Post on 10-Jul-2020
La loi de programmation militaire pour unpetit OIV
Beatrice JOUCREAU - Christophe RENARD
Herve Schauer Consultants
10 mars 2015
1/65 Tous droits reserves HSC by Deloitte - 2015
La LPM pour un petit OIV
IntroductionContexte de la Loi de Programmation Militaire
Contexte institutionnelModele de menaces
Situation reglementaireDefinitionsTextes de reference et historiqueIntervenants et interlocuteursCalendrier
Situation techniqueSchemas d’organisationCycles et ActeursVulnerabilites
Methode de classification du guide de cybersecuritedes systemes industriels
Le guideMethode de classification des systemes industriels
Conclusion2/65 Tous droits reserves HSC by Deloitte - 2015
IntroductionSommaire
Introduction
3/65 Tous droits reserves HSC by Deloitte - 2015
Quel est le but de cette presentation ?
PresentationDu contexte LPM/OIVDe ce qu’il en decoule pour les petits OIVDes pistes de prise en compte
Nos objectifsPartager l’experience HSC en la matiereOuvrir le debat et les echanges
4/65 Tous droits reserves HSC by Deloitte - 2015
Contexte de la Loi de ProgrammationMilitaireSommaire
Contexte de la Loi de Programmation MilitaireContexte institutionnelModele de menaces
ActeursRealisme de la menace
5/65 Tous droits reserves HSC by Deloitte - 2015
Prise en compte de la SSI par les institutionsUn long cheminement
L’informatisation precede universellement lamaturation
Dependance tres forte sur l’informatiqueCadre legislatif et institutionnel faibles
Une prise en compte recente mais au pas de courseLivre blanc de la defense 2008: identification du besoinEvolution majeure avec la creation de l’ANSSI en 2009
Agence initialement centree sur l’administrationEn particulier au travers du RGSDefinition un processus de certification de prestatairesGeneralisation de la demarche d’homologationL’informatique ”classique” reste le cœur de cible
Elargissement vers la protection des interets de la nationL’ANSSI devient l’autorite nationale de cyberdefenseLivre Blanc de la Defense 2013: la cyberdefense enjeu de souverainete
Passage de la LPM en fin 2013L’article 22 definit la protection des systemes critiquesLes Systemes Critiques sont pris en compteCreation d’obligation forte de securisationAvec des sanctions penales lourdes a la cle
6/65 Tous droits reserves HSC by Deloitte - 2015
Inclusion du contexte industrielUne tendance mondiale
La securite informatique industrielle n’est pas recenteCertains acteurs ont commence des les annees 80Pas d’engagement globalUne perception de la menace inegale
Apres 2001: beaucoup de travaux aux Etats-UnisEt dans les communautes ”securite” :
Blackhat, Defcon, CCCBeaucoup d’attaques presenteesPeu de defense
En 2010 Stuxnet donne une exposition majeure auxrisques informatiques industriels
7/65 Tous droits reserves HSC by Deloitte - 2015
Modele de menaces
Sources de menaceEtatsTerroristesInsidersCriminels et non cible
8/65 Tous droits reserves HSC by Deloitte - 2015
EtatsLe pipeline BTC
Le 7 aout 2008 a 23h, le pipeline BTC explosePipeline concurrent de ceux operes par les entreprises d’Etat russesTraversant la Georgie (et donc y contribuant financierement)La veille de l’intervention russe en OssetieUne attaque sophistiquee
Sur le territoire turcDesactivation des securites industrielles et de la surveillance par piratage informatiqueIntrusion physique et manipulation manuelle des vannesNecessite un haut niveau: logistique, d’entrainement, de connaissance de la cible
9/65 Tous droits reserves HSC by Deloitte - 2015
EtatsRecapitulatif
ObjectifsNeutralisation d’un processus vitalNuisance economique pour faire pression dans une negociationSabotage d’un effort de guerre
Moyens:Connaissance des processusCapacite a monter des simulations complexesAcces a des 0-days et des codes offensifs complexes
Motivation a frapper un OIVFait maintenant partie de l’arsenal standard des relations inter-etatiques
10/65 Tous droits reserves HSC by Deloitte - 2015
TerrorismeLe Pakistan dans le noir
26 janvier 2015 : 80% du Pakistan prive d’electricitependant plus de 2 jours
