Sécurite operationnelle des systèmes d'information Volet-1

SPÉCIALISTE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION

Philippe PRESTIGIACOMO - Dirigeant de PRONETIS� Consultant SSI – Lead Auditor 27001 / Risk Manager 27005

� Membre du GREPSSI, OWASP

� Formation en enseignement supérieur (PolyTech’Marseille, CNAM, Luminy)

PRONETIS – www.pronetis.fr� Société indépendante spécialisée en SSI

� Audit – Conseil – Formation – Lutte contre la fraude informatique

1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

VOLET 1


AGENDA VOLET I

� Module N°1 : Contexte général de lasécurité des systèmes d’information� Analyse du contexte et chiffres clés

� Cybercriminalité

� Déséquilibre attaquant – défenseur

� Compétences & sophistication des attaques

� Origine de la menace – typologies des attaques

� Module N°2 : Problématique spécifique liée à la sécurité des systèmes industriels� Présentation des Systèmes d’information industriel

� Illustration – domaines d’exploitation

� Problématiques

� Exemples de sabotage – Cas de Stuxnet

� Vulnérabilités des systèmes industriels

� Etat des lieux – impacts - constat

� Module N°3 : Principes fondamentaux de la sécurité du système d’information � Principes fondamentaux de la sécurité du système

d’information

� DICP – Disponibilité Intégrité Confidentialité Preuve

� Scenarios génériques de menaces - Statistiques

� Informations / applications à protéger

� Evolution de la sécurité des systèmes d’information

� Relativité de la sécurité – Difficultés de la sécurité

� Pour aller plus loin� Livre

� Magazine

� Articles - Web


TRAVAIL PERSONNEL

� Sécurité informatique et réseaux - 4eme édition Ghernaouti� Lecture des chapitres suivants

� Chapitre 2 Cybercriminalité : 2.1 à 2.6

� Chapitre 1 Principes de sécurité : 1.1, 1.2


VIDÉO DE LANCEMENT DU COURS


ANALYSE DU CONTEXTE ET CHIFFRES CLÉS

CYBERCRIMINALITÉ

DÉSÉQUILIBRE ATTAQUANT – DÉFENSEUR

COMPÉTENCES & SOPHISTICATION DES ATTAQUES

ORIGINE DE LA MENACE – TYPOLOGIES DES ATTAQUES

MODULE N°1 : CONTEXTE GÉNÉRAL DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION


ANALYSE DU CONTEXTE ET CHIFFRES CLÉS


QUELQUES CHIFFRES

�73% des entreprises françaises déclarent dépendre de leur outil

informatique (source CLUSIF)

�50% des sociétés qui ont connu un sinistre majeur informatique ont

cessé leur activité dans les deux ans qui ont suivi (source CLUSIF)

� Le risque informatique est un des cinq risques majeurs recensés par l’entreprise (source Protivit)


QUELQUES CHIFFRES

� Coût estimé de la cybercriminalité et du piratage informatique en

2014 pour les entreprises entre 375 et 575 milliards de dollars par an (source IDC) (1/3 dépensé pour tenter de réparer les dégâts occasionnés)

�91% des entreprises ont subi au moins une cyber attaque en 2014, les autres ignorent qu'elles le sont (Cassidian)

� La plupart des cyber attaques ont pour but le vol de données après vient le sabotage et l’atteinte à l’image


CYBERCRIMINALITÉ


� Qu’est-ce que la cybercriminalité ?� Activité criminelle portant atteinte aux données, au non-respect des droits d'auteur ainsi

que les activités telles que la fraude en ligne, l'accès non autorisé, la pédopornographie et le harcèlement dans le cyberespace.

� Cyber délinquance : individus attirés par l’appât du gain, motivation politique, religieuse, concurrents directs de l’organisation visée…

� Quel est son objectif, ses cibles ?� Gains financiers (accès à de l’information, puis monétisation et revente)� Utilisation de ressources (espace de stockage de films ou autres contenus, botnets) � Chantage, Espionnage

� Quelle est la tendance de la cybercriminalité ?� Les "cyber-attaquants" identifient et affinent leur s approches de façon plus

stratégique , ciblant ainsi leurs victimes de manière plus sélective afin d’améliorer le taux d’infection de leurs attaques (source : Trend Micro)

