CYBERSÉCURITÉ INDUSTRIELLE CONSTATS & SOLUTIONS

Documents pareils
PANORAMA ET RISQUES DE L OUVERTURE DES SI MODERNES

PANORAMA DES MENACES ET RISQUES POUR LE SI

AUDIT CONSEIL CERT FORMATION

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Solutions de Cybersécurité Industrielle

SECURISEZ ANTIVIRUS LISTE BLANCHE FIREWALL PROTECTION USB LECTEUR BADGES RFID SIEM DATADIODE VOS SYSTÈMES DE CONTRÔLE INDUSTRIELS (ICS)

Mesures détaillées. La cybersécurité des systèmes industriels

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Sécurisation d un site nucléaire

politique de la France en matière de cybersécurité

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

SNCC SCADA MES Vecteurs d intégration

Catalogue de formation LEXSI 2013

5 novembre Cloud, Big Data et sécurité Conseils et solutions

WIFI ÉVOLUTIVITÉ - SÉCURITÉ - MOBILITÉ

Introduction sur les risques avec l'informatique «industrielle»

Atelier Tableau de Bord SSI

Expert en Acoustique et en Vibration

Solutions logicielles de gestion énergétique coopérante smart building in smart grid

L Agence nationale de la sécurité des systèmes d information

La sécurité informatique

le paradoxe de l Opérateur mondial

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

3 minutes. pour tout savoir sur. Orange Consulting le conseil par Orange Business Services

Bonnes pratiques en SSI. Présentation OzSSI - CDG 54 1

PRÉVENIR ET DIMINUER VOS RISQUES ANTICIPATE AND REDUCE YOUR RISKS

Organisation de la Cyberse curite. E ric Jaeger, ANSSI/SDE/CFSSI Journe e SPECIF-Campus du 7 novembre 2014, CNAM, Paris

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Note technique. Recommandations de sécurité relatives aux ordiphones

NOUVEAUX USAGES IT, NOUVEAUX DÉFIS

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Attaques ciblées : quelles évolutions dans la gestion de la crise?

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

Réduire les risques liés à la cyber-sécurité et accroître la résilience des process et des infrastructures critiques

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

Les Enjeux du Smart Water. Eau. Novembre 2013 Fabrice Renault Directeur commercial France. Schneider Electric Fabrice Renault 1

Solutions logicielles de gestion énergétique coopérante smart building in smart grid : Exemple CANOPEA. Xavier Brunotte info@vesta-system.

SÉCURITÉ DES SYSTÈMES D INFORMATION INDUSTRIELS

Vers un nouveau modèle de sécurité

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Association ESSONNE CADRES

L entrainement «cyber» : un élément clé pour améliorer la résilience

UE 8 Systèmes d information de gestion Le programme

pour Une étude LES DÉFIS DES DSI Avril 2013

Retour d expérience RTE suite à Stuxnet

Projet Sécurité des SI

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Maîtriser la SSI pour les systèmes industriels

Cloisonnement & zonage :

Présentation de la démarche : ITrust et IKare by ITrust

L entreprise face à la Cybercriminalité : menaces et enseignement

200 M. 15 ans d expérience. terminaux mobiles. intégrés par an. tickets de support mobilité traités par an. de dépenses telecom gérées

La sécurité applicative

Bonnes pratiques de la gestion des identités et des accès au système d information (IAM)

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

Device Management Premium & Samsung Knox

Maximiser la performance de vos projets immobilier de bureaux

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

HySIO : l infogérance hybride avec le cloud sécurisé

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

11 Février 2014 Paris nidays.fr

Sécurité et Consumérisation de l IT dans l'entreprise

PROJET SINARI. Approche de la Sûreté de fonctionnement et de la cyber-sécurité. Sécurité des Infrastructures et Analyse des Risques

Panorama général des normes et outils d audit. François VERGEZ AFAI

ITIL : Premiers Contacts

sommaire dga maîtrise de l information LA CYBERDéFENSE

Stratégie nationale en matière de cyber sécurité

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

La remise des prix se tiendra le 24 septembre (après-midi) dans le cadre de la Nantes Digital Week à La Cité à Nantes.

