHÉ ITSM - Gestion des Services informatiques Copyright 2011 CXP. 1 ITSM - Gestion des Services informatiques L'étude a été réalisée par : Dalila Souiah OBJECTIF DU DOCUMENT.

Plus en détail

11/2006 - Photos : VWS - Photothèque VE. www.veoliaeaust.com Consulter nos experts : info@veoliawater.com. ISO 14001 de votre exploitation.

11/2006 - Photos : VWS - Photothèque VE. www.veoliaeaust.com Consulter nos experts : info@veoliawater.com. ISO 14001 de votre exploitation. chemise 20/02/07 16:49 Page 1 VEOLINK Votre contact : tout au long de votre projet VEOLINK Com VEOLINK Tech VEOLINK Advanced Control VEOLINK Star VEOLINK Data Base VEOLINK Maintenance VEOLINK Pro VEOLINK

Plus en détail

AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON

AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON AVENIR FINANCE Société anonyme au capital de 1.253.160 Siège Social à LYON (69009) - 57 rue de Saint Cyr 402 002 687 RCS LYON RAPPORT DU PRESIDENT A L ASSEMBLÉE GÉNÉRALE ORDINAIRE DU 1er JUIN 2004 SUR

Plus en détail

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Pré-requis Diplôme Foundation Certificate in IT Service Management. Ce cours apporte les connaissances nécessaires et les principes de gestion permettant la formulation d une Stratégie de Services IT ainsi que les Capacités organisationnelles à prévoir dans le cadre d

Plus en détail

CYBERSÉCURITÉ INDUSTRIELLE CONSTATS & SOLUTIONS

CYBERSÉCURITÉ INDUSTRIELLE CONSTATS & SOLUTIONS CYBERSÉCURITÉ INDUSTRIELLE CONSTATS & SOLUTIONS SCADA? ICS? CONTRÔLE COMMANDE? 2 ARCHITECTURE «TYPE» Source : Schneider 3 ENJEUX ET PROBLÉMATIQUES Sécurité physique Ancienneté des systèmes, réseaux, protocoles

Plus en détail

1 L adéquation des systèmes d information actuels

1 L adéquation des systèmes d information actuels 1 L adéquation des systèmes d information actuels 1.1 Le contexte de la question 1.1.1 La tendance à l omniprésence informatique LG : Les «objets communicants» vont générer énormément d informations de

Plus en détail

European Assistant Assistant de Manager

European Assistant Assistant de Manager European Assistant Assistant de Manager REFERENTIEL D ACTIVITES PROFESSIONNELLES Ce projet a été financé avec le soutien de la Commission européenne. Cette publication n'engage que son auteur et la Commission

Plus en détail

SÉCURITÉ DES SYSTÈMES D INFORMATION INDUSTRIELS

SÉCURITÉ DES SYSTÈMES D INFORMATION INDUSTRIELS SÉCURITÉ DES SYSTÈMES D INFORMATION INDUSTRIELS MARS 2014 Philippe PRESTIGIACOMO POLYTECH MARSEILLE AGENDA VOLET I : PROBLEMATIQUE GENERALE Présentation des systèmes d information industriels Spécificités

Plus en détail

Les PME parlent aux PME

Les PME parlent aux PME Les PME parlent aux PME Retour d expériences de 10 PME ayant mis en place la méthode ULYSSE Préambule Réalisation d une étude exploratoire auprès de 10 PME ayant utilisées au cours des derniers mois la

Plus en détail

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM BROCHURE SOLUTIONS Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM L IDENTITE AU COEUR DE VOTRE PERFORMANCE «En tant que responsable informatique,

Plus en détail

INTEGRATEURS. Pour un Accompagnement Efficace vers le Cloud SUPPORT DE FORMATION, INFORMATION, COMMUNICATION

INTEGRATEURS. Pour un Accompagnement Efficace vers le Cloud SUPPORT DE FORMATION, INFORMATION, COMMUNICATION INTEGRATEURS Pour un Accompagnement Efficace vers le Cloud SUPPORT DE FORMATION, INFORMATION, COMMUNICATION PEBV4.0ABU27022014 EFFECTIF 26 personnes : 45 % technique 45 % commerce 10 % admin CHIFFRES Basée

Plus en détail