GRAND OUEST 12 Mai 2016
Paul-Vincent VALTAT- PORTS DE PARIS/HAROPA
Ports de Paris, un port HAROPA Une façade maritime de premier plan 1 er port français pour les conteneurs 1 er port intérieur français, 2 ème port intérieur européen 1 er port exportateur de céréales pour l Europe de l Ouest 1 er port intérieur mondial pour le tourisme 1 er port mondial pour les vins et spiritueux
Le réseau HAROPA
La cartographie des risques La cartographie est un outil de référence en matière de gestion des risques. Elle résulte d une démarche globale, devenant un outil de visualisation des risques majeurs d une entreprise à un instant «T». En donnant une représentation synthétique des risques majeurs à date, elle permet à l entreprise de piloter la gestion des risques et de contribuer à sa performance.
Cartographie des risques et Sécurité-Sûreté Cartographie des risques opérationnels basée sur le scénario de l évènement redouté ou sur la menace Une différence entre Sécurité VS Sûreté : Accidentel VS Intentionnel Risques de sécurité : incendie, pollution des sols, accidents divers Risques de sûreté : petite délinquance, terrorisme, cyber-sécurité, protection des expatriés 1 er échelon de la démarche de cartographie des risques Extension de la démarche vers d autres domaines (RH, finance, commercial etc.)
Cartographie des risques opérationnels : risques bruts
Titre Cartographie des risques opérationnels : risques nets
Sûreté en entreprise Des menaces, internes ou externes On parle de: Sûreté des biens et des personnes Sécurité informatique Fraude économique Risque d attentat, terrorisme et malveillance Vis-à-vis du personnel, des prestataires et clients Terrorisme, attentat kidnapping, agression Vis-à-vis du matériel Vols d informations commerciales (fichiers clients ) Vols technologiques (ordinateurs, machines, brevets, licences ) Vis-à-vis des actifs financiers Extorsion, blanchiment Escroquerie financière (fraude aux Présidents, crypto logiciels) Vis-à-vis de la notoriété Attaque à la réputation (E-réputation)
Sûreté en entreprise La sûreté : Devenu une obligation de résultat et non plus de moyens vis à vis des salariés (Karachi, 2002) Est un enjeu stratégique pour l entreprise qui concerne la protection de ses valeurs : humaines (salariés, expatriés et leur famille, clients, prestataires), matérielles (établissements, machines, capitaux, etc.) ou immatérielles (image de marque, procédés de fabrications, etc.) Concerne toutes les entreprises : privées comme publiques, grandes entreprises comme les PME/PMI qui représentent 80 % des entreprises en France Développement du concept de coproduction de sûreté : à l Etat la protection stratégique globale, aux entreprises la protection de leurs points vitaux, de leurs ressources humaines et patrimoniales.
Coproduction de sûreté Trois vecteurs sont à l œuvre dans le processus de coproduction de sûreté en cours en France depuis bientôt 20 ans : Secteur d activité Directives Nationales de Sécurité d importance vitale - 10 DNS SAIV - État - Opérateur d importance vitale - OIV Plan de Sécurité de l Opérateur PSO - Opérateur - Point d importance vitale - PIV Plan Particulier de Protection PPP - Opérateur - Plan de Protection Externe PPE - État - Coproduction de la sûreté (lois cadres de la sécurité depuis 1995) Une reconnaissance du secteur de la sécurité privée comme intervenant légitime, voire comme supplétif dans la chaîne de protection des personnes et des biens
Vulnérabilité et protection Comment définir la vulnérabilité de l entreprise face au terrorisme? - Symbolique de l entreprise (ex : Charlie Hebdo) - Lieu de forte fréquentation et de rassemblement (ex : 13 Novembre, attentat déjoué au 4 temps, RER Observatoire) Mais une limite lorsque l on parle de terrorisme d opportunité. Quelle protection mettre en place? Protection humaines : questionnement sur l habilitation du port d armes par des agents de sécurité, à l image des transporteurs de fonds (ex : agents de sécurité dans un centre commercial) Protection des biens matériels : questionnements sur la sécurisation des locaux de l entreprise. les contres mesures aux attentats (protection pare-balles, PNG sécurisé) peuvent être antagonistes au bon fonctionnement de l entreprise sans garantir une protection totale.