Kas

pers

ky

Nor

se


CONTEXTE

CYBER-ATTAQUES INDUSTRIELLES

� Piratage du système d’adduction d’eau de Springfield

� Attaque sur différents gazoducs aux états unis en 2012 - Attaque provenant d’un malware en pièce jointe d’un mail

� En 2012, Cyber attaque de la centrale nucléaire Three Mile Island au niveau du système de contrôle commande des pompes de refroidissement

� En 2013, cyber attaque d’un réseau ferroviaire aux états unis occasionnant de nombreux retards.


http://securid.novaclic.com/cyber-securite-industrielle/cyberloup.html

DÉSÉQUILIBRE ATTAQUANT - DÉFENSEUR

• Principe n°1 : Le défenseur doit défendre tous les points; l’attaquant peut choisir le point le plus faible

• Principe n°2 : Le défenseur ne peut défendre que ce qu’il connaît; l’attaquant peut rechercher des points vulnérables

• Principe n°3 : Le défenseur se doit d’être vigilant en permanence; l’attaquant peut attaquer quand il le veut

• Principe n°4 : Le défenseur doit respecter les règles; l’attaquant peut faire ce qu’il veut

L’avantage de l’attaquant et le dilemme du défenseur :


COMPÉTENCES & SOPHISTICATION DES ATTAQUES


MENACES ET VULNÉRABILITÉS


ATTAQUE - Exploitation concrète d’une vulnérabilité d’un système qui conduit à des conséquences plusou moins grave sur la fonctionnalité ou les données du système.

Typologie des attaques� Attaques génériques

- 30 Millions de nouveaux malwares en 2012› CONFICKER, 2009

� Attaques ciblées- Informatique conventionnelle

› FLAME, 2010› ACAD, 2012› SHAMOON, 2012

- Systèmes industriels› STUXNET, 2010› DUQU, 2011

D’OÙ VIENT LA MENACE ?


Mauvaise utilisationMalveillance

Ingénierie sociale (Arnaque, Manipulation)

Catastrophes Naturelles

Intrusions, vers

Codes malicieux : Keylogger, botnets, sniffer, …

Données

Rebond, propagation …

Web : Contenu illicites

MENACES ET ATTAQUES : LES TYPOLOGIES


Idée reçue : Construire une forteresse technique …

• Ce qu’il faut savoir :

– 80% des problèmes de sécurité informatique proviennent de l’intérieur des organisations

– Le maillon faible est humain

– La politique de sécurité informatique n’est jamais définitive

– La sécurité est un ensemble : Il suffit d’un seul élément non sécurisé pour que l’édifice soit vulnérable

Nécessaire mais pas suffisant !


Il existe une multitude de critères pour classer les attaques :

� Attaques non techniques� Ingénierie sociale, scam, phishing, loterie …

� Attaques techniques de type � Attaque directe, par rebond, par réflexion ou « man in the middle »

� Attaques en fonction du système utilisé� Infrastructure réseau, système d’exploitation, application



Vue logiques des attaques

Attaques Protocoles

Cross scripting, SQL InjectionMots de passe Force brute/DicoBuffer Overflow, Trojan, Virus, DNS poisoning

Hijacking de session, IP spoofingRejeu, Syn Flood, SmurfScan de ports

ARP cache poisoningEtc..

Déni de service



Vue périmètrique des attaques




Objectif : Attaquer un internaute pour prendre le contrôle de son poste de travail à distance à des fins illicites

Hypothèse : L’attaquant a déjà compromis un serveur Web avec du contenu malveillant qui lui permettra de réaliser son attaque sur une cible finale.





Motivations : argent, puissance• Vol de Données sur l’ordinateur infecté

– Documents, mots de passe, Accès compte bancaires, …– n° de série logiciels, …

• Deni de Service– Quelques centaines de machines peuvent rendre indisponible un site de commerce (consommation de

bande passante, saturation de ressources, panne de système ou application)

Exemples :– Au Kentucky, des sites web inaccessibles pendant une semaine car refus de payer 10.000 $– Angleterre, des casinos en ligne se sont vus proposer une « protection » contre 50.000 $/an– En 2008 : 190 000 attaques par DoS pour un gain de 20 millions de dollars.

