Livre Blanc La sécurité des systèmes d information industriels

Dimension: px
Commencer à balayer dès la page:

Download "Livre Blanc La sécurité des systèmes d information industriels"

Transcription

1 Livre Blanc La sécurité des systèmes d information industriels

2 Le livre blanc de la sécurité des systèmes d information industriels

3 Avant-propos Le présent document est la propriété d EURIWARE et ne peut être utilisé que dans le seul but pour lequel il a été transmis. Il ne peut en aucun cas être utilisé ou copié, partiellement ou en totalité, dans quelque document que ce soit, sans l accord préalable et écrit d EURIWARE. Il peut naturellement être communiqué, en version papier ou électronique, à toute personne qui pourrait en avoir l usage, avec information à Euriware. La communication par EURIWARE du présent document et des informations qu il contient ne saurait constituer et/ou conférer quelque droit de propriété intellectuelle et/ou industrielle que ce soit dont EURIWARE est titulaire. Remerciements Les rédacteurs de cet ouvrage, Michel Brayard et Etienne Busnel, remercient les sociétés AREVA et TOTAL et plus particulièrement messieurs Cardebat, Jeufraux, Romary et Zimmer pour leurs conseils et leur soutien tout au long de ce projet. Révision mai 2010

4 Le livre blanc de la sécurité des systèmes d information industriels

5 Sommaire Quelques rappels sur la sécurité des SI Caractéristiques de l information Référentiels et méthodologies 9 Les systèmes d information industriels (SII) Périmètre concerné Evolution, tendance et historique Besoins de sécurité et état actuel 15 Deux mondes avec des différences notables Priorités, organisation et fournisseurs Technologies, utilisation et gestion 18 Les bonnes pratiques Les composantes de la sécurité pour tous les systèmes Une déclinaison pour les SII Démarche proposée Risques et enjeux Mise en oeuvre Gestion opérationnelle 37 Annexes 39 L enquête sur les SII 39 Les attentes les plus courantes 43 Les vulnérabilités des SCADA 44

6 Le livre blanc de la sécurité des systèmes d information industriels Introduction De manière simpliste, mais surtout pragmatique et évitant tout débat avec la SURETE, la SECURITE au sens général concerne les risques que chaque activité engendre pour l Homme, ses Biens et son Environnement. La SECURITE DES SYSTEMES D INFORMATION s intéresse aux pannes, aux intrusions, aux incohérences ou aux altérations qui peuvent affecter les systèmes d information et leurs données. Bien entendu, cette sécurité des systèmes d information est une composante essentielle de la sécurité, mais son action est rarement directe, car le contact entre ces systèmes et l homme, ses biens ou son environnement se fait presque toujours à travers des équipements ou dispositifs qui participent eux aussi à la sécurité. La sécurité des systèmes d information est devenue une thématique à part entière avec l émergence d Internet, des interconnexions et des risques d accès non sollicités aux systèmes et aux informations. Cette problématique a touché les applications et systèmes bureautiques qui communiquent de plus en plus avec des applications centrales, et dont la technologie «grand public» universelle attire les tentations et les malveillances. Historiquement, ces technologies bureautiques ainsi que les applications centrales concernées relèvent des DSI et ces DSI ont mis en place et déployé des parades de plus en plus efficaces pour protéger ces systèmes dits «de gestion». Il existe, dans les entreprises, d autres systèmes informatiques liés à la production et à la gestion des «utilités». Ce sont les Systèmes d Information «Industriels» : les SII. Ils sont dans les usines ou dans les salles techniques des bâtiments, et sont souvent connus seulement par les responsables de production, les services généraux et les agents de maintenance. 6

7 Avec l évolution des technologies, les systèmes industriels «ressemblent» de plus en plus aux systèmes de gestion et on pourrait penser y appliquer les mêmes solutions que celles mises en œuvre sur les SI de gestion. Ce serait oublier que les SII possèdent des spécificités non négligeables. De plus, et c est là un point MAJEUR de ce livre blanc, la Technologie n est qu une des composantes de la sécurité. D autres aspects, tels que l organisation, les accès, l exploitation ou la maintenance doivent également être pris en compte dans une réflexion globale. Ce sont des composants essentiels pour que les visions des DSI et des responsables de production convergent. Avec près de 400 ingénieurs et techniciens œuvrant depuis plus de 15 ans dans ce domaine, EURIWARE a acquis une expérience incomparable dans tout le périmètre des SII, quel que soit leur type, et dans presque tous les domaines d application. EURIWARE a vécu l émergence des besoins en matière de sécurité des SII chez ses clients et a apporté les réponses appropriées aux problèmes soulevés. La démarche proposée donnera aux entreprises des pistes pour adresser les composantes d une politique de sécurité efficace et mettra en lumière les éléments récurrents à traiter pour une bonne sécurité des SII. Il ne faut cependant pas chercher dans ce livre des éléments exhaustifs pour résoudre tous les problèmes. Il convient d une part d être bien conscient de la grande diversité des solutions et fournisseurs de SII, et d autre part de reconnaître que, dans les différents secteurs de l industrie, les niveaux de sécurité requis pour les SII sont très variables d un secteur à l autre : certains répondent à de très hautes exigences sécuritaires (le spatial, l aéronautique, le nucléaire et la santé). 7

8 Le livre blanc de la sécurité des systèmes d information industriels Quelques rappels sur la sécurité des SI Tout d abord, quelques rappels sur les concepts de la sécurité des systèmes d information afin de faciliter la compréhension des différences entre l approche des systèmes d information industriels et celle des systèmes d information «de gestion». Signalons que ce livre blanc n intègre pas les contraintes réglementaires liées aux systèmes classifiés de défense ou d importance vitale même si des approches et des pratiques proposées sont également applicables à ces environnements. Il nous semble malgré tout utile de signaler l existence d une réglementation interministérielle traitant de la sécurité des systèmes industriels dits «d importance vitale» : l IGI 6600/SGDN/PSE/PPS du 26 septembre Caractéristiques de l information La sécurité des «systèmes d information» - ensemble des moyens techniques, organisationnels, juridiques et humains mis en place - repose principalement sur les quatre critères de sensibilité rappelés ci-après : D Disponibilité : c est la garantie pour que les informations ou services soient accessibles et utilisables dans des conditions spécifiées de temps, C Confidentialité : c est la garantie que l accès aux informations et services considérés ne soit pas possible sans autorisation, I Intégrité : c est la garantie que les informations ou services considérés ne soient pas modifiés de manière indue, P Preuve (ou Traçabilité, ou encore Imputabilité) : c est la garantie de disposer des éléments qui apportent la preuve des traitements ou autres événements relatifs aux informations ou services considérés. 8

