Sécurisation d un site nucléaire



Documents pareils
Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Club Automation : Journée Cyber Sécurité Intégration de la Cyber Sécurité : Enjeux et étapes. 03 Décembre 2013

Projet Sécurité des SI

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

La gestion des réseaux électriques HTA des usines du SIAAP avec la CEI 61850

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Retour d expérience RTE suite à Stuxnet

Les réseaux de campus. F. Nolot

Technique et architecture de l offre Suite infrastructure cloud. SFR Business Team - Présentation

Solutions de Cybersécurité Industrielle

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Protection des infrastructures critiques vitales contre les cyber-attaques. Vers une culture de sécurité

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

CAHIER DES CLAUSES TECHNIQUES

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

TOPOLOGIES des RESEAUX D ADMINISTRATION

Vulnérabilités et sécurisation des applications Web

Etat des lieux sur la sécurité de la VoIP

Le Multicast. A Guyancourt le

Cisco Certified Network Associate

Atelier Sécurité / OSSIR

Figure 1a. Réseau intranet avec pare feu et NAT.

CONFIGURATION DE BASE

Virtualisation de la sécurité ou Sécurité de la virtualisation. Virtualisation de la sécurité Sécurité de la virtualisation Retour d expérience

PROJET DASOËB AFTEC SIO 2. Bouthier Christophe. Dumonteil Georges. Jérémy Saumon. Alex Drouet. Présentation du plan de description. 0.

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

CYBERSÉCURITÉ INDUSTRIELLE CONSTATS & SOLUTIONS

Architecture Principes et recommandations

Sécurisation et résilience des services DNS/DHCP Gestion de l adressage IP automatisée

MSP Center Plus. Vue du Produit

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

La sécurité des PABX Le point de vue d un constructeur Les mesures de sécurisation des équipements lors du développement et de l intégration


Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Mesures détaillées. La cybersécurité des systèmes industriels

Étendez les capacités de vos points de vente & sécurisez vos transactions.

Nouvellement recruté au sein de l entreprise STEpuzzle, Vous êtes stagiaire administrateur réseau et système.

Contrôle d accès Centralisé Multi-sites

La sécurité IT - Une précaution vitale pour votre entreprise

Impression de sécurité?

Virtualisation et Sécurité

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

NOTIONS DE RESEAUX INFORMATIQUES

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Administration Réseau

GENERALITES. COURS TCP/IP Niveau 1

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Extrait de Plan de Continuation d'activité Octopuce

International Master of Science System and Networks Architect

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

MOBILITE. Datasheet version 3.0

CONFIGURATION DE BASE

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

Le e s tocka k ge g DAS,NAS,SAN

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Artica Proxy Appliance Haute disponibilite

Présentation de la Société

Notice d installation des cartes 3360 et 3365

Mise en œuvre d une infrastructure de virtualisation au CNRGV

UCOPIA EXPRESS SOLUTION

Sécurité de la ToIP Mercredi 16 Décembre CONIX Telecom

Connexion à distance. Pour configurer les automates Beckhoff via un PC de programmation VERSION : 1.0 / PH

Enregistreur Energie Electrique et Tele Surveillance GTB8 sur RESEAUX IP ETHERNET

LAB : Schéma. Compagnie C / /24 NETASQ

I. Description de la solution cible

politique de la France en matière de cybersécurité

The Path to Optimized Security Management - is your Security connected?.

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Introduction sur les risques avec l'informatique «industrielle»

RECTORATC / AC

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

GUIDE UTILISATEUR. KPAX Discover

Tout sur les Réseaux et Internet

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Hypervision et pilotage temps réel des réseaux IP/MPLS

Groupe Eyrolles, 2004, ISBN :

Tendances de la sécurité informatique à l IN2P3. Actions pour renforcer la sécurité. Sécurité Cargèse 2001 Bernard Boutherin 1

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Administration des ressources informatiques

Cabinet d Expertise en Sécurité des Systèmes d Information

Chapitre 11 : Le Multicast sur IP

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Train & Métro. Solutions de communication WiFi durcies pour applications ferroviaires au sol et en embarqué

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

DIFF AVANCÉE. Samy.