Un attentat fait sauter 2 pylones electriquesResultant en une defaillance du systeme d’echelle nationale3eme tentative par les rebelles du Balouchistan depuis debut 2015Les 2 premieres n’avaient cause que des pannes mineures
11/65 Tous droits reserves HSC by Deloitte - 2015
TerrorismeRecapitulatif
ObjectifsFrapper les esprits : moyens d’obtenir des concessions, de la visibilite oude provoquer une repression impopulaireObjectifs symboliques ou effrayants
MoyensVariables : de la petite organisation peu financee et disposant de peu decompetences au terrorisme a support etatiqueLa commoditization des technologies joue en leur faveur
Motivation a frapper un OIVIncertaine : les frappes sur des sites industriels peuvent faire l’objet d’unecommunication controlee (populations limitees, identification des causeslongues)La mise en defaillance d’un service, meme critique, frappe rarement lesopinions
12/65 Tous droits reserves HSC by Deloitte - 2015
InsidersExemple
Le 15 aout 2012, Saudi Aramco etait victime d’unmalware virulent
Tente d’exfiltrer des informations et ecrase le MBRApproximativement 30000 postes et 3000 serveurs contaminesRevendique par un groupe inconnu Cutting Sword of JusticeIl faudra plus de 3 semaines pour maitriser la situationA la source, un administrateur systeme a volontairement introduit lemalware
13/65 Tous droits reserves HSC by Deloitte - 2015
InsidersRecapitulatif
ObjectifsVengeance, nuisance a l’organisation
MoyensAcces privilegiesConnaissance des processusAcces physique
Motivation a frapper un OIVForte suivant tensions sociales, ou locales(geopolitiques et religieuses dans le cas d’Aramco)
14/65 Tous droits reserves HSC by Deloitte - 2015
Criminels et non cibleExemple
Janvier 2003, la centrale de Davis-Besse dans l’Ohioa perdu la supervision informatique de ses processus
Le vers Slammer s’est infiltre sur le reseau via l’acces d’un sous-traitantLa perte de supervision a entraine un passage en analogiqueAlors que le personnel de l’usine traitait deja un incident majeur(percement d’un reacteur)
15/65 Tous droits reserves HSC by Deloitte - 2015
Criminels et non cibleRecapitulatif
ObjectifsNuisance et gain financier
MoyensCodes non cibles mais pouvant echapper aux antivirusDenis de service locauxChiffrement de donnees sensibles ?
Motivation a frapper un OIVPeut cibler un industriel pour des raisons independantes de son rolestrategiqueA quand la prise d’otage facon Cryptolocker d’un site industriel ?
16/65 Tous droits reserves HSC by Deloitte - 2015
Realisme des attaques 1/2L’ordinaire
Les insiders sont la menace la plus banaleEn particulier les acteurs a privileges : administrateurs systemes et reseauLa resilience face a un sabotage intelligent d’un acteur privilegie estcomplexeUn acteur individuel peut avoir des effets a une echelle macroscopique
Les malware non-cibles sont un risque permanentA considerer sous un angle epidemiologiqueMais la plupart des systemes industriels ont un systeme immunitairedeficientEt des pratiques douteuses propices a la contagion
17/65 Tous droits reserves HSC by Deloitte - 2015
Realisme des attaques 2/2L’extra-ordinaire
Les attaques inter-etatiques se sont deja produitesIl y aura d’autres StuxnetLes medias americain evoquent des pre-positionnements chinois depuisplusieurs anneesRealite ou sensationnalisme ?Des attaques combinant cinetique et informatique ont eu lieu lorsd’operations russes
Aucune attaque informatique terroriste n’est connuePeu d’appels a ce genre d’attaque dans la litterature jihadiste (Inspire ousites)Mais des tentatives auront certainement lieu tot ou tardCibles attractives pour des acteurs terroristes competents ?
18/65 Tous droits reserves HSC by Deloitte - 2015
Niveau des impactsUne evaluation complexe
Le monde industriel maitrise la surete defonctionnement
Fiabilite face aux menaces non intentionnellesFonctionnements par defaut surs
La disponibilite de l’informatique est rarement priseen compte
Combien d’organisations peuvent encore fonctionner sans informatique ?A quel cout et combien de temps ?
Etudier les risques d’un OIV est complexeLien entre etudes de risques informatiques et de surete de fonctionnementcomplexe a etablirLe lien entre surete et interet de la nation ?