Les audits de l infrastructure des SI

L hygiène informatique en entreprise Quelques recommandations simples

Présentation de l offre de services

Maximiser la performance de vos projets immobiliers de bureaux

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

7ème. Forum International de la Cybersécurité. 20 et 21 janvier 2015 Lille Grand Palais. Cybersécurité et Transformation Numérique

TABLE RONDE TÉLÉTRAVAIL ET BYOD

PASSI Un label d exigence et de confiance?

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

Résumé CONCEPTEUR, INTEGRATEUR, OPERATEUR DE SYSTEMES CRITIQUES

Objets connectés, avez-vous donc une âme?

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Mesurer, collecter et monitorer pour agir

Appel à Projets MEITO CYBER

cap urba CAP SUR LES SMART GRIDS, EN ROUTE POUR LES SMART CITIES!

Présentation du projet Smart Electric Lyon

Le VDI et les solutions SaaS : Des outils puissants pour les DSI au service des utilisateurs. Château de Montchat, 7 octobre 2013

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

Outils logiciels SPC - une façon simple d optimiser les performances et la protection

La sécurité IT - Une précaution vitale pour votre entreprise

La conformité et la sécurité des opérations financières

Atelier A10 Quelle(s) place(s) pour le Risk Management dans un projet de transformation SI?

Les Infrastructures critiques face au risque cybernétique. Par M. Ahmed Ghazali Président de la Haute Autorité de la Communication Audiovisuelle

Plus de 20 ans d expérience en Risk Management, Gestion des crises, PCA, Sécurité de l information, SSI et des infrastructures télécom

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder

Transcription:

CYBERSÉCURITÉ INDUSTRIELLE CONSTATS & SOLUTIONS

SCADA? ICS? CONTRÔLE COMMANDE? 2

ARCHITECTURE «TYPE» Source : Schneider 3

ENJEUX ET PROBLÉMATIQUES Sécurité physique Ancienneté des systèmes, réseaux, protocoles Insécurité «native» hardware, software, protocoles La tendance à l interconnexion et aux accès distants Le risque humain : problématique centrale Le risque tiers / fournisseurs Les priorités budgétaires Convergence sécurité / sûreté : comment faire? 4

CYBERSÉCURITÉ INDUSTRIELLE une histoire de ponts DG DSI Achats Moyens Généraux Constructeurs Distributeurs Intégrateurs Installateurs Dir. Production Dir. Exploitation Automaticiens Resp. Sureté Resp automatismes Autres profils? 5

RÉGION RHÔNE ALPES 6

RHÔNE ALPES 90 sites SEVESO Nucléaire Stockage de gaz Raffineries 30000 entreprises industrielles Chimie Réseau routier Pharmacie Plasturgie Aéronautique & défense Smart Grid & Smart City Clusters et centres d excellence : Aerospace, EDEN (Défense et sécurité), Axelera (chimie), Lyonbiopôle, Plastipolis Quelques PIV et beaucoup de PI N V 7

CYBERSÉCURITÉ CIBLES SÉCURITÉ EN RHÔNE-ALPES 8

SHODAN «LYON» 9

SCADA À LYON? Dépôt pétrolier de Lyon Entrepôts Pétroliers de Lyon Stockage Pétrolier du Rhône 10

RAPIDE DÉMONSTRATION Simulation d un malware (injecté par email ou clé USB) ou d un pirate ayant accès à l environnement contrôle commande. Simulation d un hacker depuis Internet disposant de l outil (téléchargeable) Unity 11

Cybersécurité industrielle JUSQU ICI, TOUT VA BIEN LPM 2014-2019 : la loi instaure l obligation de notification d incidents affectant le fonctionnement ou la sécurité des systèmes d information des opérateurs d importance vitale. 12