• SPAM

– env. 70% des Spam sont envoyé à partir de machines zombies– en 2008 : $80 par millions de spam envoyé

– Des botnets sont « loués » pour l’envoi de Spam (Entre 2,5 & 6 cents par bot par semaine )(- forums de SpecialHam.com, Spamforum.biz)

Constats : Guerre des gangs sur Internet

PAUSE-RÉFLEXION

Avez-vous des questions ?


RÉSUMÉ DU MODULE


Déséquilibre attaquant –défenseur

Analyse du contexte et chiffres clés

CybercriminalitéDéséquilibre attaquant –défenseur

Origine de la menace –

typologies des attaques

MODULE N°2 : PROBLÉMATIQUE SPÉCIFIQUE LIÉE À LA SÉCURITÉ DES

SYSTÈMES INDUSTRIELS


PRÉSENTATION DES SYSTÈMES D’INFORMATION INDUSTRIEL

ILLUSTRATION – DOMAINES D’EXPLOITATION

PROBLÉMATIQUE

EXEMPLES DE SABOTAGE - CAS DE STUXNET

VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS

ETAT DES LIEUX

SYSTÈME D’INFORMATION INDUSTRIEL

� Les systèmes d’automatisme ou systèmes de contrôle industrielsont utilisés pour de multiples applications� Usine classique : chimie, agro, automobile, pharma, production d’énergie…

� Sites plus vastes : traitement de l’eau, des réseaux de transport…

� Gestion de bâtiment (aéroport, hôpitaux…)

� Propulsion de navire

� Santé : biomédicale, laboratoire d’analyse …

Les systèmes industriels contrôlent les infrastructurescritiques depuis les réseaux électriques au traitement del'eau, de l'industrie chimique aux transports. Ils sontprésents partout.

27 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

ÉVOLUTION

� Historiquement� Systèmes d’information industriels basées sur des technologies propriétaires et

isolées du monde extérieur

� Protection des accès physiques jugée suffisante, la sécurité logique n’étantpas une préoccupation majeure

� Aujourd’hui� Systèmes basés sur des technologies répandues, ouvertes et standardisées

� Communication directe établie entre les systèmes d’information industriels etles systèmes d’information de gestion de l’entreprise

Cette évolution des techniques expose ces systèmes auxmenaces actuelles qui ciblent les systèmes d’informationde gestion


CARACTÉRISTIQUES DES SYSTÈMES INDUSTRIELS

� Disponibilité

� Durée de vie des équipements

� Multiples technologies et fournisseurs

� Couvertures géographiques

� Effets indésirables de la mise en œuvre de la sécurité

� Interconnexion au système d’information de gestion del’entreprise

� Télémaintenance

La sécurisation des systèmes industriels passent par lacompréhension de leurs spécificités et de leurscontraintes


ARCHITECTURE TYPIQUE


Combinaison du monde industrielavec le monde informatique

COMPOSANTS D’UN SYSTÈME INDUSTRIEL

� Automate Programmable Industriel (API ou PLC) : Dispositif électronique programmable destiné à la commande de processus in dustriels.

� Actionneur : Organe fournissant la force nécessaire à l'exécutio n d'un travail ordonné par une unité de commande distante (vérin, moteur, …)

� Contrôle-commande : Système numérique de contrôle commande (SNCC) Systè me d’automatisme et de composants d’interface qui perm et à l’exploitant de contrôler son installation.

� Capteurs : Dispositif transformant l'état d'une grandeur physi que observée en une grandeur utilisable.

� IHM (Interface Homme Machine) : Moyens et outils mis en œuvre, afin qu'un humain puisse contrôler et communiquer avec une machine.

� Pré-actionneur : Système permettant de distribuer l'énergie vers un actionneur.

� Bus terrain

� Logiciel de supervision et de contrôle : SCADA

� Logiciel de gestion de production assistée par ordi nateur ( GPAO, MES)

� Logiciel d’ingénierie et maintenance

� Système embarqués


ILLUSTRATION - AUTOMATE


SYSTEME INDUSTRIEL

Régulation et automatismeMots(millisecondes)API, DCS, HMI, poste de conduite

SupervisionElaboration des ordres - calculateur de process -

Pilotage historisation -gestion des processus industriels (MES)