Sécurité-Sûreté et Assurances Une distinction à faire entre sécurité et sûreté Accidentel VS Intentionnel Pour la sécurité : fort lien avec les assurances Pour la sûreté : Quasi absence de lien Difficultés de probabilisation des actes intentionnels et nuisibles Des risques dans la sûreté de plus en plus importants Exemple : la cybercriminalité, actions violentes armées Un marché à fort potentiel pour les assurances Une réponse de transfert assurantiel pour ce type de risque
Peut-on aussi parler de cyberterrorisme? Fictions et réalités
Définition d une cyberattaque Cyberattaque = tentative d atteinte à des systèmes informatiques réalisée dans un but malveillant Objectifs : voler des données (secrets militaires, diplomatiques ou industriels, données personnelles, bancaires, etc.) détruire, endommager ou altérer le fonctionnement normal de dispositifs informatiques prendre le contrôle de processus informatiques tromper les dispositifs d authentification pour effectuer des opérations illégitimes Motivation : Attaques massives / attaques ciblées 15
Définitions du cyberterrorisme 1) regroupe l ensemble des pratiques en ligne des groupes terroristes 2) terme restreint à un type d attaques précis, celles qui utilisent le réseau Internet comme arme et/ou cible Impact motivation 16
Mythe ou réalité? Des auteurs (Winn Schwartau, John Arquilla, ), des séries Des groupes non-étatiques ont-ils vraiment : les moyens les compétences Des intérêts à utiliser ce levier leur action (attaques ciblées) Quelle faisabilité? Faible menace (impact) Mais existence de mercenaires informatiques 17
Déstabilisation des états Menaces sur les infrastructures (Dénis de service) Organiser et exécuter des attaques contre les réseaux et les SI Menacer : Disponibilité, Confidentialité, Intégrité Demande de rançons Fuite d informations Défacement de sites : notoriété Echanges d informations sur les réseaux 18
Usages d Internet par les groupes terroristes la communication (interne et externe) le recrutement le financement l organisation 19
Un levier de propagande Vidéos Forums Réseaux sociaux Communications secrètes => radicalisation autonome voire l émergence d individus organisant seul des attentats terroristes résumé dans le concept de «lone wolf» 20
Des exemples d attaques 2015 : 20 cyberattaques d'envergure en France (ANSSI) Décembre 2015 : Ukraine Avril 2015 : TV5 Monde Octobre 2012 : Octobre rouge Avril 2011 : Sony Mars 2011 : le Ministère des Finances Janvier 2011 : Canada Octobre 2010 : Stuxnet 2010 : découverte du réseau de machines «zombies» Mariposa 2008 : Installations militaires aux USA 2007 : Estonie 21
La Loi de Programmation Militaire et les OIV Secteurs étatiques : activités civiles de l état activités militaires de l état activités judiciaires espace et recherche Secteurs de la protection des citoyens : santé gestion de l eau alimentation Secteurs de la vie économique et sociale de la Nation : énergie communications électroniques, audiovisuel et information transports finances industrie 22
Les obligations des OIV : Gouvernance de la cybersécurité Rôles et responsabilité Impliquer les porteurs de risques métier dans le comité stratégique. Identifier les rôles manquants dans la gestion des SIIV et définir les objectifs de la mission. Décliner sur le périmètre des SIIV les procédures et référentiels déjà en place sur le reste du périmètre des SI. PSSI (Politique de sécurité des SI) Démontrer une stratégie interne de contrôle de la sécurité des SIIV. Indicateurs Créer des indicateurs et des données d inventaires pour chaque SIIV. Transmettre annuellement les indicateurs de chaque SIIV à l ANSSI. Formation Mettre en place un programme de sensibilisation et formation à la cybersécurité. Formation certifiante ou spécialisée (au moins au niveau de l entreprise) d administrateur SIIV. Démontrer un plan de formation/sensibilisation SSI au périmètre SIIV. 23