PARANOÏA? 13

PARANOÏA? ÇA N ARRIVE (PAS) QU AUX AUTRES! 14

TOUT VA BIEN JUSQU À QUAND? (OU COMMENT RÉPONDRE À «ON N A JAMAIS EU DE PROBLÈME JUSQU À CE JOUR») 15

16

MULTIPLES PLATEFORMES EXPOSÉES Sofrel Passerelle IP modbus VNC Siemens S7-300 Hirschmann Schneider Yokogawa 17

Siemens Scalance Exemple digi... préoccupant 18

BILAN 2010-2013 Attaques ciblées sectorielles, mais uniquement aux Etats Unis (?) Rebond à partir d attaques «IT» vers des composants industriels Maladresses à répétition et infection de systèmes industriels Malversation, terrorisme ciblé sur les infrastructures vitales? PRISM et les infrastructures critiques? Prise de conscience? Résultats des audits menés par LEXSI préoccupants. 19

LPM OIV OI N V - ANSSI Loi n 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale Chapitre III article 20 : Accès administratif aux données de connexion Chapitre IV Promulgation en décembre Groupe de travail de l ANSSI en 2013, publication des outils en janvier 2014 20

LPM ET OIV : CONCRÈTEMENT Loi votée Déclinaison en 2014 => méthode d accompagnement LEXSI Mode projet, approche pluriannuelle modeste et pragmatique Convergence sûreté / sécurité : informaticiens et automaticiens, ensemble Audits maitrisés (pentest «de base» sans intérêt) Formations et sensibilisations Chantiers ANSSI labellisation produits et prestataires Applicabilité de la LPM et Audits en 2015? 21

OI N V 22

ORGANISATIONNEL Convergence sûreté - cybersécurité ANSSI ISO 2700x CEI-62443 & normes spécifiques Classe 1/2/3 Mesures organisationnelles et techniques Analyse de risque EBIOS ISO 27002 (mesures de sécurité IT) ISO 27005 (analyse de risques) Modélisation d un site industriel avec mise en évidence de zones et conduits Normes sectorielles (eau, énergie, nucléaire, transports ) 23

ORGANISATIONNEL - SIMPLIFIÉ Sponsoriser et organiser la gouvernance sûreté + sécurité Prioriser : approche risk management Sensibiliser, former : populations IT et industrielle Maitriser au travers de standards de sécurité «quick-win» : Inventaire Accès distants Prestataires et responsables maintenance Durcissement Cloisonnement Détecter, anticiper, réagir Veille pastebin, veille Shodan Sondes Audits 24

SOLUTIONS TECHNIQUES Une fois le diagnostic posé Une fois le sponsoring identifié Une fois les équipes formées et sensibilisées Une fois le cadre de gouvernance sûreté sécurité en place 25

SOLUTIONS («LABELLISABLES?») Sas de décontamination de périphériques USB http://vimeo.com/80463870 26

DEMAIN «Scada BYOD» Bring Your Own Disaster / Destruction Smart Grid / Smart Cities Smart peut être, sécurisé? Internet of everything Hacking everything on the Internet! 27

LEXSI LYON Bois des Côtes 1 - Bâtiment A 300 route Nationale 6 69760 LIMONEST Tél. (+33) 8 20 02 55 20 LEXSI LILLE Synergie Parc 4 rue Louis Broglie 59260 Lille-Lezennes Tél. (+33) 3 59 57 05 16 LEXSI CANADA 3446-202 rue St-Denis H2X 3L3 Montréal, Québec Tél. +1 514 903 6560 LEXSI SINGAPORE 46 East Cost Road Eastgate - #07-06 428766 Singapore Tél. : +65 63 44 69 26 INNOVATIVE SECURITY Pour vous aider à maîtriser vos risques SIEGE SOCIAL Tour Mercuriale Ponant 40 rue Jean Jaurès 93170 Bagnolet Tél. (+33) 1 55 86 88 88 Thomas HOUDY Manager Innovation & Stratégie thoudy@lexsi.com www.lexsi.com

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back