19/65 Tous droits reserves HSC by Deloitte - 2015
Situation reglementaireSommaire
Situation reglementaireDefinitionsTextes de reference et historiqueIntervenants et interlocuteursCalendrier
20/65 Tous droits reserves HSC by Deloitte - 2015
Qu’est-ce qu’un SAIV ?Definition
SAIV : Secteurs d’Activite d’Importance VitaleEnsemble d’activites concourant a un meme objectifQui ont trait a la production et la distribution de biens ou de servicesindispensables :- A la satisfaction des besoins essentiels pour la vie des populations- Ou a l’exercice de l’autorite de l’Etat- Ou au fonctionnement de l’economie- Ou au maintien du potentiel de defense- Ou a la securite de la Nation- Des lors que ces activites sont difficilement substituables ouremplacablesOu peuvent presenter un danger grave pour la population
Liste des SAIV definie par le Premier MinistreUn ministre coordonnateur defini pour chaque SAIV
21/65 Tous droits reserves HSC by Deloitte - 2015
Qu’est-ce qu’un SAIV ?Liste des SAIV
Secteur Ministre coordonnateurActivites civiles de l’Etat Ministre de l’Interieur
Activites judiciaires Ministre de la Justice
Activites militaires de l’Etat Ministre de la Defense
Alimentation Ministre charge de l’agriculture
Communications electroniques,
audiovisuel et information
Ministre charge des communications
electroniques
Energie Ministre charge de l’energie
Espace et recherche Ministre charge de la recherche
Finances Ministre charge de l’economie et des finances
Gestion de l’eau Ministre charge de l’ecologie
Industrie Ministre charge de l’industrie
Sante Ministre charge de la sante
Transports Ministre charge des transports
22/65 Tous droits reserves HSC by Deloitte - 2015
Qu’est-ce qu’un OIV ?Definition
OIV : Operateur d’Importance Vitale
Exerce des activites [...] comprises dans un secteur d’activitesd’importance vitale
Gere ou utilise au titre de ces activites un ou des etablissements ououvrages, une ou des installations dont le dommage ou l’indisponibilite oula destruction par suite d’un acte de malveillance, de sabotage ou deterrorisme risquerait, directement ou indirectement :
- D’oberer gravement le potentiel de guerre ou economique, la securiteou la capacite de survie de la nation
- Ou de mettre gravement en cause la sante ou la vie de la population
23/65 Tous droits reserves HSC by Deloitte - 2015
Qu’est-ce qu’un OIV ?Designation
Les OIV sont designes parmiOperateurs publics ou prives exploitant des etablissements ou utilisant desinstallations et ouvrages, dont l’indisponibilite risquerait de diminuer d’unefacon importante le potentiel de guerre ou economique, la securite ou lacapacite de survie de la nationGestionnaires d’etablissements comprenant une installation nucleaire ouautres et dont la destruction ou l’avarie peuvent presenter un danger gravepour la population
Sont designes par arretes, eux-memes non publies etnon communicables
24/65 Tous droits reserves HSC by Deloitte - 2015
Liste des OIV
218 OIV, liste reputee classifiee Confidentiel DefenseUne partie est connue via le Comite National dessecteurs d’activite d’importance vitale (abroge)
Comprenait dix personnalites designees parmi les dirigeants des OIV
Designes par le ministre coordonnateur du secteurd’activite
Sur avis de la Commission interministerielle de defense et de securite desSAIVComprend des representants de la Defense et de l’Economie
Ou par le prefet du departement dans laquelle sesitue l’etablissement
Sur avis de la Commission zonale de defense et de securite des SAIVPresidee par le prefet de zone
25/65 Tous droits reserves HSC by Deloitte - 2015
La jungle des sigles : PIV, ZIV
PIV : Point d’importance vitale - Etablissement,installation ou ouvrage vital
Arretes de designation classifies Confidentiel Defense
ZIV : Zone d’importance vitale - Aire dans laquellesont implantes plusieurs PIV relevant d’OIV differents
26/65 Tous droits reserves HSC by Deloitte - 2015
Les textes qui definissent les mesures desecurite applicables aux OIV