Homologation Les obligations des OIV : Maîtrise des risques Adapter les processus existants et les procédures d audit. Revoir annuellement le processus d homologation. Faire homologuer chaque SIIV tous les 3 ans par un audit d homologation classifié CD (audit d architecture + audit de configuration + audit organisationnel et physique) avec plan d action. 24
Les obligations des OIV : Maîtrise des systèmes d information Cartographie Cartographier ou mettre à jour la cartographie de chaque SIIV. Intégrer très en amont dans la conception des systèmes (Cahier des Charges) des exigences de cartographie. Cartographier les processus vitaux (essentiels aux missions vitales) et leurs dépendances respectives. Classifier les processus vitaux en correspondance avec la classification ANSSI. MCS (Maintien en condition de sécurité) Imposer la pratique de patch management et de maintien en condition de sécurité. Démontrer une politique de suivi des vulnérabilités et de leur traitement (correctifs) pour tout élément hard ou soft d un SIIV. 25
Les obligations des OIV : Gestion des incidents de cybersécurité Détection Définir d une politique de détection et de réaction Installer des sondes de détection d éléments suspects du SI Recourir à un prestataire de détection des incidents qualifié par l ANSSI sur chaque interconnexion des SIIV. Journalisation Intégrer très en amont dès la conception des exigences de journalisation. Formaliser et communiquer les directives de journalisation. Mettre en place une journalisation. Démontrer une politique de journalisation (6 mois mini) sur services applicatifs, réseaux, système, équipements de sécurité, postes d administration Installer, paramétrer et personnaliser les outils d analyse et de corrélation de journaux (SIEM). Traitement Recourir à un prestataire de réponse aux incidents qualifié par l ANSSI. Points de contact avec l ANSSI Identifier et communiquer les points de contact à l ANSSI. Fournir la cartographie de chaque SIIV à l ANSSI. Mettre en place le dispositif de remontée d alerte vers l ANSSI. Gestion de crise Adapter les cellules de crise, astreintes et procédures pour les décliner sur le périmètre industriel. Tous les 2 ans, démontrer sa capacité à pouvoir activer les mesures de crise. 26
Les obligations des OIV : Protection des systèmes Gestion des identités et des accès Identifier et valider les habilitations des personnes autorisées à accéder aux données confidentielles (ex. rapports d audit, inventaires, etc.). Créer un SI confidentiel défense afin de stocker les informations classifiées. Mettre en place des infrastructures de contrôle d accès et de gestion des habilitations. Administration Formaliser une politique de gestion et de rationalisation des comptes à privilège. Intégrer en amont à la conception des clauses de sécurité intégrant entre autre la gestion des comptes. Défense en profondeur Durcir les accès d administration, d ingénierie/maintenance (pas d Internet, de messagerie venant d Internet, réseau dédié ou chiffré). Mettre en place du cloisonnement intra SIIV. Mettre en place 3 mesures de réaction (configuration spécifique, filtrage, isolement Internet). Durcir les accès distants (hors opérateur ou prestataire qualifié SIIV) authentification, chiffrement des flux et des mémoires de masse. Durcir les SIIV par la désactivation des services non nécessaires et un filtrage des média amovibles. 27
Vigipirate : objectifs de cybersécurité 1. Piloter la gouvernance de la cybersécurité 2. Maîtriser les risques 3. Maîtriser ses systèmes d information 4. Protéger les systèmes 5. Gérer les incidents de cybersécurité 6. Evaluer le niveau de sécurité 7. Gérer les relations avec les autorités 28