Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Documents pareils
Sécurisation d un site nucléaire

Solutions de Cybersécurité Industrielle

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013

SECURISEZ ANTIVIRUS LISTE BLANCHE FIREWALL PROTECTION USB LECTEUR BADGES RFID SIEM DATADIODE VOS SYSTÈMES DE CONTRÔLE INDUSTRIELS (ICS)

CYBERSÉCURITÉ INDUSTRIELLE CONSTATS & SOLUTIONS

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

La sécurité IT - Une précaution vitale pour votre entreprise

Maîtriser la SSI pour les systèmes industriels

HySIO : l infogérance hybride avec le cloud sécurisé

dans un contexte d infogérance J-François MAHE Gie GIPS

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration

Retour d expérience RTE suite à Stuxnet

cas pratique La cybersécurité des systèmes industriels

Auditer une infrastructure Microsoft

SÉCURITÉ DES SYSTÈMES D INFORMATION INDUSTRIELS

TOPOLOGIES des RESEAUX D ADMINISTRATION

La sécurité applicative

Projet Sécurité des SI

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

CAHIER DES CLAUSES TECHNIQUES

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Catalogue «Intégration de solutions»

Gestion des Incidents SSI

5 novembre Cloud, Big Data et sécurité Conseils et solutions

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

MSP Center Plus. Vue du Produit

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

La sécurité des systèmes d information

Le catalogue TIC. Solutions. pour les. Professionnels

Présentation de la Société

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

La sécurité informatique

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

DEMANDE D INFORMATION RFI (Request for information)

EDS. Efficiency Data Server TÉLÉGESTION

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

Panorama général des normes et outils d audit. François VERGEZ AFAI

Comment protéger ses systèmes d'information légalement et à moindre coût?

Notre métier, trouver pour vous des solutions informatiques!

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Gestion des incidents

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Trois Certificats d Etudes Spécialisées pour certifier vos compétences dans nos écoles d ingénieurs et accéder aux métiers de la cybersécurité :

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Hypervision et pilotage temps réel des réseaux IP/MPLS

connecting events with people

Livre Blanc La sécurité des systèmes d information industriels

Automation du bâtiment. Linecard. Nos Partenaires. Capteurs et appareils de terrain. PC industriels. Logiciel. Systèmes de cablage / Installation

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

DATASET / NETREPORT, propose une offre complète de solutions dans les domaines suivants:

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Problème posé. Sécurité. Sécurité Humaine. Exploitant. électronique. Politique Sécurité. Réglementation. Comportements

La métrologie au laboratoire. vigitemp 10. centrale de surveillance et de traçabilité vigitemp kit de cartographie vigicart

Serveur de messagerie

Indicateur et tableau de bord

Vers un nouveau modèle de sécurité

politique de la France en matière de cybersécurité

Infrastructure Management

Refonte des infrastructures du Système d Information Cahier des Charges pour l évolution du réseau d interconnexion du Centre Hélène Borel

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Le groupe et l actionnariat 10 M 30 M 2. Editique, GED, Archivage. Intégration, Infogérance, Développement

Mise en œuvre de la certification ISO 27001

PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

Mesures détaillées. La cybersécurité des systèmes industriels

Mise en place d une politique de sécurité

Créer un tableau de bord SSI

SNCC SCADA MES Vecteurs d intégration

MESURE DE L ÉNERGIE ET DES FLUIDES

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

BUSINESS INTELLIGENCE

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Fiche descriptive de module

WIFI ÉVOLUTIVITÉ - SÉCURITÉ - MOBILITÉ

Le catalogue TIC. Solutions. pour les. Professionnels

Le contrat SID-Services

Windows Internet Name Service (WINS)

UE 8 Systèmes d information de gestion Le programme

Intrunet SI120/SI220 Pour une sécurité sur mesure

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Dr.Web Les Fonctionnalités

ProCurve Manager Plus 2.2

Intrusion. Intrunet SI120/SI220 Pour une sécurité sur mesure. Answers for infrastructure. 1

Cycle de conférences sur Cloud Computinget Virtualisation. Le Cloud et la sécurité Stéphane Duproz Directeur Général, TelecityGroup

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Audits Sécurité. Des architectures complexes

L analyse de risques avec MEHARI

F orum INFORMATIQUE INDUSTRIELLE

Transcription:

Intégration de la cybersécurité aux systèmes de conduite industriels Méthodes et pratiques

Les Infrastructures critiques utilisant des Systèmes de Contrôle Industriels Industrie nucléaire Industrie pétrolière, chimique et pharmaceutique Traitement et distribution d eau Transport et distribution d électricité, de gaz Centrales électriques Infrastructures de transports (routières, ferroviaires, portuaires, aéroportuaires) Notamment les Opérateurs d Importance Vitale Cybersécurité des Systèmes de Contrôle Industriels -2-

Les composants techniques d un SCI Niveau 4 Système d information d Entreprise Logistique (ERP) Data Warehouse Facturation Système d Information d Entreprise Niveau 3 Gestion Opérationnelle Gestion Fabrication (MES) Gestion Distribution (DMS) Gestion Compteurs Intell. (MDM) Système de Contrôle Industriel Niveau 2 Supervision et Contrôle Acquisition Historisation Supervision Y Niveau 1 Contrôle Commande Bus numérique Bus numérique Contrôleur Contrôleur Liaisons point à point Contrôleur Bus numérique PC Industriel Entrées / Sorties distribuées Liaisons point à point Sans-fil Industriel Systèmes déportés RTU Liaisons point à point Contrôleur Niveau 0 Processus (capteurs & actionneurs) Cybersécurité des Systèmes de Contrôle Industriels -3-

Les enjeux de la cybersécurité des SCI Une montée des risques depuis 2010 Existence de cyber-attaques de plus en plus sophistiquées Piratage de Google en 2010, de plusieurs ministères et grandes entreprises françaises Fin du mythe de l isolation des Systèmes de Contrôle Industriels Intégration grandissante avec le Système d Information Nombreuses adhérences SI/SCI : applications de gestion des actifs, GMAO, gestion de la chaîne logistique, calculs de coût et facturation, Poussée par le progrès technique et les exigences de productivité Vulnérabilité intrinsèque des Systèmes de Contrôle Industriels Technologies hétérogènes et quelquefois anciennes Produits industriels (matériels et logiciels) mal protégés Mise à jour de sécurité irrégulières Vulnérabilité des développements spécifiques Découverte d opérations ciblant spécifiquement les SCI StuxNet a ouvert la boîte de Pandore Multiplication des obligations réglementaires liées à la sécurité en particuliers pour les «Opérateurs d Importance Vitale» Cybersécurité des Systèmes de Contrôle Industriels -4-

Les spécificités de la sécurité des Systèmes de Contrôle Industriel 1. La nature et la priorité des risque Le sabotage est le risque principal, plutôt que l espionnage 2. Des vulnérabilités techniques spécifiques Vulnérabilités des PLC, des RTU, des SCADA Equipements anciens Protocoles de communication vulnérables (Modbus/TCP, OPC, DNP3 ) 3. Des contraintes d exploitation différentes Difficulté d application des mesures traditionnelles (antivirus, patchs sécurité ) Nécessité d assurer la continuité 24/24 du fonctionnement 4. Des mesures de protection techniques spécifiques Segmentation et défense en profondeur Plus de contrôle par listes blanches Pare-feux et modules IDS métier, diodes réseau 5. Un environnement normatif complexe et évolutif ISO 27019, ISA 99/CEI 62443, normes nucléaires Cybersécurité des Systèmes de Contrôle Industriels -5-

La pyramide des processus de sécurisation Mesures de surveillance Mise en place infra. surveillance Supervision 24/24 Intervention sur incidents Forensique Veille et adaptation permanente des règles de détection Mesures de protection Mesures d atténuation Mesures d exploitation Contrôle des flux Durcissement des équipements Protection des données Plans de continuité Auditabilité et traçabilité Gestion identités Admin. des actifs & modifs. Définition de l architecture de sécurité Définition d une échelle de degrés de sécurité Analyse de criticité Conception des zones de sécurité Définition des adaptations de la topologie existante Mesures organisationnelles Politique Organisation Gestion des actifs Management des personnels Sensibilisation formation Liens avec sécurité physique Audits orga, techniques Analyse et gestion des risques Processus de remontées d alertes Cybersécurité des Systèmes de Contrôle Industriels -6-

Retours d expérience Organisation et management de la sécurité Architecture de systèmes de contrôle Normes de sécurité industrielle Réseaux et leurs infrastructures Sécurité des SCI Gestion de production industrielle Hacker éthique Des équipes pluridisciplinaires Cybersécurité des Systèmes de Contrôle Industriels -7-