9 1.2 Référentiels et méthodologies Plusieurs normes, méthodologies et bonnes pratiques en matière de sécurité des systèmes d information, existent. L ISO a entrepris un vaste effort de rationalisation des travaux existants donnant naissance à la série des ISO : ainsi, issue de la norme BS 7799 du British Standard Institute datant du début des années 1990, la norme internationale ISO formalise le périmètre global sur lequel doit s appliquer ou se décliner la sécurité des systèmes d information. Cette norme peut être représentée comme suit : Politique de sécurité Organisationnel Stratégique Organisation de la gestion de la sécurité des systèmes d'information Gestion des biens et actifs Sécurité des personnels Contrôles d'accès Sécurité physique et environnementale Gestion de la continuité d'activité Acquisition, développement et maintenance de systèmes Gestion des opérations et des communications Conformité Gestion des incidents de sécurité Opérationnel Mais d autres approches existent également parmi lesquelles nous citerons : La norme ISO 15408, datant de 1999, qui, plutôt tournée vers les industriels du secteur informatique, propose des critères communs d évaluation de la sécurité des technologies de l information (Common Criteria - CC - for Information Technology Security Evaluation). 9

10 Le livre blanc de la sécurité des systèmes d information industriels EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), méthode établie par l ANSSI (Agence nationale de la sécurité des systèmes d information ex DCSSI) pour identifier les besoins de sécurité d un système d information, se présente sous la forme d une brochure et d un logiciel gratuits. La méthode MEHARI (Méthode Harmonisée d Analyse de Risques), proposée par le CLUSIF (Club de la Sécurité des Systèmes d Information Français) est destinée à permettre l évaluation des risques, mais également le contrôle et la gestion de la sécurité du système d information. Le référentiel de gouvernance et d audit des SI COBIT (Control Objectives for Business and Related Technology), publié en 1996 par l ISACA (Information Systems Audit and Control Association), contient, dans ses 34 objectifs de contrôle, un objectif couvrant une bonne partie des domaines de l ISO 27002, mais en s intéressant à beaucoup plus de critères de sensibilité de l information (Efficacité, Efficience, Confidentialité, Intégrité, Disponibilité, Conformité et Fiabilité). Dans le contexte spécifique des SII, des normes liées aux métiers ont également formalisé la prise en compte de la sécurité des SI. On peut notamment citer : NERC-CIP : norme américaine concernant le secteur de l énergie, CNPI : recommandations de l organisme britannique en charge des infrastructures nationales critiques, API 1164 (American Petroleum Institute) et AGA 12 (American Gaz Institute) : normes de sécurisation des SCADA (systèmes de contrôle - commande, cf paragraphe suivant) mis en œuvre par des sociétés pétrolières ou gazières, ISA 99 (ex ISA SP 99) : norme relative à la Cyber-sécurité des systèmes de contrôle promue par l ISA (International Society of Automation), association regroupant les professionnels de l automatisation et de la supervision des procédés industriels. 10

11 Les systèmes d information industriels (SII) 2.1 Périmètre concerné Depuis déjà longtemps, le modèle CIM 1 (Computer Integrated Manufacturing) organise l information servant dans la chaîne de production en cinq couches ou niveaux, repris par de plus récents standard comme l ISA Le schéma suivant résume ce modèle : Informatique de gestion N 4 Fonctions centrales : finance, commerce, comptabilité ERP d entreprise, Bureautique, Info-centre Level 4 Business Planning & Logistics Plants Product Scheduling. Operational Management, etc. Gestion industrielle N 3 Pilotage : GPAO, GMAO, Ordonnancement LIMS, métrologie Level 3 Manufacturing Operations Management Dispatching Production. Detailed Production Scheduling. Production Tracking, etc. Procédé N 2 N 1 Superviseurs : élaboration des ordres Calculateur de process, CFAO, transitique Régulation et automatismes Level 2 Level 1 Batch Control Continuous Control Discrete Control (N0) Capteur, actionneur intelligent Média de communication Level 0 Modèle CIM OU ISA Ce modèle est une très bonne représentation des informations utilisées dans les chaines de production, même si certains éléments à la marge sont difficiles à intégrer (réseaux locaux, capteurs intelligents, packages ver ticaux, etc.). En ce qui nous concerne, nous préférons une autre représentation, un peu plus éloignée des «modèles et standards qui séparent arbitrairement, par exemple, les superviseurs des autres constituants d un même système. 1 Ne pas confondre avec un autre modèle aux mêmes initiales, le Common Information Model qui permet avec une représentation UML des échanges d informations sur l état et la configuration des réseaux électriques. 11

12 Le livre blanc de la sécurité des systèmes d information industriels Notre approche intègre des systèmes que les «normes» et «standards» ignorent souvent et qui sont pourtant fondamentaux pour la marche d une installation de production ou d une entreprise industrielle. Elle nous semble à ce titre plus représentative et plus complète. Dans cette représentation, qui va DU PLUS PRES AU PLUS LOIN DE LA PRODUCTION proprement dite, nous préférons utiliser la notion de «type» plutôt que de «niveau», et VOLONTAIREMENT sans distinguer les différents constituants des types de systèmes. Level 4 Level 3 Level 2 Level 1 Level 0 Production Capability Information (What is available for use) Business Planning & Logistics Plants Product Scheduling. Operational Management, etc. Manufacturing Operations Management Dispatching Production. Detailed Production Scheduling. Production Tracking, etc. Batch Control Product Definition Information (How to make a product) Continuous Control Production Schedule (What to make and use) Discrete Control Couverts par ISA 95 Enterprise Information Plant Product Scheduling, Operational Management, etc. Production Performance (What was made and used) Manufacturing Control Information Area Supervision, Production Planning, Production Tracking, etc. Non couverts par ISA 95 Les systèmes de conduite (et de sécurité) Classiques (SNCC, SCADA) Hétérogènes (superviseurs + PLC) Spécifiques (pilotage magasins, équipements d emballage, etc.) Les systèmes informatiques interagissant avec les systèmes de conduite Historisation (PI, IP21, etc.) Métrologie (et détection de défauts) Conduite avancée Les systèmes informatiques d aide à la production Système d ordonnancement Gestion de production et de distribution Gestion de la maintenance Type 3 Gestion de la logistique (chargement - déchargement, circuits) Gestion de laboratoire (LIMS) Les systèmes de sécurité site (type «Services généraux») Gestion Technique Centralisée (GTC) Sécurité incendie Consignations des équipements Contrôle d accés du personnel (clefs et badges) Type 1 Type 2 AUTRES Du plus près au plus loin de la production 12

13 A titre d exemple, les différents systèmes concernés sont : Type 1 : les systèmes sont directement en liaison avec le procédé de fabrication, par l intermédiaire des capteurs et des actionneurs et peu importe qu ils soient aux niveaux 0, 1, 2, voire 3 de ISA 95. Ce sont des systèmes : De conduites classiques (SNCC) De conduites hétérogènes (superviseurs + PLC) De conduites spécifiques (pilotage magasins, équipements d emballage, etc.) De contrôle et de mesure à base de PC (permanents ou temporaires aides au diagnostic) Type 2 : les systèmes ne sont pas en liaison directe avec le procédé, mais interagissent avec les systèmes de Type 1. On y trouve, par exemple les dispositifs : D historisation De métrologie et détection de défauts De conduite avancée Type 3 : les systèmes ne sont presque jamais reliés directement à la production, mais ils sont indispensables aux activités de production : Systèmes d ordonnancement Gestion de production et de distribution Gestion de la maintenance Gestion de la logistique (chargement déchargement, circuits) Gestion de laboratoire (LIMS) Cette décomposition en trois types, inclut aussi les composants tels que les systèmes embarqués ou les lecteurs de codes à barres ou de RFID qui participent aux opérations de production ou de livraison de produits. Cette représentation est également applicable à d autres types de systèmes d information pilotant : les grandes infrastructures des utilités (réseaux, électricité, gaz, eau, etc.) les grandes infrastructures de transport (train, métro, tramway, aéroports, autoroutes, tunnels, etc.) 13