A l’echelle d’un SAIVDNS : Directives nationales de securite : une par SAIVClassifiees Confidentiel DefenseContient un rappel des mesures du plan Vigipirate applicables au SAIV
A l’echelle d’un OIVPSO : Plan de Securite Operateur (classifies CD)Un par OIV, non obligatoire si un seul PIVAnalyse de risques propre a l’OIV (pas orientee SI uniquement)Instanciation pour l’OIV des mesures de la DNS applicablePolitique de securite/surete a l’echelle de l’OIV dans son ensemble
A l’echelle d’un PIVPPP : Plan Particulier de Protection et PPE : Plan de Protection Externe(classifies CD)Un PPP par PIVEventuellement un PPP par ZIVPPP : redige par l’operateur. Mesures de protection du PIV prevues parl’OIVPPE : redige par le prefet de departement. Mesures prevues par lespouvoirs publics. De maniere generale, non connu par l’operateur
27/65 Tous droits reserves HSC by Deloitte - 2015
La loi de programmation militaire 2014-2019LOI 2013-1168 du 18 decembre 2013, article 22
A modifie le Code de la DefenseRelative a la protection des infrastructures vitalescontre la cybermenaceRegles de securite fixees par le Premier MinistreDetection des evenements : systemes et prestatairesqualifies
PDIS : prestataires de detection d’incidents de securitePRIS : prestataires de reponse aux incidents de securite
Obligation de remonter les incidentsControle d’evaluation du niveau de securite et durespect des regles : prestataires qualifies
Extension potentielle du champ d’action des PASSI : prestataires d’auditde la securite des systemes d’information
28/65 Tous droits reserves HSC by Deloitte - 2015
Historique
Premiere liste des SAIV fixee par arrete en juin 2006IGI 6600 : 1ere version en septembre 2008, 2eversion en janvier 2014
Objectif : anticiper et reagir a la menace terroristeEn particulier, menaces liees a la securite des systemes d’information
En 2014 : loi de programmation militaireUne partie concerne directement la SSI des OIV
Pour les systemes industriels :Guide de cybersecurite des systemes industriels(ANSSI)
29/65 Tous droits reserves HSC by Deloitte - 2015
La loi de programmation militaireApplicabilite
Systemes d’information des OIV ou supportant lesOIV et pour lesquels l’atteinte a la securite ou aufonctionnement risquerait de diminuer d’une faconimportante le potentiel de guerre ou economique, lasecurite ou la capacite de survie de la Nation
Systemes dits d’importance vitale (SIV)Plus de notion de danger grave envers populations
Conditions et limites d’applicabilite attendues dans un(ou plusieurs) decret, non encore publie(s)Precisions dans des arretes
30/65 Tous droits reserves HSC by Deloitte - 2015
Types d’interlocuteurs
FSSI : Fonctionnaire de Securite des Systemesd’Information
Un par ministerePoint de contact SSI de son ministere
AQSSI : Autorite Qualifiee en Securite des Systemesd’Information
Nommee dans une entite (de l’Etat ou un OIV),Point de contact du FSSI
31/65 Tous droits reserves HSC by Deloitte - 2015
CorrespondantsA qui parler ?
Pour les OIVLe FSSI au ministere coordonnateur, relaye par l’AQSSILe coordinateur sectoriel (du SAIV correspondant) a l’ANSSI (bureaucoordination sectorielle)
Pour les prestatairesLe bureau Politique Industrielle et Assistance de l’ANSSI
32/65 Tous droits reserves HSC by Deloitte - 2015
Calendrier
Decret precisant les conditions de mise en applicationde la LPM
Devait paraıtre a l’automne 2014Probablement en cours de validation
Regles de securiteDevaient paraıtre en decembre 2014Impossible de determiner des regles generiques s’appliquant a tous lessecteursRegles sectorielles : arretesPotentiellement integrees dans les DNSClassification de ces arretes ?
Phase experimentaleDes OIV contactes par l’ANSSIDoivent etablir un inventaire de leurs SIV, approuve ensuite par l’ANSSISecteurs prioritaires : Energie, communications electroniquesObjectif: permettre de definir les arretes sectoriels
33/65 Tous droits reserves HSC by Deloitte - 2015
Questions en suspens
Perimetre SIVIdentifier les SIVMethode de definition des SIVQuid des systemes ”supports” des SIV ?