Fonctions centralesfinance, compta, info centre


Niveau 0Capteur et ActionneurBits (microsecondes)Systèmes embarqués

SYSTEME INDUSTRIEL


ILLUSTRATION D’ARCHITECTURE INDUSTRIELLE ÉTENDUE


ILLUSTRATION D’ARCHITECTURE INDUSTRIELLE LOCALISÉE


ILLUSTRATION : TRAITEMENT DE L’EAU


DOMAINES D’EXPLOITATION

Industrie Transports Energie Défense


DISPONIBILITE

� Au sein de ces installations, les automatismes assurent� Le bon fonctionnement / les délais de production

� La sécurité des biens et personnes

� La conformité avec les exigences réglementaires sur l’environnement

� La conformité avec les exigences réglementaires en terme qualité (traçabilité notamment)

L’arrêt même momentané peut avoir desconséquences graves sur la sécurité des personnes.


DUREE DE VIE

� Entre 10 et 15 ans selon la machine

� Fonctionne 24h/24 et 7j/7

� Peu ou pas d’arrêt de maintenance

Difficultés pour le support et des pièces de rechangeDifficultés de mettre régulièrement à jour les équipements


MULTIPLES TECHNOLOGIES - FOURNISSEURS

� Installation hétérogène : cohabitation de technologies et de générations différentes

� Modification ou extension des installations

� Fenêtre technologique entre 15 à 20 ans

Difficultés pour déployer une même solution de sécurité sur l’ensemble des équipements


ENVIRONNEMENTS

� Des conditions environnementales extrêmes :� Atmosphère humide, poussiéreuse, explosive, corrosive

� Température

� Pression

� Chocs et vibrations

� Radiations

Difficultés de trouver des produits informatiques de sécurité répondant aux critères environnementaux.


GÉOGRAPHIE

Difficulté de sécuriser chaque siteBesoin croissant en télémaintenance


� Installation très étendue� Site industriel avec des superficies importantes : 15.000 à 20.000 m²

� Réseaux nationaux avec des filiales disposant d’une grande autonomielocale

� Multiples sites interconnectés

� Nécessité pour certains systèmes de disposer d’accès à distance viaInternet - Equipements connectés sur Internet afin de faciliter leurexploitation

INTERVENANTS – CULTURE SÉCURITÉ

� Interlocuteurs avec des cultures et sensibilités différentes� Électroniciens, automaticiens, qualiticiens

� Absence de formation ou de sensibilisation à la sécurité

� Turn-over important du personnel en production � Intérimaire - Sous-traitant

� Quid de la confidentialité des données sur les postes SCADA – recette de fabrication….

Difficulté de maitriser l’ensemble des intervenants. Ilfaut comprendre le métier et les problématiques, savoirdialoguer avec l’ensemble des interlocuteurs.(automaticiens et informaticiens).


PROTOCOLES

� Protocoles ouvert ou propriétaires� Protocoles historiques non IP / non Ethernet (industrial ethernet,

modbus-tcp, profinet, DNP3)

� Sans authentification, ni chiffrement des données transportées

� Absence de gestion des transactions en mode connecté

Nécessité d’avoir des équipements de filtrage compatiblesDifficultés de trouver des produits de sécurité répondant aux critères


SÉCURITÉ EMBARQUÉE ET SÉCURITÉ RÉSEAU

� Ressources limitées Versus fonctions de sécurité embarquées dans les systèmes� Filtrage des flux : Pare-feu

� Temps de réponse courts Versus équipements de filtrage réseau

� Sondes de détection d’intrusion (HIDS / HIPS)

� Filtrage des flux : Pare-feu

� Compatibilité protocolaire� Inspection des paquets en profondeur

Difficultés d’embarquer des fonctions de sécuritéévoluées L’équipement de filtrage doit être compatibleavec les protocoles en présence.


SÉCURITÉ RÉSEAU VERSUS MAILLAGE DU RÉSEAU

� Communication pair à pair et non client-serveur� Tous les équipements communiquent entre eux

� Le dysfonctionnement d’un équipement peut entrainer un dysfonctionnement du système entier - Tous sont critiques

Il est alors nécessaire de protéger chaque équipement.Ce qui peut être long et coûteux


CORRECTIFS DE SÉCURITÉ – PATCH MANAGEMENT

� Durée de déploiement incompatible avec les contraintes de productivité� Nombreux équipements à des distances variables

� Durée de déploiement importante

� Risque d’indisponibilité� Effets inattendus entrainant un disfonctionnement partiel ou total

� Peu de possibilité de déploiement� Peu d’arrêts planifiés

Le contexte industriel laisse peu de créneaux temporelspour déployer les patchs de sécurité.