14 Le livre blanc de la sécurité des systèmes d information industriels Cependant, d autres systèmes sont inclassables selon les modèles CIM ou ISA 95, car ils n ont rien à voir avec la fabrication, bien qu agissant pourtant sur des équipements réputés industriels. Ils constituent le type «AUTRES». On les trouve bien sûr dans les usines, mais aussi, et c est au moins aussi important, dans les datacenters, les bureaux et les sièges. Ce sont tous les systèmes que nous qualifions de type «services généraux», en particulier les systèmes qui servent à la surveillance des bâtiments, aux utilités des salles de machine, à l accès des personnels et des visiteurs. Ils sont indispensables à l activité de la société, au même titre que la bureautique, les applications de paye et de facturation, mais ils sont rarement visibles de la DSI. 2.2 Evolution, tendance et historique Pour reprendre la définition de Wikipedia : «Le directeur des systèmes d information (DSI) d une organisation est responsable de l ensemble des composants matériels (postes de travail, serveurs, équipements de réseau, systèmes de stockage, de sauvegarde et d impression, etc.) et logiciels du système d information, ainsi que du choix et de l exploitation des services de télécommunications mis en œuvre». Comme mentionné dans l introduction, les DSI se sont jusqu à il y a peu surtout consacré aux applications «métiers» : les ERP, les réseaux d entreprise, la bureautique. Ces chantiers sont lancés et plutôt bien maîtrisés ; par ailleurs la tendance est à un système d information intégré et global pour l entreprise (incluant tous les systèmes d information). Les DSI voient donc, de plus en plus, arriver dans leur périmètre de responsabilité ces nouveaux systèmes que sont les SII. Autre facteur favorisant le rapprochement évoqué précédemment, la «standardisation» des matériels et des systèmes d exploitation fait que techniquement la DSI peut ou pense pouvoir mieux maîtriser l infrastructure des SII. Parallèlement, les personnes en charge des SII ont l impression de moins en moins les maîtriser compte tenu de la rapidité d évolution et du changement de «philosophie». 14

15 2.3 Besoins de sécurité et état actuel Un retour d expérience d une cinquantaine d industriels dans les 5 dernières années converge avec les conclusions d études externes disponibles : il montre que la prise de conscience de la problématique sécurité existe au niveau des personnes en charge des systèmes d information industriels, que le besoin existe, mais que la situation actuelle n y répond pas de façon satisfaisante. Ce constat est illustré par les deux schémas suivants qui montrent l importance de la sécurité des SII et son niveau d atteinte, même si les chiffres sont à utiliser avec beaucoup de prudence. Quelle est l importance de la sécurité de l informatique dans vos sites de production? 30 % 40 % 10 % 20 % Non sensible Sensible Important Vital Quel est le niveau actuel de cette sécurité? 50 Non satisfaisant Partiel Bon Très bon Pour 90% des industriels, la sécurité des SII est un enjeu important, voire critique, mais seuls 45% estiment être parvenus à un niveau plutôt bon. Cependant, même si la prise de conscience est présente, de nombreuses différences entre les SII et les SI de gestion font que ce qui a été mis en oeuvre sur ces derniers n est pas directement reproductible en l état sur les SII. 15

16 Le livre blanc de la sécurité des systèmes d information industriels Deux mondes avec des différences notables 3.1 Priorités, organisation et fournisseurs Plusieurs points distinguent les SII et les systèmes d information «de gestion» sur l approche et les caractéristiques générales. Les priorités concernant les besoins de sécurité des Systèmes d Information sont souvent différentes. Les SI industriels ont en premier lieu un besoin de disponibilité afin de ne pas interrompre la production ou la marche de l entreprise : l impact d interruptions pouvant être fort non seulement sur l arrêt de production (ou sa remise en marche) mais aussi sur l utilisation des «utilités» (bureaux, sièges). Des considérations de sûreté et de protection des personnes sont également à l origine de cette priorité. Les priorités des SI de gestion sont souvent différentes. Compte tenu des données traitées, un des premiers besoin de sécurité exprimés concerne la confidentialité des données. L ordre de priorité couramment retenu est le suivant : L ordre de priorité perçu est souvent le suivant : 1. Disponibilité 2. Intégrité 3. Preuve 4. Confidentialité 1. Confidentialité 2. Intégrité 3. Preuve 4. Disponibilité SI Industriels SI Gestion En termes d organisation, le rattachement de la responsabilité de la sécurité des systèmes est également très différent entre les deux mondes. Les SI industriels, par leur histoire et leur fonction initiale, sont souvent rattachés à la production, mais leur sécurité, souvent liée aux équipements, est en général du ressort de plusieurs fonctions de l entreprise (services généraux, direction de la production, etc.). Les résultats de l enquête interne précédemment citée illustrent cette diversité : 10 % Risques HQSE % 20 % 15 % DSI Production 15 % Pas de responsable Autres Parce que la sécurité est venue de l omniprésence de l informatique, d Internet et des interconnexions, des virus et des attaques, la sécurité de l informatique de gestion est le plus souvent gérée par la DSI. Le graphique suivant issu d une étude récente du CIGREF le montre bien : 76 % SI Industriels SI Gestion Même si la structure d accueil est identifiée comme étant souvent la production, la responsabilité des systèmes informatiques et de leur sécurité est variable et diffuse : département technique, HQSE, opérations, exploitation, maintenance, services généraux ; elle est en tout cas mal connue. 0 % 0% 0 % 3 % 6 % Direction Direction des risques financière Autre Direction de l audit et du contrôle Direction métier 18 % Direction générale Direction des systèmes d information 16