Mise en oeuvreApplication des regles sur l’ensemble du SIV de maniere homogene oupar paliersDelais de mise en oeuvre
Impacts operationnels des regles de securite surl’activite
34/65 Tous droits reserves HSC by Deloitte - 2015
Situation techniqueSommaire
Situation techniqueSchemas d’organisationCycles et acteursVulnerabilites
35/65 Tous droits reserves HSC by Deloitte - 2015
Modele ISA/95Une vue hierarchisee du SI Industriel (SII)
36/65 Tous droits reserves HSC by Deloitte - 2015
Modele Zones et conduitesISO/IEC 62443-2
37/65 Tous droits reserves HSC by Deloitte - 2015
Modele realisteUn cloisonnement bien moindre
38/65 Tous droits reserves HSC by Deloitte - 2015
Une realite tres heterogene 1/2Size does matter
La taille de l’organisation est determinantePermet de dedier des ressources a la securiteDes equipes plus nombreuses permettent de couvrir plus de competencesPossibilite de degager des budgets pour traiter la SSICertaines briques techniques ne se rentabilisent pas en deca d’unecertaine echelle
Mais d’autres facteurs comptentAnciennete des installationsSecteur d’activiteExigences de securite des clientsEtendue geographique de l’activite et des sites
39/65 Tous droits reserves HSC by Deloitte - 2015
Une realite tres heterogene 2/2L’etat chez les petits industriels
Resultat d’une evolution ”organique”Technologies de niveau bas heteroclites
Des bus serieTechnologies proprietairesVariantes industrielles d’EthernetCohabitation de plusieurs generation d’equipements
Informatique heterogene peu ou pas mise a jourBeaucoup de Windows XP : parfois impose par des logiciels critiquesRarement d’antivirus a jourPolitique de mise a jour souvent freinee par l’absence de procedure ou plateformepermettant de tester les non-regressions
Reseaux informatiques ad-hocEthernet non manageWifiOu commutateurs manageables, mais non securises
Connectivite externe souvent peu maitriseeVia modem et GPRS ; sans mots de passe (ou faibles)Acces aux sites distants via InternetVPN non compartimentes: acces a la totalite du SII
40/65 Tous droits reserves HSC by Deloitte - 2015
Mesures de securiteUn casse-tete pour une PME industrielle
Integration de la securite dans les SCADA/ICSSuppose souvent des systemes complets de generations homogenesOu repose sur la securisation de socles OS classiques
Produits de filtrage de fluxProblemes de positionnement : informatique classique ou protocolesindustriels ?Mesures statiques ou adaptables ?Necessite des competences fortes d’integration et une vue de haut niveau
Outils pour l’authentification non adaptesMonde industriel traditionnel
Pas d’authentification ou mot de passe partageLa presence physique est preuve du droit d’acces
SI classiquePresume une authentification par mot de passe fort ou code personnelSessions fermees frequemment
Que se passe-t-il quand l’industriel rencontre le conventionnel ?Mettre en œuvre correctement des mesures desecurite industrielles :
Complexe : faute de competences internes et disponibilitesCouteux : intervenants externes ou dependance auxfabriquants/integrateurs
41/65 Tous droits reserves HSC by Deloitte - 2015
Cycles du monde industrielLa longue duree est la regle
Un systeme mis en place pour 20 ans est la normeLes automates, IHM, reporting doivent continuer a tournerPlusieurs generations d’equipements se chevauchent souventAlignement frequent sur le moins disant securite pour la retro-compatibilite
Gestion de version et configurationDes programmes des automatesDes configurations physiquesDes configurations logicielles, systemes et reseauNecessite une discipline forte pour permettre la gestion du changement
Validation des changementsLes impacts peuvent etre informatiques ou physiques.Une plateforme de validation vraiment representative est couteuse, parfoisimpossible a monter
RebootRedemarrer une installation industrielle n’est pas anodin
Perte d’activiteRedemarrages longsDestruction dans certains cas
Les arrets de maintenance doivent generalement etre planifies longtempsa l’avance
42/65 Tous droits reserves HSC by Deloitte - 2015
Les tiers
Le monde industriel depend fortement de tiersSupport et maintenance des equipementsSupport des progiciels metierTele-operation de certains equipements (parfois loues)
La tendance est a l’externalisation des fonctions horscœur de metier
Donc la multiplication des tiersAvec de plus en plus d’acces
Une source de menace majeureQuid de la PSSI, durcissement et conformite des postes tiersCertains acteurs couvrent des pans entiers d’industrieLa compromission d’un mainteneur majeur d’installation industrielle est unscenario catastrophe
43/65 Tous droits reserves HSC by Deloitte - 2015
Points d’entree des attaques 1/2L’embarras du choix
Reseaux interconnectesPropagation virale sur des reseaux peu cloisonnesFacteur d’amplification de tout risque :Multi-dimensionnel
Verticalement: entre SII et SIEHorizontalement: entre sites
MediasCles USB multi-usages (bonus si personnelle)Permet de contourner les air-gapsRisque existant meme si les numeros de serie sont controlesCombien d’organisation utilisent des stations de decontamination ?
Gestion des mises a jourDeploiement manuelComplexite de validation des non-regressionsMise a jour faites rarement (ou pas du tout)Et pour les firmwares et programmes d’automates, le code n’estquasiment jamais signe
Pratiques d’administrationLe poste d’un administrateur technique est rarement traite specifiquementLes bastions ou rebonds durcis sont rares
44/65 Tous droits reserves HSC by Deloitte - 2015
Points d’entree des attaques 2/2
Fragilite des implementationsLes piles reseau des automates sont traditionnellement fragiles
N’affecte souvent pas le fonctionnementMais operez-vous votre usine si vous perdez la supervision ?
Les logiciels de controle, IHM et supervision ont une tradition d’identifiantsstatiques, impossibles a changer.
Qui va redemarrer une usine parce qu’un mot de passe est sur Internet ?