CONTRÔLE D’ACCÈS LOGIQUE

� Temps de réaction� En situation de crise la contrainte du contrôle d’accès peut faire perdre

du temps

� Ambiance peu propice à la biométrie� Graisse, port de gant, masques, …

� Compatibilité sur l’ensemble de l’installation� Technologies et générations de machines différentes

Le contrôle d’accès pourrait être source de stress et deperte de temps.


ANTIVIRUS

� Risque d’indisponibilité des processus , chaines de fabrication � Faux positif entrainant la suppression / Mise en quarantaine d’un fichier

essentiel

� Conséquences multiples : perte de visualisation / contrôle du système decontrôle-commande, arrêt de fonctionnement automatisé du système

� Difficulté pour mettre à jour la base virale� A cause du cloisonnement des réseaux de gestion et industriels, la mise à

jour peut être complexe

L’architecture antivirale à déployer doit prendre encompte les ressources disponibles sur les automates etles postes de pilotage.


SURVEILLANCE

� Difficultés pour se connecter à tous les équipements� Protocoles propriétaire

� Technologies différentes

� Traçabilités des informations� Absence de fonctionnalité de journalisation embarquée

� Compétences � Analyse des événements dans le périmètre

Difficultés d’analyser les évènements provenant d’unsystème industriel. Pour cela, il est nécessaire d’avoir descompétences en sécurité et en automatisme industriel.


INCIDENTS MARQUANTS AVANT STUXNET


EXEMPLES DE SABOTAGE

� 2005 : Vers Zotob, arrêt de 13 usines d’assemblage de véhicules (E-U). 50000 ouvriers au chômage technique et plus de 10M$ de perte d’exploitation

� 2007 : Des salariés prennent le contrôle du système de signalisation des feux en Californie provoquant de graves perturbations

� 2007 : Bombe logique d’un employé sur un système de contrôle d’irrigation des eaux d’un barrage en Californie.

� 2007 : Erreur de commande et contamination accidentelle des eaux de ville du Michigan (hydroxyde de sodium pour le Ph), des dizaines de victimes.

� 2008 : Arrêt d’urgence du réacteur nucléaire de la centrale de Hatch � Cause : MAJ d’un PC bureautique utilisé aussi pour la supervision.� Bilan : 2 jours d’arrêt

� 2008 : Détournement par un adolescent du système de contrôle de trafic des trams de la ville de Lódz en Pologne, et déraillement de 4 wagons.� Bilan : plusieurs blessés.


EXEMPLES DE SABOTAGE

� 2009 : New Jersey, USA : Erreur informatique su système de sécurité … inondations (aurait pu être causée par une attaque informatique)

� 2010 : Stuxnet : 1er ver découvert qui espionne et reprogramme des

systèmes industriels . Attaque les systèmes SCADA de procédés

industriels. 4 pays majoritairement touchés : Iran, Indonésie, Inde,

Pakistan- But : sabotage

� 2011 : Duqu : ver ciblant les usines d’armement, centrales nucléaires, usines chimiques

� 2011 : PoisonIvy : cheval de Troie ciblant le secteur automobile, militaire, chimie� Les prisons sont gérées par des systèmes de contrôle industriels, les mêmes

que ceux utilisés dans les centrales électrique et installations de traitement de l’eau .


CAS DE STUXNET : QUELLE ÉTAIT LA CIBLE ?


Le Siemens Organization Block 35 (processwatchdog) est modifié par Stuxnet – Il gèredes opérations critiques qui requièrent destemps de réponse inférieurs à 100 ms

La cible pourrait être la centralede Bushehr, en construction maisaussi des centrifugeuses sur lesite de Natanz

Famille de PLC SIEMENS concernée :6ES7-417 et 6ES7-315-2 -> cibles complexes !* multiples ProfiBus * Puissance CPU