17 Concernant les systèmes eux-mêmes, un certain nombre de caractéristiques différencie largement les deux mondes. SI Industriels Les SI industriels sont souvent caractérisés par une forte expertise de l éditeur ou du constructeur sur le métier lui-même. Cela se traduit souvent par des formats, technologies, protocoles, propriétaires. L expertise nécessaire pour comprendre et «détourner» ces systèmes est donc peu répandue et directement liée à l éditeur ou au constructeur. Autre conséquence : ces systèmes sont peu connus et faiblement diffusés, quelques milliers tout au plus pour les plus connus (Honeywell, Invensys, Yokogawa, Siemens, Schneider, Emerson, etc.). Autre point de différence notable, la durée de vie des SII est liée à celle des chaînes de production ou des bâtiments. La durée de vie de ces systèmes peut aller de 5 à 25 ans. Fonctionnellement, ces systèmes sont conçus pour fonctionner de manière autonome, avec peu de liaisons avec le monde extérieur. Ils sont très rarement administrés ou supervisés de l extérieur. Ils ne peuvent ou ne doivent pas dépendre de téléchargements. L installation ou les mises à jour se font souvent à partir de supports numériques. SI Gestion A l inverse, les SI de gestion se sont largement homogénéisés et leur large diffusion, notamment au-delà du monde de l entreprise vers la sphère personnelle, fait que la connaissance voire l expertise sur ces systèmes sont largement répandues et diffusées (notamment par Internet). Les failles et les attaques sont de ce fait plus critiques et en même temps plus intéressantes pour les «pirates» dans la mesure où elles touchent potentiellement un nombre très élevé de systèmes. Les évolutions technologiques, la standardisation et la volonté des éditeurs et des constructeurs font que les SI de gestion ont généralement une durée de vie de 2 à 5 ans. Les systèmes d information de gestion sont aujourd hui to t a lement in te rconnecté s. L ex ternalisation de la super vision et de l administration est une pratique qui existe et qui se répand. La diffusion des mises à jour voire des installations se fait de plus en plus via des téléchargements afin d accélérer leur diffusion et de faciliter leur utilisation. Les éditeurs et constructeurs ont également des caractéristiques particulières. Les SNCC (Systèmes Numériques de Contrôle Commande) gèrent des données «d instrumentation» (capteurs et actionneurs). De ce fait, les fournisseurs travaillent chez tous les industriels du même métier et connaissent l instrumentation aussi bien que leurs clients. Compte tenu de la faible diffusion des outils, le monde de l industriel est très fermé : la réputation se partage et le domaine de confiance inclut souvent le fournisseur. Les éditeurs et constructeurs majeurs des SI de gestion sont internationaux et ne connaissent que rarement les clients finaux et l utilisation qu ils font de leurs systèmes. Par ailleurs, les problématiques adressées sont très générales et les éditeurs/constructeurs ne maîtrisent pas les spécificités des clients qui sont généralement laissées aux intégrateurs. 17

18 Le livre blanc de la sécurité des systèmes d information industriels Technologies, utilisation et gestion L utilisation et l approche concernant les postes de travail et les serveurs sont différentes. SI Industriels La sécurisation des composants du SII est souvent hétérogène et très variable d un poste de travail ou d un serveur à l autre, sans justification particulière. Ainsi, on peut constater sur des machines de niveau de criticité identique, des niveaux de sécurité très différents (verrouillage de poste, authentification nécessaire, redondance ou matériel de secours, etc.). La sécurisation des postes de travail et des serveurs est récente. Un apport des SI de gestion est le point d accès unique sur le réseau de l entreprise. Ce dispositif, encore peu répandu, permet de mettre à jour les antivirus maintenant courants dans les SII avec des mises à jour que les fournisseurs valident et rendent accessibles dans le cadre d un contrat de maintenance. C est beaucoup moins vrai pour les correctifs de sécurité, qui eux, sont plus rarement validés sur les sites des fournisseurs. Le verrouillage des postes de travail est un moyen rarement mis en œuvre dans la mesure où les opérateurs, souvent externes par ailleurs, doivent pouvoir intervenir rapidement sur les postes de travail. Par ailleurs, d un point de vue métier, la nécessité de déverrouiller un écran juste pour pouvoir consulter une valeur est difficile à justifier. L identification et l authentification des utilisateurs sont peu appliquées dans la mesure où la rotation des équipes et des intervenants est souvent incompatible avec les contraintes d une authentification minimale. SI Gestion Globalement, la mise en œuvre de moyens de sécurisation sur le SI de gestion, aidée par l automatisation est relativement homogène et se déploie sur l ensemble des composants. La cohérence de la sécurisation n est cependant pas toujours simple à assurer, par exemple pour les postes des utilisateurs nomades. La sécurisation des postes de travail passe par la mise en œuvre de différents moyens. De façon quasi systématique, un antivirus est installé. En complément, des pare-feux personnels, des anti-malware, des anti-spam, du SSO, etc. sont installés. Ces composants, pour la plupart, nécessitent des mises à jour régulières afin de ne pas dégrader le niveau de sécurité qu ils apportent. Les correctifs de sécurité sont des points clés dans la sécurisation des postes de travail. Le délai de mise en œuvre dépend de la criticité et de la politique de sécurité de l entreprise. Il doit dans tous les cas être le résultat d une étude de risques. A u t r e p o i n t «c l a s s i q u e» c o n c e r n a n t l implémentation d une politique de sécurité, le verrouillage des matériels et des logiciels en cas d inactivité durant une certaine période est également largement répandu sur les systèmes d information de gestion. L authentification est réalisée de façon quasi systématique sur les SI de gestion. Ce point est facilité par la mise en œuvre de systèmes d authentification centralisée (Annuaires Active Directory Microsoft, LDAP, Novell, etc.). En complément de l absence de mots de passe évoquée précédemment, lorsque des mots de passe sont utilisés, ils sont soit «simples» (pour des problématiques de mémorisation), soit laissés à leur valeur par défaut. Il faut également mentionner le fait que les systèmes notamment «anciens» n acceptent pas toujours des mots de passe complexes ou de taille suffisante. Les mots de passe font généralement l objet de directives de type «politique de sécurité» qui imposent une taille et une complexité minimales. Des contrôles techniques peuvent être ajoutés afin d imposer ces contraintes et les utilisateurs sont généralement sensibilisés à l importance de ces contraintes. 18

19 SI Industriels L installation des systèmes est généralement réalisée en utilisant les options par défaut proposées par l éditeur ou le constructeur. Cela a pour conséquence de laisser des vulnérabilités et des services inutiles qui peuvent être vecteurs d incidents, d attaques ou de dysfonctionnements. Malgré un besoin de disponibilité fort, les mécanismes proposés par les technologies «standard» sont rarement mis en œuvre sur les SII, même si des mécanismes propriétaires existent. L environnement dans lequel sont utilisés les matériels des SII est également particulier : il s agit d environnements industriels avec une qualité d air, une température, des conditions d hygrométrie, des rayonnements électromagnétiques souvent incompatibles avec l utilisation de composants des systèmes de gestion, pourtant souvent faite. Par ailleurs, si les matériels implantés à la conception des installations sont conformes à l environnement, des risques supplémentaires apparaissent souvent en exploitation, liés à la présence de conduites de fluides, à la présence de graisses, de poussières, et au partage des accès physiques et des responsabilités avec d autres acteurs voire des prestataires externes. SI Gestion De même que précédemment, les politiques de sécurité définies dans les entreprises intègrent en général des principes visant à proposer des configurations standard personnalisées afin de présenter un niveau minimal de sécurité. Les technologies actuelles permettent de prendre en compte un besoin de disponibilité qui augmente, mais aussi de limiter la perte de données en cas d incident. Le partage de charge, la réplication à chaud, les sauvegardes, les bascules sont autant de moyens techniques qui, associés aux procédures et à l organisation adéquates, permettent de répondre à la plupart des besoins de disponibilité et de «non-perte» de données. L environnement du SI de gestion est en général conforme aux recommandations des constructeurs : «salle blanche» pour les serveurs et bureaux pour les postes de travail. Les risques liés à l environnement sont limités : détection d incendie, contrôle d hygrométrie, filtre antipoussière, etc. Les accès physiques sont contrôlés aussi bien sur les salles serveurs que sur les postes de travail. Sur ce dernier point, la sensibilisation des utilisateurs vise à expliquer l objectif et à les faire adhérer à l exigence et à les faire comprendre la contrainte.ce dernier point, la sensibilisation des utilisateurs vise à expliquer l objectif et à les faire adhérer à l exigence et à les faire comprendre la contrainte. L accès au système et au réseau sont également vus et mis en œuvre de façon très différente dans les deux mondes. Comme mentionné précédemment, les systèmes d information industriels sont au départ prévus pour fonctionner de façon autonome. De ce fait, les SII sont souvent cloisonnés physiquement sur des réseaux spécifiques. Cependant, les interconnexions et la remontée d information notamment vers les systèmes de gestion, imposent de plus en plus d abandonner le cloisonnement physique sans pour autant prendre en compte les risques induits. Les SI de gestion s appuient de façon massive sur l interconnexion de réseau aussi bien entre les entités de l entreprise qu avec le monde extérieur (partenaires, clients, fournisseurs, Internet, etc.). Ces interconnexions permettent d optimiser et de donner plus de valeur ajoutée aux systèmes d information. Elles exposent également de ce fait le SI de l entreprise à de nouveaux risques qu il faut prendre en compte. 19

