Embed Size (px)
Citation preview
© D
CN
S J
une
2015
–al
l rig
hts
rese
rved
/ tod
oslo
s de
rech
osre
serv
ados
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
© D
CN
S J
une
2015
–al
l rig
hts
res
erve
d / t
odos
los
dere
chos
res
erva
dos
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
La méthode EBIOS dans les SI industriels des infrastructures portuaires
Thierry MaurArchitecte CyberSécurité DCNS
© D
CN
S J
une
2015
–al
l rig
hts
rese
rved
/ tod
oslo
s de
rech
osre
serv
ados
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
La méthode EBIOS dans les SI industriels des infrastructures portuaires / 03.05.2016 / 2
Sécurité des infrastructures portuaires
Activités DCNS le naval de défense, l’énergie, …
© D
CN
S J
une
2015
–al
l rig
hts
rese
rved
/ tod
oslo
s de
rech
osre
serv
ados
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
La méthode EBIOS dans les SI industriels des infrastructures portuaires / 03.05.2016 / 3
Sécurité des infrastructures portuaires
Cherbourg
Brest / Ile-Longue
Lorient
Nantes-Indret
ParisBagneuxIssy-Les-Moulineaux
Toulon / Ollioules
Saint-Tropez
Angoulême-Ruelle
Marseille
Bases navales, infrastructures portuaires et sites de production• Brest / Ile-Longue
Maintien en condition opérationnelle de la flotte et énergies marines renouvelables
• CherbourgSous-marins
• Le Mourillon / OllioulesSystèmes d’information et de surveillance
• LorientCorvettes, frégates, destroyers
• Nantes-IndretSous-marins et R&D
• RuelleSous-marins, simulateurs et formation
• Saint-TropezArmes sous-marines
• ToulonMaintien en condition opérationnelle de la flotte
• Paris, Bagneux, Issy-les-Moulineaux, MarseilleSiège , systèmes d’information et de surveillance, énergies marines renouvelables et nucléaire civil
L’ensemble des sites certifié ISO 14001
© D
CN
S J
une
2015
–al
l rig
hts
rese
rved
/ tod
oslo
s de
rech
osre
serv
ados
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
La méthode EBIOS dans les SI industriels des infrastructures portuaires / 03.05.2016 / 4
Sécurité des infrastructures portuaires
• Types d'installations qui s'appuient sur des systèm es de contrôles industriels (ICS)
• systèmes de contrôle et d'acquisition de données (SCADA )
• contrôler plusieurs installations distantes géographiquement
• systèmes numériques de contrôle-commande (DCS )
• superviser et contrôler plusieurs sous-systèmes locaux
• automates programmable industriel (PLC)
• commander des processus industriels par un traitement séquentiel
• envoi des ordres vers des actionneurs à partir de données d’entrées provenant de capteurs, de consignes et d’un programme
Les bases navales assurent une fonction de soutien aux navires
© D
CN
S J
une
2015
–al
l rig
hts
rese
rved
/ tod
oslo
s de
rech
osre
serv
ados
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
La méthode EBIOS dans les SI industriels des infrastructures portuaires / 03.05.2016 / 5
Sécurité des infrastructures portuaires
Fonctions de soutien pour les navires à quai
• Energie
• Fluide
• Station pompage
• Manutention sécurisée
• INBS (Installation Nucléaire Base Secrète)
• Grue
© D
CN
S J
une
2015
–al
l rig
hts
rese
rved
/ tod
oslo
s de
rech
osre
serv
ados
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
La méthode EBIOS dans les SI industriels des infrastructures portuaires / 03.05.2016 / 6
Sécurité des infrastructures portuaires
• Architecture et implémentation• réseau à plat, peu durcit
• protocoles historiques en clair
• directives s'opposent : bonnes pratiques (code lisible et commenté, …) vs programmation sécurisée
• Niveau de connectivité (ouverture du système)• ouverture à d’autres systèmes
• déport des postes de supervision et de conduite (espaces mutualisés)
• maintenance à distance
• étendue géographique (hors zones protégées)
• Accessibilité du système • Intervenants trés maturs techniquement / encore peu sensibilisés à la Cybersécurité
Les vulnérabilités des SI Industriels « en général »
© D
CN
S J
une
2015
–al
l rig
hts
rese
rved
/ tod
oslo
s de
rech
osre
serv
ados
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
La méthode EBIOS dans les SI industriels des infrastructures portuaires / 03.05.2016 / 7
• Particularités du SI Industriel• objectif : conduite d’installation (disponibilité) vs traitement des données
• lieu : entrepôts, usines, lieux isolés, en mer, dans l’air, … vs bureaux, salles informatiques, …
• intervenants : automaticiens, électrotechniciens, … vs informaticiens
• durée de vie : plus de 10 ans (parfois 30 ou 40 ans) vs environ 5 ans
• Tordre le cou du mythe de la protection « naturelle » des SI industriels • du fait de leur isolement et de leurs particularités techniques de moins en moins
vrai, il n’est plus nécessaire de pénétrer sur site pour atteindre les systèmes
Comparaison SI Industriel à un SI « traditionnel »
Sécurité des infrastructures portuaires
© D
CN
S J
une
2015
–al
l rig
hts
rese
rved
/ tod
oslo
s de
rech
osre
serv
ados
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
La méthode EBIOS dans les SI industriels des infrastructures portuaires / 03.05.2016 / 8
• Livre blanc sur la défense et la sécurité nationale de 2013, Loi de Programmation Militaire
• La cybersécurité est un enjeu majeur des quinze années à venir
• Impérieuse nécessité de protéger les systèmes d’importance vitale
• Prise de conscience
• le ver Stuxnet (2010) montre que des attaques sur des installations industrielles sensibles peuvent se réaliser
• Une démarche pour Qui ?