Controle d’accesLes logiques de controles d’acces du SIE sont rarement adapteesIl n’existe que peu de systemes de controle d’acces et d’authentificationadaptes a des postes de controle
Acces des tiersPeu de controle sur ce que font vos fournisseurs
45/65 Tous droits reserves HSC by Deloitte - 2015
Evolution de l’expositionVers l’infini et au-dela
DecloisonnementL’usine numerique: integration SII/SIEControle des systemes industriels depuis appareils mobiles : dejacommercialiseEquipements disposant de leur propre connexion 3G
”Commoditisation”Convergence vers des systemes du monde bureautiqueDisponibilite de l’information sur InternetFin de ”l’exotisme” des systemes industriels
Le ”tout intelligent”Multiplication des appareils intelligentsTelemetrie generaliseeInteractions devenant de plus en plus complexes
46/65 Tous droits reserves HSC by Deloitte - 2015
Traitement technique des exigences LPMUn equilibre complexe pour les petits OIV
La situationUne croissance ”organique” des reseauxDes vues tres differentes entre DSI et AutomaticiensSouvent tout repose sur quelques acteursUne vision globale complexe, souvent parcellaire, rarement a jour
Travail demande a ce stadeInventaire SIArchitecture a jourElaborer une proposition de SIV
Ces taches sont deja lourdesPeut impliquer des reorganisations reseau significativesChantiers couteux et sans rentabilite a court terme
47/65 Tous droits reserves HSC by Deloitte - 2015
Methode de classification du guide decybersecurite des systemes industrielsSommaire
Methode de classification du guide de cybersecurite dessystemes industriels
Le guideMethode de classification des systemes industriels
48/65 Tous droits reserves HSC by Deloitte - 2015
Guide de cybersecurite des systemesindustriels
Micro-analyse de risquesClassification de systemes industriels en 3 niveauxRegles de securite ou recommandations selon lesniveauxCense etre utilise pour definir les modalitesd’application des mesures de la LPMPeut etre utilise en attendant la parution des textesindustrielsLimitation : ne s’applique qu’aux SI industriels
49/65 Tous droits reserves HSC by Deloitte - 2015
Guide de cybersecurite des systemesindustrielsMenaces considerees
Malveillance interneAttaques exterieuresPas les menaces accidentelles
50/65 Tous droits reserves HSC by Deloitte - 2015
Guide de cybersecurite des systemesindustrielsUtilisation dans le cadre de la LPM
Utilisation de la methode de classification pourdeterminer quels sont les SIVHypotheses possibles
Utilisation de l’echelle des impacts pour determiner si un SI estd’importance vitaleAvoir une vision des mesures de securite potentiellement imposees parles arretes sectorielsSachant qu’il faut les adapter au secteur (analyse d’impact necessaire)
51/65 Tous droits reserves HSC by Deloitte - 2015
Classification des systemes industriels
52/65 Tous droits reserves HSC by Deloitte - 2015
ClassificationImpacts
Impacts humainsImpacts environnementauxImpacts consecutifs a l’arret du service rendu
Seuls criteres pris en compte : disponibilite et integritePas de prise en compte des consequences pourl’organisme (reputation, chiffre d’affaires...)SIV : Impact minimum de 3 pour etre conforme a ladefinition donnee par la LPM
53/65 Tous droits reserves HSC by Deloitte - 2015
ConclusionSommaire
Conclusion
54/65 Tous droits reserves HSC by Deloitte - 2015
ConclusionContexte
Systemes de moins en moins operables a la mainModes degrades manuels souvent uniquementtheoriques
Grands OIV favorisesStructure securite existante : ne partent pas de zeroChaine d’interlocuteurs connue et rodeeCalendrier mouvant
Volonte d’une demarche acceptee et soutenable parles differents acteurs
Regles adaptes aux differents secteursGroupes de travail
55/65 Tous droits reserves HSC by Deloitte - 2015
ConclusionPerspectives
Necessite de passer par des etapes d’inventaire,d’evaluation de la connectivite et des intervenantsAppreciation des risques SSI necessaire
Pour les petits OIVProbablement nombreuses regles et nombreuses etapes preliminairesBesoin de conseil pour ces etapes et pour la mise en oeuvre des reglesCout importantRisque de retard important, mais sanctions penales
Pour les prestatairesProbable extension du referentiel PASSI aux systemes industrielsForte diversite des OIVDifficultes a obtenir des informations concretesCooperation des prestataires (mise en oeuvre et audit) souhaitable
56/65 Tous droits reserves HSC by Deloitte - 2015
ConclusionQuestions ?