20 Le livre blanc de la sécurité des systèmes d information industriels SI Industriels La priorité étant à la disponibilité du système, le filtrage des flux entre le réseau industriel et le réseau «de gestion» est rarement mis en œuvre. De même, l utilisation de cloisonnements de type VLAN fait rarement partie des dispositifs implémentés par défaut par les exploitants des réseaux industriels. Cependant, les flux étant souvent mal connus (notamment du fait du caractère propriétaire des systèmes) et rarement conçus pour être filtrés, la mise en œuvre d un tel filtrage est souvent complexe. Compte tenu de la durée de vie des SI industriels (cf. point évoqué précédemment), les technologies utilisées dans les SI industriels sont rarement les dernières. A titre d exemple, les protocoles réseau utilisés dans les SI industriels sont récemment IP : des protocoles plus anciens voire propriétaires sont également utilisés. De ce fait, les outils de protection classiques proposés par les éditeurs et constructeurs peuvent être difficiles à mettre en œuvre, voire être inopérants. L optimisation de l architecture en termes de routage notamment est souvent mal maîtrisée des exploitants. Les réseaux sont donc souvent installés de façon basique, «à plat». Le manque fréquent de maîtrise induit également une installation des composants réseau par défaut (avec par exemple des comptes d administration protégés par les mots de passe initiaux des constructeurs et éditeurs, des services offerts inutiles, un niveau de sécurité minimal : utilisation de Telnet/HTTP au lieu de SSH pour l administration, etc.). Les accès distants sur les réseaux industriels sont une pratique courante pour permettre aux éditeurs et constructeurs de pouvoir assurer la maintenance des composants du SII. La sécurité de ces accès est souvent limitée à des autorisations ponctuelles en cas d incident, suivie d une fermeture manuelle après résolution. Ces accès se faisant pour certains directement sur les postes de commande, le risque induit et son impact peuvent être très importants. SI Gestion C o m p t e t e n u d e s r i s q u e s décrits précédemment, le besoin de cloisonnement est important dans les SI de gestion. Par ailleurs, afin d optimiser la gestion, la virtualisation via des techniques de type VLAN et VPN a été largement développée et permet de répondre à ces besoins de sécurité. De nombreuses solutions permettent d améliorer la sécurité des réseaux. Elles permettent une sécurisation à différents niveaux : Protection, filtrage, cloisonnement (Firewall, contrôle d accès réseau NAC) Détection d incidents, de tentatives d intrusion (détection/prévention d intrusion IDS/IPS, analyse de comportement réseau NBA) Mise en œuvre de politique de protection de l information (protection contre la fuite de données DLP). L optimisation des réseaux est également une préoccupation importante, aussi bien pour des raisons de performances que de sécurité. Le cloisonnement des systèmes en fonction de rattachement «métier», des performances attendues, etc. est aujourd hui une pratique répandue. La sécurisation des réseaux passe également par la définition de politiques de sécurité dédiées au réseau, qui définissent le niveau minimal de sécurité attendu à travers des configurations requises. Les accès distants sur les SI de gestion sont limités au strict minimum et sécurisés via des mécanismes de type authentification forte. Les maintenances et supports sont rarement réalisés par les éditeurs/ constructeurs directement sur les systèmes, mais plutôt via les exploitants, ou au travers d un point d accès unique sur le réseau de l entreprise, heureusement de plus en plus utilisé aussi pour les SII. 20

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques Intégration de la cybersécurité aux systèmes de conduite industriels Méthodes et pratiques Les Infrastructures critiques utilisant des Systèmes de Contrôle Industriels Industrie nucléaire Industrie pétrolière,

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011

Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC pour l année 2010/2011 Certificat de qualification Professionnelle Administrateur des Réseaux Entreprise 2 ans 139 jours Ce certificat de Qualification Professionnelle (ou CQP ARE) fait partie des actions collectives du FAFIEC

Plus en détail

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013 Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes 03 Décembre 2013 2 HIDD Harmonisation des Infrastructures Système Informatique Industrielle et de Gestion Etude

Plus en détail

Cours 1 : Introduction à la Sécurité des Systèmes d Information

Cours 1 : Introduction à la Sécurité des Systèmes d Information Cours 1 : Introduction à la Sécurité des Systèmes d Information ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

L'AUDIT DES SYSTEMES D'INFORMATION

L'AUDIT DES SYSTEMES D'INFORMATION L'AUDIT DES SYSTEMES D'INFORMATION ESCI - Bourg en Bresse (2005 2006) Audit s Système d'information - P2 1 lan d'ensemble Audit s Systèmes d'information GENERALITES SUR L'AUDIT AUDIT FONCTIONNEL OU D'APPLICATION

Plus en détail

ITIL Gestion de la continuité des services informatiques

ITIL Gestion de la continuité des services informatiques ITIL Gestion de la continuité des services informatiques Sommaire 1 GENERALITES 3 2 PRESENTATION DE LA PRESTATION 3 3 MODALITES DE LA PRESTATION 6 Page 2 1 Généralités Nous utilisons les meilleures pratiques

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION

L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L ARCHITECTE-RÉFÉRENT EN SÉCURITE DES SYSTÈMES D INFORMATION L objectif de ce document est de définir les compétences de l architecte référent en sécurité des systèmes d information, ou «ARSSI», par le

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

Services informatiques aux organisations

Services informatiques aux organisations I. APPELLATION DU DIPLÔME II. CHAMP D'ACTIVITÉ Services informatiques aux organisations Spécialité «Solutions logicielles et applications métiers» Spécialité «Solutions d infrastructure, systèmes et réseaux»