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Manuel d utilisation de la plate-forme de gestion de parc UCOPIA. La mobilité à la hauteur des exigences professionnelles

INTRUSION SUR INTERNET

Audits Sécurité. Des architectures complexes

Cas d une Administration Algérienne

Windows Server 2012 Administration avancée

Table des matières GUIDE D HYGIÈNE INFORMATIQUE

Sécurité des réseaux Les attaques

HySIO : l infogérance hybride avec le cloud sécurisé

Transcription:

Sécurisation d un site nucléaire Club automation 03 décembre 2013 Application du concept de défense en profondeur Laurent RAILLIER

Un site nucléaire existant Base installée Schneider Electric importante Plus de 1000 automates programmables Plus d un millier de switchs Architecture SCADA client/serveur de plus 900 000 variables Distribution électrique Besoin de sécurisation du système de contrôle commande Suite aux cyber attaques de type Stuxnet Exigence gouvernementale de sécurité Schneider Electric retenu car Concepteur du réseau existant Fournisseur de 99% des dispositifs connectés Bonne connaissance du métier client 2

Quelques exemples d attaques 2007 : réseau électrique d Espirito Santo 2009 : coupure géante au Brésil 2008 : ensemble de infrastructures de la Géorgie 2011 : usines d armement Lockheed Martin 3

Pourquoi les systèmes industriels sont-ils vulnérables? Connexion des réseaux industriels sur les réseaux d entreprise ouverts sur l extérieur. Systèmes d exploitation propriétaires Maintenance complexe OU Systèmes standardisés Plus exposés Utilisation de protocoles de communication propriétaires Faible prise en compte «historique» de la cybersécurité par les industriels: Mots de passe usine non modifiés, ports de communication ouverts, pas de gestion sécurisée des utilisateurs, politique de cybersécurité inexistante 4

Spécificités du contexte industriel / IT Contextes différents IT Automation IT Priorités différentes Automation Pas de risque de perte humaine Transactions des infos «lente» Durée de vie courte Sécurité! Faibles temps de réponses Durée de vie longue Confidentialité Intégrité Priorité Disponibilité Intégrité Maintenance à la volée Maintenance périodiques Disponibilité Confidentialité Jargon informatique Jargon industrie Normes domaine IT (ISO 27000 ) Normes industrie 5

Architecture originelle du réseau de l usine Architecture à plat, un seul plan d adressage IP pour tous les équipements (switchs, API, serveurs, IHM) Réseau Backbone Anneau 2 Anneau 3 Anneau n Anneau 1 Cahier des charges client : Séparer les réseaux pour maîtriser les flux Analyser les flux circulant sur le réseau Filtrer (détection de flux suspect et bloquer) 6

Méthodologie du projet de cybersécurité L approche «Defense in Depth» (DiD) Prestations réalisées par Schneider Electric Dans le cycle de vie de ce projet 7

Architecture finale: flux routés et filtrés Gestion du routage de Vlan Routeur Fw Routeur Fw Approche DiD Switch Réseau Backbone Switch Anneau 2 VLAN A 2 Anneau 3 VLAN A 3 Anneau n VLAN A 4 Anneau 1 VLAN S 1 Performance maintenue Disponibilité (domaines de broadcast, redondance) Temps de réponses des API Fluidité conservée de la supervision 8

Mise en œuvre Durcissement du matériel - Politique de changement des mots de passe - Désactivation des ports inutilisés (telnet, http, ftp) - Mise en place de bouchons sur les ports inutilisés RJ45, USB Approche DiD Engagement de non dégradation des performances - tests plateforme - Administration du réseau - Tests de charges selon RFC2544, tests de basculement 9

Maintenance Approche DiD Patch management veille tests sur plateforme équivalente au système de production validation avant déploiement des patchs Mise à jour des versions (Hard & Soft) Mises à jour des accès, gestion des utilisateurs active directory Maintien des compétences Formation des acteurs aux principes de cybersécurité Monitoring (En cours d étude) Capacité dédiée aux systèmes d automatisme intégrité des applicatifs et des OS surveillance des charges CPU surveillances des statistiques réseaux Surveillances des tentatives de connexion 10

Conclusion Obligation aux industriels de respecter les exigences règlementaires Législation, directives, Loi de programmation militaire Comment adresser le contexte industriel Bonne connaissance des technologies d automatisme Durcissement du matériel Mises à jour des OS Equipes d experts Formation des équipes (méthode Ebios, SANS) Montée en compétence des équipes sur projets Connaissance des métiers industriels Garanties de fonctionnement / de performances Partenariats avec les experts sécurité IT Outils déployés par Schneider Electric Intégration de la cybersécurité dans les nouvelles offres (Achilles N2) Publication des failles de sécurité, des correctifs et des recommandations Guide de déploiement (livre blanc, architectures TVD, STN) Offres de services et de formation en cybersécurité 11

Merci Questions

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back