Merci de votre attention.57/65 Tous droits reserves HSC by Deloitte - 2015
HSC by DeloitteConseil en securite des systemes d’information depuis 1989
PME francaise avec 26 ans d’experienceExclusivement des interventions d’expertise SSI
Pas de distribution, ni integration, ni infogerance, ni delegation depersonnelPrestations : conseil, etudes, audits, tests d’intrusion, formationsGarantie d’independance
Domaines d’expertiseSecurite Windows / Unix et linux / embarque / informatique industrielle /applicationsEnquetes inforensiques / Expertise judiciaireSecurite des reseaux : TCP/IP, telephonie, reseaux operateurs, reseauxindustriels...Organisation de la securite, droit des systemes d’information
58/65 Tous droits reserves HSC by Deloitte - 2015
HSC by DeloitteCertifications
Des consultants (certifications individuelles)CISSP (ISC)2CISAPCI DSS QSAISO 27001 LI / LA et ISO 27005 Risk Manager par LSTIEBIOS Risk Manager par LSTIISO 22301 LI / LA par LSTIOCSPGIAC: GCFA, GPEN, GWAPT, GCFE GREM, GWEB, GXPN, GCUX,GSEC
De la societePASSIOrganisme certificateur ARJELOPQF, OPQCM (habilite au conseil juridique)SMQ ISO 9001 sur les formationsExpert judiciairePCI DSS
59/65 Tous droits reserves HSC by Deloitte - 2015
Intervenants
Beatrice JoucreauDiplomee ENSIIE, et de l’Universite de Manchester, en Securite desSystemes d’Information et en Management et Administration desEntreprises a l’Ecole de Management de StrasbourgIntegre HSC en 2012Intervient depuis sur des missions de securite organisationnelle de conseilet d’audit: l’analyse de risques, accompagnement a la mise en place deSMSI, audits de SMSICertifiee ISO 27001 Lead Auditor, ISO 27001 Lead Implementer et ISO27005 Risk Manager par LSTI, et GIAC Security Essentials (GSEC)
Christophe RenardExerce dans le domaine des reseaux et systemes depuis 1997 dans lesdomaines des telecommunications, des FAI, de la veille technologique etde defense. Precedemment architecte et expert en France et auMoyen-Orient sur systemes critiquesRejoint HSC en 2011Travaille sur la mise en oeuvre de la securite informatique : architecture,dans le developpement, dans le domaine industrielCertifie ISO 27005 Risk Manager, ISO 27001 Lead Auditor et ISO 27001Lead Implementer par LSTI, et GIAC Security Essentials (GSEC) et GIACWeb Applications Defender (GWEB)60/65 Tous droits reserves HSC by Deloitte - 2015
La LPM pour un petit OIVBibliographie 1/5
References legales et reglementairesDefinition OIV
Legifrance Code de la Defense Article R1332-1http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=
LEGITEXT000006071307&idArticle=LEGIARTI000006574323
Definition SAIVLegifrance Code de la Defense Article R1332-2http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=
LEGITEXT000006071307&idArticle=LEGIARTI000006574324
Definition PIV et ZIVLegifrance Decret 2006-212 du 23 fevrier 2006http://www.legifrance.gouv.fr/eli/decret/2006/2/23/2006-212/jo/texte
Composition et role du comite national des SAIVLegifrance Code de la Defense Articles R1332-7 et suivants, abroge le 19 fevrier 2014http://legifrance.gouv.fr/affichCodeArticle.do;jsessionid=
9FFCF574DB1409D59119974560FB7452.tpdila18v_1?idArticle=
LEGIARTI000021544838&cidTexte=LEGITEXT000006071307&dateTexte=20140218
Composition et role de la commission interministerielle de defense et desecurite des SAIV
Legifrance Code de la Defense Articles R1332-10 et suivantshttp://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=
LEGITEXT000006071307&idArticle=LEGIARTI000021544835
Composition et role de la commission zonale de defense et de securitedes SAIV
Legifrance Code de la Defense Articles R1332-13 et suivantshttp://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=
LEGITEXT000006071307&idArticle=LEGIARTI000006574336
61/65 Tous droits reserves HSC by Deloitte - 2015
La LPM pour un petit OIVBibliographie 2/5
References reglementaires et referentiels ANSSIInstruction Interministerielle 6600
Legifrance 07/01/2014http://circulaire.legifrance.gouv.fr/pdf/2014/01/cir_37828.pdf