Plus en détail

Profil de protection d un progiciel serveur applicatif MES

Profil de protection d un progiciel serveur applicatif MES Profil de protection d un progiciel serveur applicatif MES Version 1.0 court-terme GTCSI 1 er juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne

Plus en détail

SNCC SCADA MES Vecteurs d intégration

SNCC SCADA MES Vecteurs d intégration SNCC SCADA MES Vecteurs d intégration Paris, le 6 juin 2013 Improving your execution systems Parcours Personnel 30 années d expérience en informatique industrielle ABSY (1983-1988 : constructeur SNCC)

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Analyse de sûreté des systèmes informatisés : l approche de l IRSN

Analyse de sûreté des systèmes informatisés : l approche de l IRSN 02 Novembre 2009 Analyse de sûreté des systèmes informatisés : l approche de l IRSN 1 ROLE DES SYSTEMES INFORMATISES DANS LES CENTRALES NUCLEAIRES Les centrales nucléaires sont de plus en plus pilotées

Plus en détail

ANALYSE D UN SYSTEME D INFORMATION MES

ANALYSE D UN SYSTEME D INFORMATION MES FC M1 Management 2012/2013 Projet individuel ANALYSE D UN SYSTEME D INFORMATION MES (Manufacturing Execution System) FC M1 Management 2012_2013 / SYSTEMES D INFORMATION / ANALYSE D UN SYSTEME D INFORMATION

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de

Plus en détail

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr

Gouvernance SSI - Organisation & Pilotage. Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr Gouvernance SSI - Organisation & Pilotage Club 27001 22 janvier 2009 Pierre.dethomasson@hapsis.fr 1 I Approche Concepts clés 2 Gouvernance SSI (source : Information security governance «guidance for board

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

des systèmes d'information

des systèmes d'information Responsable du pilotage de systèmes d information E1A21 Pilotage, administration et gestion des systèmes d information - IR Le responsable du pilotage de système d'information définit et fait évoluer un

Plus en détail

Architecte d infrastructures informatiques

Architecte d infrastructures informatiques Architecte d infrastructures informatiques E1C23 Infrastructures informatiques - IR L architecte d infrastructures informatiques pilote la conception, le déploiement et la mise en oeuvre d'architectures

Plus en détail

Architecture de référence pour la protection des données. Mercredi 21 Mars 2007

Architecture de référence pour la protection des données. Mercredi 21 Mars 2007 Architecture de référence pour la protection des données Mercredi 21 Mars 2007 Intervenants Serge Richard CISSP /IBM France 2 Introduction Sécurité des données Cadres de référence Description d une méthodologie

Plus en détail

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données

Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Infostructures Performances Management La sécurité, la robustesse er la performance de vos infrastructures de données Integrated Security Engineering (ISE) La sécurité au cœur de vos projets et systèmes

Plus en détail

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain

Nacira Salvan. Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN. CRiP Thématique Sécurité de l informatique de demain Nacira Salvan Responsable Pôle Architecture Sécurité Direction Infrastructure IT SAFRAN Nacira.salvan@safran.fr CRiP Thématique Sécurité de l informatique de demain 03/12/14 Agenda Quelques définitions

Plus en détail

Atelier " Gestion des Configurations et CMDB "

Atelier  Gestion des Configurations et CMDB Atelier " Gestion des Configurations et CMDB " Président de séance : François MALISSART Mercredi 7 mars 2007 (Nantes) Bienvenue... Le thème : La Gestion des Configurations et la CMDB Le principe : Échanger

Plus en détail

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée

Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée Protection de l Information et Sécurité Système d Information, quelles sont les vertus d une sensibilisation bien organisée «Des acteurs non sensibilisés aux risques liés à l usage des technologies de

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition) Généralités sur la sécurité informatique 1. Introduction 15 2. Les domaines et normes associés 18 2.1 Les bonnes pratiques ITIL V3 18 2.1.1 La stratégie des services (Service Strategy) 19 2.1.2 La conception

Plus en détail

Charte du management des risques du groupe La Poste

Charte du management des risques du groupe La Poste Direction de l'audit et des Risques du Groupe Direction des Risques du Groupe Destinataires Tous services Contact Béatrice MICHEL Tél : 01 55 44 15 06 Fax : E-mail : beatrice.michel@laposte.fr Date de

Plus en détail

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D D O M I N I Q U E M O I S A N D F A B R I C E G A R N I E R D E L A B A R E Y R E Préface de Bruno Ménard, président du Cigref CobiT Implémentation ISO 270 2 e édition Pour une meilleure gouvernance des

Plus en détail

MANAGEMENT PAR LA QUALITE ET TIC

MANAGEMENT PAR LA QUALITE ET TIC Garantir une organisation performante pour satisfaire ses clients et ses partenaires, telle est la finalité d une certification «qualité». On dénombre de nombreux référentiels dont le plus connu et le

Plus en détail

Circuit du médicament informatisé

Circuit du médicament informatisé Circuit du médicament informatisé Points de vigilance axe technique SOMMAIRE... 1 FICHE N 1- DISPONIBILITE ET PERFORMANCE... 2 FICHE N 2- ENVIRONNEMENT DE TEST... 4 FICHE N 3- VERSIONNING... 5 FICHE N

Plus en détail

SESSION 2010 MANAGEMENT DES SYSTÈMES D'INFORMATION. Durée de l épreuve : 3 heures - coefficient : 1

SESSION 2010 MANAGEMENT DES SYSTÈMES D'INFORMATION. Durée de l épreuve : 3 heures - coefficient : 1 1020005 DSCG SESSION 2010 MANAGEMENT DES SYSTÈMES D'INFORMATION Durée de l épreuve : 3 heures - coefficient : 1 Document autorisé : Liste des comptes du plan comptable général, à l exclusion de toute autre

Plus en détail

Urbanisation des Systèmes d'information

Urbanisation des Systèmes d'information Urbanisation des Systèmes d'information Les Audits de Systèmes d Information et leurs méthodes 1 Gouvernance de Système d Information Trois standards de référence pour trois processus du Système d Information

Plus en détail

MANAGEMENT PAR LA QUALITE ET TIC

MANAGEMENT PAR LA QUALITE ET TIC MANAGEMENT PAR LA QUALITE ET TIC Lorraine Garantir une organisation performante pour satisfaire ses clients et ses partenaires, telle est la finalité d une certification «qualité». On dénombre de nombreux

Plus en détail

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique

Plus en détail

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sûreté de fonctionnement Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle Sommaire Evolution des réseaux industriels et conséquences Modèle de prévention selon

Plus en détail

La virtualisation par Stéphane Dutot, Chef de produit de Internet Fr

La virtualisation par Stéphane Dutot, Chef de produit de Internet Fr Communiqué de Presse Massy, le 31 Mars 2009 La virtualisation par Stéphane Dutot, Chef de produit de Internet Fr Depuis quelques années, une nouvelle technologie révolutionne l informatique : la virtualisation.