Une longue marche Retours d expérience Etudes Conseil en gouvernance de la sécurité industrielle Etudes de risque du système industriel Développement de nouveaux systèmes Conception d architectures industrielles sécurisées Réalisation et mise en service de systèmes industriels sécurisés Sécurisation des systèmes existants par étapes successives Elaboration de plans de sécurisation et de plans de progrès Projets de déploiement de la sécurisation Maintien en condition de sécurité Amélioration continue de la sécurité du système industriel Audits organisationnels, techniques (tests de pénétration) Administration de sécurité (mises à jour, vulnérabilités, veille techno.) Surveillance 24/24 et interventions sur incident Etape 1 Etape 2 Etape N Processus d amélioration continue Cybersécurité des Systèmes de Contrôle Industriels -8-

Quelques règles d or Ne pas penser la tâche comme une extension ou un cas particulier de la sécurité du SI S entourer d une équipe pluridisciplinaire S assurer de l adhésion de l exploitant Commencer par les fondamentaux Mesures organisationnelles, architecture, hygiène informatique Approfondir avec le concours de spécialistes Méthodologie adaptées au contexte industriel pour les analyses des risques Conseils à l orientation dans la jungle des standards Approche systématique à la segmentation en zones de sécurité Cybersécurité des Systèmes de Contrôle Industriels -9-

Méthodologie Etudes Conseil en gouvernance de la sécurité industrielle Etudes de risque du système industriel Développement de nouveaux systèmes Conception d architectures industrielles sécurisées Réalisation et mise en service de systèmes industriels sécurisés Sécurisation de systèmes existants Elaboration de plans de sécurisation et de plans de progrès Maintien en condition de sécurité Amélioration continue de la sécurité du système industriel Audits organisationnels, techniques (tests de pénétration) Administration de sécurité (mises à jour, vulnérabilités, veille techno.) Projets de déploiement de la sécurisation Surveillance 24/24 et interventions sur incident Etape 1 Etape 2 Etape N Processus d amélioration continue Cybersécurité des Systèmes de Contrôle Industriels -10-

Mise en place d équipes pluridisciplinaires Organisation et management de la sécurité Architecture de systèmes de contrôle Normes de sécurité industrielle Réseaux et leurs infrastructures Sécurité des SCI Gestion de production industrielle Hacker éthique Cybersécurité des Systèmes de Contrôle Industriels -11-

Cybersécurité des Systèmes de Contrôle Industriels -12- Questions?

Les mesures organisationnelles Mise en place d un SMSII Différents cadres de référence disponibles Famille ISO 27k (générique) ISA 99/62443 (spécifique indus.) et qui sont en train de converger Mesures de contrôle et d audit Gestion des risques Gestion des risques Permet de prioriser les actions Sécuriser en premier les systèmes les plus sensibles Optimiser l utilisation du budget sécurité Peut amener à supprimer des fonctions vulnérables dont le besoin métier n est pas ou plus justifié Peut devenir une obligation réglementaire pour les OIV Différentes méthodes ou cadres normatifs ISO 27005 -> EBIOS Mise en place d indicateurs et de tableaux de bord Exemples Exemples de contrôles de contrôles organisationnels organisationnels Le site tient-il un inventaire de ses actifs et est-il à jour? Y a-t-il une cartographie des réseaux et est-elle à jour? Y a-t-il un processus cohérent pour clôturer les comptes et droits d accès des employés lorsqu ils quittent l organisation? Y a-t-il une liste à jour des personnels soustraitants et de leurs droits d accès? Existe-t-il un catalogue des règles appliquées sur les pare-feux et comment les configurations sontelles vérifiées? Les procédures de sauvegarde sont-elles en place, sont-elles testées régulièrement? Existe-t-il une politique de gestion des média amovibles, des PC de maintenance? Cybersécurité des Systèmes de Contrôle Industriels -13-

La définition de l architecture de sécurité ISA 99/CEI 62443 : la segmentation comme approche de la sécurisation Zone Supervision Conduit Zone Contrôle-Commande Zone de sécurité Ensemble physique ou logique d équipements partageant les mêmes contraintes de sécurité Dotée de frontières identifiées Avec une politique de sécurité adaptée Conduit Chemin pour les flux logiques entre deux zones Concentre les fonctions de sécurité permettant de relier de façon sûre deux zones de niveaux de sécurité différents Permet de concentrer les activités de surveillance aux points critiques Cybersécurité des Systèmes de Contrôle Industriels -14-