• toutes les industries, datacenters, réseaux de distribution d'électricité « intelligent », systèmes de gestion technique des bâtiments (GTB), de gestion technique centralisée (GTC) et les systèmes embarqués...
• Une démarche qui s’articule avec la PSSI-Armées, EB IOS 2010, ISO27000 et les guides ANSSI
PSSI-Armées EBIOS 2010 ISO 27000 Mesures détaillées ANS SI
Démarche de sécurisation des SI industriels
Sécurité des infrastructures portuaires
© D
CN
S J
une
2015
–al
l rig
hts
rese
rved
/ tod
oslo
s de
rech
osre
serv
ados
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
La méthode EBIOS dans les SI industriels des infrastructures portuaires / 03.05.2016 / 9
Sécurité des infrastructures portuaires
Matrice de classification du système industriel
Classification du SI industriel (guides ANSSI)
Classe du SI industriel 1, 2 ou 3
© D
CN
S J
une
2015
–al
l rig
hts
rese
rved
/ tod
oslo
s de
rech
osre
serv
ados
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
La méthode EBIOS dans les SI industriels des infrastructures portuaires / 03.05.2016 / 10
• Homologuer les nouveaux systèmes industriels critiq ues
• Bases de connaissances (contraintes spécifiques, vu lnérabilités, mesures par classes et des modes d’implémentations)
• 32 contraintes relatives aux systèmes industriels
• maitrise des installations, contrats, réglementation, changements, économiques, maturité cyber, ...
• 22 vulnérabilités des systèmes industriels
• 283 Mesures de cybersécurité
• 122 Mesures organisationnelles (pour l'ensemble des 3 classes)
• 161 mesures techniques (pour l'ensemble des 3 classes)
• concerne tout le cycle de vie du SI depuis les études jusqu’à la gestion de l’obsolescence
Guide ANSSI des mesures détaillées
Sécurité des infrastructures portuaires
© D
CN
S J
une
2015
–al
l rig
hts
rese
rved
/ tod
oslo
s de
rech
osre
serv
ados
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
La méthode EBIOS dans les SI industriels des infrastructures portuaires / 03.05.2016 / 11
Mesures détaillées
Méthode de classification et mesures principales
Maîtriser la SSI pour les systèmes
industriels
• Détermine une méthodologie cybersécurité pour les S I Industriels
• conception initiale, évolution, fin de vie, …
• Evalue le niveau de sensibilité du SI Industriel (c lasse)• profondeur de la démarche cyber à mettre en œuvre
• les objectifs de sécurité
• Prend les mesures cyber pour remplir les objectifs de sécurité fixés
• mesure technique / organisationnelle
• maintenir le niveau de sécurité et continuer de l’améliorer (MCS, Veille, Audit, …)
Mise en pratique sur les SI industriels des guides ANSSI
Sécurité des infrastructures portuaires
© D
CN
S J
une
2015
–al
l rig
hts
rese
rved
/ tod
oslo
s de
rech
osre
serv
ados
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
La méthode EBIOS dans les SI industriels des infrastructures portuaires / 03.05.2016 / 12
La démarche cybersécurité pour les SI Industriels (en synthèse)
Sécurité des infrastructures portuaires
© D
CN
S J
une
2015
–al
l rig
hts
rese
rved
/ tod
oslo
s de
rech
osre
serv
ados
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
La méthode EBIOS dans les SI industriels des infrastructures portuaires / 03.05.2016 / 13
Objectif de sécurité
Sécurité des infrastructures portuaires
FEROS : Fiche d’expression rationnelle des objectifs de sécurité de sécurité des systèmes
d’information
EBIOS : Expression des Besoins et
Identification des Objectifs de Sécurité
Norme ISO/CEI 27002:2013
Articles 5 à 18
Objectif de sécurité
• « Clé de voûte »
© D
CN
S J
une
2015
–al
l rig
hts
rese
rved
/ tod
oslo
s de
rech
osre
serv
ados
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
La méthode EBIOS dans les SI industriels des infrastructures portuaires / 03.05.2016 / 14
Modules EBIOS / Livrables
Sécurité des infrastructures portuaires
FEROS : Fiche d’expression rationnelle des objectifs de sécurité de sécurité des systèmes
d’information
Objectif de sécurité
PDS : Plan de sécurité
© D
CN
S J
une
2015
–al
l rig
hts
rese
rved
/ tod
oslo
s de
rech
osre
serv
ados
/ tou
s dr
oits
rés
ervé
s –
Cré
dits
pho
tos
: DC
NS
, Mar
ine
natio
nale
La méthode EBIOS dans les SI industriels des infrastructures portuaires / 03.05.2016 / 15
Conclusion
Questions / réponses / réactions à chaud…