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

Cloud Computing et SaaS

Cloud Computing et SaaS Cloud Computing et SaaS On a vu fleurir ces derniers temps un grands nombre de sigles. L un des premiers est SaaS, Software as a Service, sur lequel nous aurons l occasion de revenir. Mais il y en a beaucoup

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

La sécurité IT - Une précaution vitale pour votre entreprise

La sécurité IT - Une précaution vitale pour votre entreprise Parole d expert La sécurité IT - Une précaution vitale pour votre entreprise Philippe MONFILS - ComputerLand SLM Bruno MAIRLOT - Maehdros Une organisation conjointe avec Café Numérique Avec le soutien

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise. IBM Global Services Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise. Les services d infrastructure et d intégration IBM Pour une infrastructure informatique qui participe

Plus en détail

Sécurisation d un site nucléaire

Sécurisation d un site nucléaire Sécurisation d un site nucléaire Club automation 03 décembre 2013 Application du concept de défense en profondeur Laurent RAILLIER Un site nucléaire existant Base installée Schneider Electric importante

Plus en détail

HySIO : l infogérance hybride avec le cloud sécurisé

HySIO : l infogérance hybride avec le cloud sécurisé www.thalesgroup.com SYSTÈMES D INFORMATION CRITIQUES ET CYBERSÉCURITÉ HySIO : l infogérance hybride avec le cloud sécurisé Le cloud computing et la sécurité au cœur des enjeux informatiques L informatique

Plus en détail

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information

REFERENTIEL DU CQPM. TITRE DU CQPM : Préventeur (trice) en cybersécurité des systèmes d information COMMISION PARITAIRE NATIONALE DE L EMPLOI DE LE METALLURGIE Qualification : Catégorie : D Dernière modification : 02/04/2015 REFERENTIEL DU CQPM TITRE DU CQPM : Préventeur (trice) en cybersécurité des

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

Paroles d expert. ITIL V3, accélérateur de la stratégie de services

Paroles d expert. ITIL V3, accélérateur de la stratégie de services 33 3 3 3 ITIL V3, accélérateur de la stratégie de Dans le référentiel ITIL V2, les ouvrages Business Perspective, Plan to Implement, et ceux traitant des processus eux-mêmes, ont, à divers degrés, abordé

Plus en détail

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel 1 Sommaire 1) Présentation du contexte technique...3 1.1) Des

Plus en détail

La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès.

La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès. Etat de l art Synchronisation des identités pour un référentiel d identités multi-annuaires La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès.

Plus en détail

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN. UFC CENTRE DE BAB EZZOUAR EXEMPLES DE SUJETS POUR LE PROJET DE FIN D ETUDE OPSIE PROPOSES PAR M. NACEF (ENSEIGNANT) Sujet 1 : Management des risques par la méthode MEHARI. Type : étude, audit. MEHARI est

Plus en détail

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014 Gouvernance des mesures de sécurité avec DCM-Manager Présentation du 22 mai 2014 Gérer les actifs logiciels et leur répartition Maîtriser le durcissement des configurations Suivre l application des correctifs

Plus en détail

M E S. Organiser et suivre la performance de ses ateliers

M E S. Organiser et suivre la performance de ses ateliers M E S. Organiser et suivre la performance de ses ateliers Lorraine La nécessité de «piloter au plus juste» les équipements et les ateliers est à l origine de la naissance des logiciel de Manufacturing

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

INDUSTRIALISATION ET RATIONALISATION

INDUSTRIALISATION ET RATIONALISATION INDUSTRIALISATION ET RATIONALISATION A. LA PROBLEMATIQUE La mission de toute production informatique est de délivrer le service attendu par les utilisateurs. Ce service se compose de résultats de traitements

Plus en détail

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information 2 à nouveau contexte, nouvelle vision de la sécurité Nouveaux usages et nouvelles technologies,

Plus en détail

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction scientifique et technique Laboratoire Technologies de l Information

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

Le meilleur LMD. du DSCG 5. Management des systèmes d'information. Expertise comptable. 3 e ÉDITION. Sup FOUCHER. Jean-Pierre Marca COLLECTION

Le meilleur LMD. du DSCG 5. Management des systèmes d'information. Expertise comptable. 3 e ÉDITION. Sup FOUCHER. Jean-Pierre Marca COLLECTION LMD COLLECTION Expertise comptable Le meilleur du DSCG 5 Management des systèmes d'information 3 e ÉDITION Jean-Pierre Marca Sup FOUCHER «Le photocopillage, c est l usage abusif et collectif de la photocopie

Plus en détail

Qu est-ce qu un système d Information? 1

Qu est-ce qu un système d Information? 1 Qu est-ce qu un système d Information? 1 Une définition du système d information «Tout moyen dont le fonctionnement fait appel à l électricité et qui est destiné à élaborer, traiter, stocker, acheminer,

Plus en détail

REFONTE DU SYSTEME DE TELECOMMUNICATIONS ET DES ACCES INTERNET

REFONTE DU SYSTEME DE TELECOMMUNICATIONS ET DES ACCES INTERNET CAHIER DES CLAUSES TECHNIQUES ET PARTICULIERES REFONTE DU SYSTEME DE TELECOMMUNICATIONS ET DES ACCES INTERNET LOT 1 : EQUIPEMENT TELEPHONIQUE DE LA MAIRIE DE JACOU VISITE DES SITES OBLIGATOIRE LE 24 JUILLET

Plus en détail

MISE EN ŒUVRE D UNE ARCHITECTURE RESEAU SECURISEE A HAUTE DISPONIBILITE ET MIGRATION DES DONNEES SUR MACHINES VIRTUELLES

MISE EN ŒUVRE D UNE ARCHITECTURE RESEAU SECURISEE A HAUTE DISPONIBILITE ET MIGRATION DES DONNEES SUR MACHINES VIRTUELLES OFFRE N 2013/01/03 MISE EN ŒUVRE D UNE ARCHITECTURE RESEAU SECURISEE A HAUTE DISPONIBILITE ET MIGRATION DES DONNEES SUR MACHINES VIRTUELLES OBJET DE LA CONSULTATION : Ce marché vise dans un 1 er temps,

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION SUR LES CONDITIONS DE PRÉPARATION ET D ORGANISATION DES TRAVAUX DU CONSEIL AINSI QUE SUR LES PROCÉDURES DE CONTRÔLE INTERNE MISES EN PLACE PAR LA SOCIÉTÉ

Plus en détail

ITIL V3. Exploitation des services : Les fonctions

ITIL V3. Exploitation des services : Les fonctions ITIL V3 Exploitation des services : Les fonctions Création : juin 2013 Mise à jour : juin 2013 A propos A propos du document Ce document de référence sur le référentiel ITIL V3 a été réalisé en se basant

Plus en détail

Cartographie des risques informatiques : exemples, méthodes et outils

Cartographie des risques informatiques : exemples, méthodes et outils : exemples, méthodes et outils Gina Gullà-Ménez, Directeur de l Audit des Processus et des Projets SI, Sanofi-Aventis Vincent Manière Consultant Construction d une cartographie des risques : quel modèle

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

Identification, évaluation et gestion des incidents

Identification, évaluation et gestion des incidents Identification, évaluation et gestion des incidents De la cartographie des risques à la mise en place de la base incidents Xavier DIVAY Responsable de la conformité et du contrôle permanent QUILVEST BANQUE

Plus en détail

Politique de sécurité de l actif informationnel

Politique de sécurité de l actif informationnel TITRE : Politique de sécurité de l actif informationnel Adoption par le conseil d administration : Résolution : CARL-130924-11 Date : 24 septembre 2013 Révisions : Résolution : Date : Politique de sécurité

Plus en détail

ITIL et SLAs La qualité de service nous concerne tous!