FOURNISSEURS DE MATÉRIELS


� Siemens – Gamme Simatic Step7

� Leader sur les plate-formes pétrolières offshore

� Leader sur les PLC en environnement industriel

� General Electric – Gamme Fanuc

� Leader sur les réseaux électriques

� Allen-Bradley/Rockwell Automation

� Areva – Gamme e-terracontrol

� Acteur majeur sur les réseaux électriques

� Autres

Schneider ElectricsOmronMitsubishi

0 5 10 15 20 25 30 35

Toshiba

Fuji

Hitachi

Moeller

GE Fanuc

Omron

Schneider

Mitsubishi

Alleb-Bradley

Siemens

General Electric Fanuc Rockwell

%

SYSTÈMES À BASE D’OS TEMPS RÉEL




Source : http://www.cvedetails.com/

General Electric

Vulnérabilités par typeVulnérabilités par année

Siemens :


Vulnérabilités intrinsèques aux systèmes industriel s

� Peu de prise en compte de la sécurité lors des phases de conception,d’installation, d’exploitation et de maintenance

� Automates et composants industriels en production avec desconfiguration par défauts et mots de passe par défaut

� Informations accessibles – les manuels techniques sont disponiblesassez facilement- avec les mots de passe par défaut.

� Une culture et une expérience des opérationnels différentes du mondeinformatique : Connexion à l’Internet et ignorance de la menaceextérieure

� Des opérateurs non formés à la sécurité informatique


CE QUE L’ON OBSERVE SUR LE TERRAIN


Personnel non sensibilitéAux enjeux / risques

Virus – erreur dedonnéesMauvaise configuration

Pare-feu & intrusion

Console de programmation Infectée – modificationapplication API

Virus – envoi aléatoire de requêtes Modbus

Mot de passeAdmin par défaut

OS APINon à jour

Opérateurs de maintenancenon formés

Pas de cartographiedes flux API

Clé USB infecté

ATTAQUE D’UN RÉSEAU INDUSTRIEL


Scénario 1 : Si les équipements sont sur le même réseau, on peut les attaquer simultanément par exemple en mettant en panne l’API (automate programmable industriel) de sureté (mesure certains paramètres et agit en cas de problème) et on causera un accident via l’API de pilotage. Scénario 2 : L’attaque consiste à corrompre les données envoyées de A à B pour mettre en panne l’automate de sûreté.

ETAT DES LIEUX : ORGANISATION DE LA SECURITE

� Responsable sécurité rattaché � Production (le plus souvent)

� Département technique

� Hygiène Qualité Sécurité et Environnement (HQSE)

� Maintenance

� Services généraux

Responsabilités variables et diffuses des systèmes informatiques et de leur sécurité


ETAT DES LIEUX : ETUDE AREVA – EURIWARE 2010

Un retour d’expérience sur une cinquantaine d’industriels français montre le manque de maturité en sécurité des systèmes d’information industriels.


IMPACTS

� Dommages matériels et/ou corporels� Responsabilité civil ou pénale

� Pollution � Impact environnemental

� Pollution du site de production et de l’environnement

� Perte de chiffre d’affaire� Interruption de la production

� Modification des paramètres de fabrication

� Vol de données� Perte de secret de fabrication,

� Avantage pour la concurrence


APPROCHE SÉCURITÉ

� Difficultés d’appliquer les standards de sécurité dessystèmes d’information de gestion

� Une approche différente à construire pour les systèmesd’information industriels « tout en adaptant les recettesexistantes de sécurité »

La gestion du risque, la maîtrise des techniques desécurisation deviennent des compétencesindispensables pour les entreprises dans les secteursindustriels.


PAUSE-RÉFLEXION



RÉSUMÉ DU MODULE


Présentation des Systèmes d’information

industriel

Illustration –domaines

d’exploitation

Exemples de sabotage – Cas

de Stuxnet

Vulnérabilités des systèmes industriels -

AttaquesProblématiques

Etat des lieux –impacts - constat

PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ DU SYSTÈME D’INFORMATION

DICP – DISPONIBILITÉ – INTÉGRITÉ CONFIDENTIALITÉ - PREUVE

SCENARIOS GÉNÉRIQUES DE MENACES - STATISTIQUES CLUSIF 2014

INFORMATIONS / APPLICATION À PROTÉGER

EVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION

MODULE N°3 : PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ DU SYSTÈME D’INFORMATION


PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ

� Sécurité générale : protection des biens et des personnes

« Une protection adéquate dépend de la valeur des biens à protéger. »

� 4 niveaux de mesures de sécurité :� Prévention: Empêcher vos biens d’être endommagés.