Loi de Programmation Militaire 2014-2019 - Loi Numero 0294 du 19Decembre 2013
Legifrancehttp://www.legifrance.gouv.fr/affichTexte.do?cidTexte=
JORFTEXT000028338825&categorieLien=id
Instruction Interministerielle 901 du 28/01/2015Legifrancehttp://circulaires.legifrance.gouv.fr/index.php?action=
afficherCirculaire&hit=1&retourAccueil=1&r=39217
62/65 Tous droits reserves HSC by Deloitte - 2015
La LPM pour un petit OIVBibliographie 3/5
Communications ANSSI29/04/2013 - Livre blanc sur la defense et la securite nationale
http://www.livreblancdefenseetsecurite.gouv.fr/
16/04/2013 - Publication de la strategie de la France en matiere decyberdefense (datant de 2011)
http://www.ssi.gouv.fr/publication/
la-strategie-de-la-france-en-matiere-de-cyberdefense-et-cybersecurite/
20/02/2014 - Publication de la politique de la France en matiere decybersecurite
http://www.ssi.gouv.fr/uploads/IMG/pdf/dossier_de_presse_web_20140220.pdf
09/04/2014 - Debut officiel des travaux sur les decrets d’application de laLPM
http://www.ssi.gouv.fr/actualite/
lanssi-sattele-aux-decrets-dapplication-de-la-lpm-portant-sur-la-protection-des-operateurs-dimportance-vitale/
28/07/2014 - Appel a commentaires sur le referentiel PRIShttp://www.ssi.gouv.fr/actualite/
appel-public-a-commentaires-sur-le-referentiel-dexigences-applicables-aux-prestataires-de-reponse-aux-incidents-de-securite-pris/
28/10/2014 - Annonce des premiers groupes de travailhttp://www.ssi.gouv.fr/actualite/
cybersecurite-et-loi-de-programmation-militaire-preparation-des-regles-de-securite/
16/01/2015 - Appel a commentaires sur le referentiel PDIShttp://www.ssi.gouv.fr/actualite/
appel-public-a-commentaires-sur-le-referentiel-dexigences-applicables-aux-prestataires-de-detection-des-incidents-de-securite-pdis/
63/65 Tous droits reserves HSC by Deloitte - 2015
La LPM pour un petit OIVBibliographie 4/5
Guides et recommandations ANSSILa cybersecurite des systemes industriels
http://www.ssi.gouv.fr/guide/la-cybersecurite-des-systemes-industriels/
Recommandations de bonnes pratiqueshttp://www.ssi.gouv.fr/entreprise/bonnes-pratiques/
Profils de protection pour les systemes industrielshttp://www.ssi.gouv.fr/guide/
profils-de-protection-pour-les-systemes-industriels/
Referentiels ANSSIPrestataire Audit de Securite des Systemes d’Information
Referentiel PASSIhttp://www.ssi.gouv.fr/uploads/2014/11/RGS_v-2-0_C.pdf
Prestataires de Reponses aux Incidents de SecuritePresentation du referentiel PRIShttp://www.ossir.org/paris/supports/2014/2014-10-14/Presentation_OSSIR_-_
Referentiel_Reponse_Incidents_de_Securite_-_14_octobre_2014.pdf
Projet de referentiel PRIShttp://www.ssi.gouv.fr/actualite/
appel-public-a-commentaires-sur-le-referentiel-dexigences-applicables-aux-prestataires-de-reponse-aux-incidents-de-securite-pris/
Prestataires de Detection des Incidents de SecuriteProjet de referentiel PDIShttp://www.ssi.gouv.fr/actualite/
appel-public-a-commentaires-sur-le-referentiel-dexigences-applicables-aux-prestataires-de-detection-des-incidents-de-securite-pdis/
64/65 Tous droits reserves HSC by Deloitte - 2015
La LPM pour un petit OIVBibliographie 5/5
Normes et standardsISA-95
http://isa-95.com/
ISO/ISA 62443 (ex ISA-99)http://isa99.isa.org/ISA99%20Wiki/Home.aspx
Clusif - Cybersecurite des systemes industriels: Par ou commencer ?Panorama des referentiels
http://www.clusif.fr/fr/production/ouvrages/pdf/
CLUSIF-2014-SCADA-Panorama-des-referentiels.pdf
PresseAttaque sur le pipeline BTC, Bloomberg 10/12/2014
http://www.bloomberg.com/news/articles/2014-12-10/
mysterious-08-turkey-pipeline-blast-opened-new-cyberwar
Attaque sur une fonderie Allemande, Bundesamt fur Sicherheit in derInformationstechnik 21/01/2015
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/
Lageberichte/Lagebericht2014.pdf
Attentat contre le reseau electrique pakistanais 26/01/2015http://www.bbc.com/news/world-asia-30981338
65/65 Tous droits reserves HSC by Deloitte - 2015