ITIL et SLAs La qualité de service nous concerne tous! + Le 9 Avril 2013 ITIL et SLAs La qualité de service nous concerne tous! + Introduction Intervenants Yannick Goubet: Responsable Commercial GSX Solutions Yann Baudic: Technical Account Manager GSX Solutions

Plus en détail

La Continuité des Activités

La Continuité des Activités Caroline Fabre- Offering Manager BC&RS Ikbal Ltaief Consulting Manager BC&RS La Continuité des Activités Nouveaux enjeux, nouvelles technologies, nouvelles tendances Paris, le 9 juin 2010 Grandes entreprises

Plus en détail

Description de l entreprise DG

Description de l entreprise DG DG Description de l entreprise DG DG est une entreprise d envergure nationale implantée dans le domaine de la domotique. Créée en 1988 par William Portes, elle compte aujourd'hui une centaine d'employés.

Plus en détail

Exploiter l information remontée par le SI

Exploiter l information remontée par le SI Exploiter l information remontée par le SI Synthèse de la conférence thématique du CLUSIF du 14 octobre 2014. Il est un domaine de la sécurité des systèmes d information qui s applique tant en termes de

Plus en détail

Les PME parlent aux PME

Les PME parlent aux PME Les PME parlent aux PME Retour d expériences de 10 PME ayant mis en place la méthode ULYSSE Préambule Réalisation d une étude exploratoire auprès de 10 PME ayant utilisées au cours des derniers mois la

Plus en détail

Gestion de la sécurité de l information dans une organisation. 14 février 2014

Gestion de la sécurité de l information dans une organisation. 14 février 2014 Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

Résumé CONCEPTEUR, INTEGRATEUR, OPERATEUR DE SYSTEMES CRITIQUES

Résumé CONCEPTEUR, INTEGRATEUR, OPERATEUR DE SYSTEMES CRITIQUES Aristote ----- Cloud Interopérabilité Retour d'expérience L A F O R C E D E L I N N O V A T I O N Résumé Les systèmes d'information logistique (SIL) sont des outils qui amènent des gains de productivité

Plus en détail

de la DSI aujourd hui

de la DSI aujourd hui de la DSI aujourd hui Partout, l industrialisation de l IT est en cours. ITS Group accompagne ce mouvement avec une palette de compétences exhaustives permettant de répondre aux principaux challenges que

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

Les activités numériques

Les activités numériques Les activités numériques Activités de l entreprise et activités numériques de l entreprise convergent de plus en plus au sein de la chaîne de valeur, c est-à-dire la manière avec laquelle une entreprise

Plus en détail

PREMIER MINISTRE PROCEDURE. Validée par le sous-directeur de la régulation. Pascal CHAUVE [ORIGINAL SIGNE]

PREMIER MINISTRE PROCEDURE. Validée par le sous-directeur de la régulation. Pascal CHAUVE [ORIGINAL SIGNE] PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 25 juin 2009 N 1632 /SGDN/DCSSI Référence : AGR/P/02.1 PROCEDURE SECURITE

Plus en détail

INSTANCE NATIONALE DE CONCERTATION

INSTANCE NATIONALE DE CONCERTATION INSTANCE NATIONALE DE CONCERTATION DU 2 OCTOBRE 2014 POINT 3 SDSI 2014 2017 1. PREAMBULE La COG 2014 2017, afin de consolider le rôle de la branche recouvrement au cœur du financement solidaire de la protection

Plus en détail

LIVRE BLANC. Dématérialisation des factures fournisseurs

LIVRE BLANC. Dématérialisation des factures fournisseurs LIVRE BLANC 25/03/2014 Dématérialisation des factures fournisseurs Ce livre blanc a été réalisé par la société KALPA Conseils, société créée en février 2003 par des managers issus de grandes entreprises

Plus en détail

ITSM - Gestion des Services informatiques

ITSM - Gestion des Services informatiques Chapitre 1 - COMPRENDRE LE MARCHÉ ITSM - Gestion des Services informatiques Copyright 2011 CXP. 1 ITSM - Gestion des Services informatiques L'étude a été réalisée par : Dalila Souiah OBJECTIF DU DOCUMENT.

Plus en détail

Service HP Support Plus Services contractuels d assistance clientèle HP

Service HP Support Plus Services contractuels d assistance clientèle HP Service HP Support Plus Services contractuels d assistance clientèle HP Des services complets pour matériel et logiciels vous permettent d améliorer la disponibilité de votre infrastructure informatique.

Plus en détail

Sommaire 2. Généralités 3. ISO 27001 et SMG ou le pilotage de NC2 4. Approche processus et cartographie 5

Sommaire 2. Généralités 3. ISO 27001 et SMG ou le pilotage de NC2 4. Approche processus et cartographie 5 Sommaire 2 Généralités 3 ISO 27001 et SMG ou le pilotage de NC2 4 Approche processus et cartographie 5 D une organisation fonctionnelle vers des processus 6 Pilotage des processus et Amélioration continue

Plus en détail

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Pré-requis Diplôme Foundation Certificate in IT Service Management. Ce cours apporte les connaissances nécessaires et les principes de gestion permettant la formulation d une Stratégie de Services IT ainsi que les Capacités organisationnelles à prévoir dans le cadre d

Plus en détail

La pratique. Elaborer un catalogue de services

La pratique. Elaborer un catalogue de services La pratique Elaborer un catalogue de services Création : juillet 2006 Mise à jour : août 2009 A propos A propos du document Ce document pratique est le résultat de la mise en oeuvre du référentiel ITIL

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

Administrateur de réseaux d entreprise. 24 mois. 910 heures Ou 980 heures si module optionnel CERTIFICATS DE QUALIFICATION PROFESSIONNEL

Administrateur de réseaux d entreprise. 24 mois. 910 heures Ou 980 heures si module optionnel CERTIFICATS DE QUALIFICATION PROFESSIONNEL CERTIFICATS DE QUALIFICATION PROFESSIONNEL Administrateur de réseaux d entreprise 24 mois 910 heures Ou 980 heures si module optionnel Juillet 2005 CQP ADMINISTRATEUR DE RESEAUX D ENTREPRISE Page 1 / 11

Plus en détail

وزارة السكنى والتعمير وسياسة المدينة

وزارة السكنى والتعمير وسياسة المدينة وزارة السكنى والتعمير وسياسة المدينة Phase 3 Planification de la solution retenue et stratégie de changement Elaboration du Schéma Directeur du Système d Information des agences urbaines 2013 Sommaire

Plus en détail