� Ex: Serrures sur toutes les portes

� Détection: Se rendre compte que vos biens ont été endommagés, comment et par qui

� Ex: Système d’alarme sur une maison, vidéo surveillance

� Réaction: Recouvrir vos biens ou réparer le dommage causé par leur perte.

� Ex: Appeler la police, Assurance, Véhicule de prêt

� Reprise : reprendre le fonctionnement normal

� Ex : Voiture retrouvée ou réparée



Les aspects fondamentaux de la sécurité du système d’information :

� Confidentialité : Propriété d’une information qui n’est ni disponible, ni divulguée aux personnes,entités ou processus non autorisés ISO 7498-2 (1989). AFNOR

� Disponibilité : Propriété d’être accessible et utilisable sur demande par une entité autorisée. Ladisponibilité est une des quatre propriétés essentielles qui constituent la sécurité. ISO 7498-2(1999). AFNOR

� Intégrité : Propriété des données dont l’exactitude et la cohérence sont préservées à travers toutemodification illicite. Prévention de toute modification non autorisée de l’information ISO/IEC IS2382-8 (1998) . AFNOR.

� Auditabilité Capacité pour une autorité compétente, à fournir la preuve que la conception et lefonctionnement du système et de ses contrôles internes sont conformes aux exigences de sécuritéGarantir une maîtrise complète et permanente sur le système et en particulier pouvoir retracer tousles évènements au cours d’une certaine période. AFNOR

Continuité Fiabilité

DISPONIBILITE

Exactitude Inaltérabilité

INTEGRITE

Contrôle d'accès Non divulgation

CONFIDENTIALITE

Preuves Contrôles

AUDITABILITE

Les Risques: les atteintes et impacts





Vue de quelques acteurs du système d’informationEntreprise

LAN / station de travail

Environnement

Informatique et télécom

Equipements

de sécurité

Fournisseur

d’accès

Fournisseurs de services

- Opérateurs Télécom

- Hébergeurs,

- Paiement sécurisé,

- Sites de sauvegarde et secours

Environnement

Général : EDF

Intervenants

en amont

dans la conception

et la réalisation

des environnements

Personnel

Serveurs

Prestataires

de services

infogérance


QUE VOULONS-NOUS PROTÉGER ?

Quels sont les enjeux ? Que doit-on protéger ?� L'information stockée

� La disponibilité de l’information

� La diffusion de l’information (le transport)

� L’intégrité de l'information

� L'accès aux services externes : serveur Web…

� L'accès aux services internes : serveur Intranet de la Communication

� La « vie privée » de l'entreprise

� L’image de marque de l’entreprise

……


Attention à ne pas se disperser…

MÉTHODOLOGIE


Liste des biens sensibles

Liste des menaces et modes opératoires

Listes des impacts et probabilités

Liste des contre-mesures

1 : Quoi protéger et pourquoi ?

2 : De quoi se protéger ?

3 : Quels sont les risques ?

4 Comment protéger l’entreprise ?

ORDONNANCEMENT DES ACTIONS


Recenser les actifs numériques

Évaluation des risques–Intégrité & Confidentialité des données,–Disponibilité du SI–Détournement d’activité, Image de Marque,–Sanctions pénales

Mettre en place les protections et préventions

Formaliser les procédures et méthodologies

Mettre en place les contrôles et surveillances

Formaliser un plan de reprise

Effectuer une veille technologique lié à la sécuris ation

APPROCHE NORMATIVE ET ANALYSE DE RISQUES

Analyser les risques de votre système d’information (méthode EBIOS, norme ISO 27005)

Suivre les recommandations et les bonnes pratiques de sécurité issues des normes de sécurité – Normes ISO 27xxx ( Exemple : norme ISO-27001 et 27002), Normes IEC 62443-XX ( Exemple : normes ISO-62443-2 ISO-62443-3, ISO-62443-4)


…d’où la nécessité d’avoir une approche méthodologique ettransversale pour cadrer la démarche de sécurisation devotre système d’information

QUE VOULONS-NOUS PROTÉGER ?

RISQUE = POTENTIALITE x IMPACT

Description d’un Evènement et sa conséquence : MenaceDescription de sa cause et de son origine : Mode Opératoire

Probabilité d'occurrence Gravité des conséquences

directes et indirectesfonction

du contexte et des mesures de sécurité en place.