La segmentation comme approche de la sécurisation Système d entreprise Système de gestion du procédé Logistique (GPAO) Gestion Fabrication (MES) Historisation Routeur Data Mining Zone G Conduit G/S Zone S Exemple de segmentation d un système en zones et conduits Conduit S/SA-SB Atelier A Routeur Acquisition Zone SA SCADA A Atelier B Routeur Acquisition Zone SB SCADA B Routeur Connexions externes Zone EM Maintenance Routeur Zone CA Zone CB Zone EC Autom. A Bus numérique Process A PC industriel Zone PA Contrôleur Process B Autom. B Contrôleur Liaisons point à point Zone PB Capteurs extérieurs Routeur Sans-fil Industriel Cybersécurité des Systèmes de Contrôle Industriels -15-

Les mesures de protection techniques Durcissement des équipements Protection des accès physiques Verrouillage des ports USB et autres lecteurs (ex : DVD) inutilisés Protection physique des automates Durcissement des serveurs et des postes Durcissement des OS Politiques de mises à jour (patchs) de sécurité Protections antivirale dans la mesure du possible Autorisation des exécutables par listes blanches Détection d intrusion machine (HIDS) Durcissement des équipements industriels Désactivation des fonctions inutilisées (ex.: serveurs Web de maintenance) Modification / vérification des mots de passe Durcissement logiciel des communications (ex.: verrouillage par adresse MAC) Protection des données Contrôle des flux Séparation logique des flux VLAN, VPN Filtrage des flux réseaux Pare-feux traditionnels Filtrage des protocoles applicatifs Basé sur l examen du contenu des messages Nécessite des produits spécialisés capable de filtrer les protocoles de communication industriels (Modbus/TCP, OPC, OPC UA ) IPS et IDS spécialisés Diodes réseau Dispositifs techniquement très sécurisés, mais avec des contraintes de mise en œuvre et des inconvénients importants A réserver à la protection des dispositifs très critiques (exemple : automates de sûreté) Politique de sécurité des flux externes Equipements distants (RTU) Instrumentation extérieure (météo, radiologie) Connexions entrantes externes (ex : services de maintenance) Protection des données en écriture Chiffrement des données sensibles Dispositifs de sauvegarde et de fiabilisation Cybersécurité des Systèmes de Contrôle Industriels -16-

Les mesures d atténuation des risques Plans de continuité d activité Mise en place d une gestion des actifs centralisée Dispositions organisationnelles de secours Vérification des procédures de gestion de configuration de restauration des équipements individuels de restauration globale du système Protection de l intégrité des données de restauration Auditabilité et traçabilité Stockage des évènements Évènements des équipements réseau Évènements serveurs et postes de travail Évènements sondes IDS et IPS si applicable Protection des dispositifs d archivage Durcissement logiciel Redondance Eventuellement signature et chiffrement Cybersécurité des Systèmes de Contrôle Industriels -17-

Les mesures d exploitation Gestion des identités Administration des utilisateurs Création / désactivation / suppression de comptes Gestion des groupes et des profils Modification des permissions Politique de gestion des mots de passe Administration des actifs et gestion des modifications Gestion centralisée des actifs et gestion de la configuration du système Gestion des vulnérabilités et des niveaux de patchs Politique d application des correctifs de sécurité Gestion des modifications Cybersécurité des Systèmes de Contrôle Industriels -18-

Les mesures de surveillance Mise en place d une infrastructure de surveillance Centralisation des évènements Outils d analyse et de recoupement Instrumentation des points sensibles (IDS) En complément des évènements remontés en standard par les équipements Veille technique Outils de veille sur l état des menaces Adaptation permanente Des règles de détection Des règles de filtrage Surveillance 24/24 Mise en place d une organisation de gestion opérationnelle Surveillance 24/24 en centre opérationnel de sécurité Articulation avec équipes d exploitation opérationnelle Intervention sur incident Equipes d intervention familières des contraintes d exploitation opérationnelle Mise en place de SLA Capacités en forensique Cybersécurité des Systèmes de Contrôle Industriels -19-

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back