Période, Localisation Activité, Enjeux commerciaux, Equipements, organisation humaine, ennemis potentiels,…

Préventions et DissuasionsProtections, Palliatifs et transfert


ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION


Source : Denis Virole Telindus et Jean-Louis Brunel

DÉCLINAISON DES BONNES PRATIQUES


Source : Jean-Louis Brunel

Détection d’intrusionCentralisation des logsAudit / Tests intrusifs

Cours 3A Cours 4A

VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ


• Anti-virus• Anti-Spyware,• Anti-rootkids• …

• Détecter les vulnérabilités• Appliquer les Correctifs

• Sondes IDS• Analyse des traces

•Supervision, Veille,•Surveillance

• Firewall• Compartimenter le réseau et les systèmes

• Sécuriser et certifier les échanges (VPN / Mails chiffrés)

• Former et sensibiliser les utilisateurs• Consignes en cas d’attaque ou de doutes

• Mise en œuvre de procédures de sécurité• Plan de continuité

•Sauvegarde et protection des supports•Redondance des systèmes

• Classifier les données• Analyse de risques• Protéger des données• Accès restrictifs

Gestion de la sécurité (non exhaustif)

Données

•Protéger et isolerles réseaux sans fil

RELATIVITÉ DE LA SÉCURITÉ

« The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts. »

— Eugene H. Spafford ,http://www.cerias.purdue.edu/homes/spaf/quotes.html

De la relativité de la sécurité :


LES 3 FACETTES DE L’OBTENTION DE LA SÉCURITÉ


LA SÉCURITÉ EST UN PROCESSUS CONTINU

• La sécurité ne se met pas en œuvre en une seule fois• Elle fait partie intégrante du cycle de vie du système• Il s’agit d’un processus itératif qui n’est jamais fini et doit

être corrigé et testé régulièrement

La sécurité n’est pas une activité ponctuelle :

PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés83

« La sécurité absolue est inatteignable, c’est un voyage, pas une destination »

LES DIFFICULTÉS DE LA SÉCURITÉ

� Les usagers ont des besoins spécifiques en sécurité informatique, mais en général ils ont aucune expertise dans le domaine� L’utilisateur ne sait pas ce qu’il veut, c’est à l’expert en sécurité de

comprendre ses besoins et de mettre en œuvre les moyens adéquates

� Performance et confort d’utilisation Versus Sécurité� Les mécanismes de sécurité consomment des ressources

additionnelles� La sécurité interfère avec les habitudes de travail des usagers

� Ouverture vers le monde extérieur en constante progression� Les frontières de l’entreprise sont virtuelles ex : télémaintenance


LES DIFFICULTÉS DE LA SÉCURITÉ

� Centre de coût versus centre de profit� La justification des dépenses en matière de sécurité n’est pas évidente� Le retour sur investissement en sécurité est un exercice parfois difficile

� La sécurité n’est pas une fin en soi mais résulte d’un compromis entre :- un besoin de protection ;- le besoin opérationnel qui prime sur la sécurité (coopérations,

interconnexions…)- les fonctionnalités toujours plus tentantes offertes par les technologies

(sans fil, VoIP…)- un besoin de mobilité (technologies mobiles…)- des ressources financières et des limitations techniques


PAUSE-RÉFLEXION



RÉSUMÉ DU MODULE


Principes fondamentaux

de la sécurité du

système d’information

DICP –Disponibilité –

intégrité confidentialité

- preuve

Informations / applications à

protéger

Evolution de la sécurité

des systèmes d’information

Scenarios génériques de

menaces -statistiques

Relativité de la sécurité –

Difficultés de la sécurité

Vue d’ensemble des mesures de

sécurité et bonnes

pratiques

POUR ALLER PLUS LOIN

� Livre

� Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti (Auteur) édition DUNOD

� Magazine

� MISC N°74 - Sécurité des Systèmes d’information Industriels� http://boutique.ed-diamond.com/ (revue MISC)

� Web

� www.ssi.gouv.fr – Sécurité des systèmes industriels� Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr

� Rapport du Sénateur Bockel sur la Cyberdéfense - http://www.senat.fr/rap/r11-681_mono.html

� www.clusif.fr


FIN DU VOLET

MERCI POUR VOTRE ATTENTION


Education

Sécurite operationnelle des systèmes d'information Volet-1