Cyber-sécurité et pragmatisme, les normes industrielles ...

For Excellence in Electronics

Cyber-sécurité et pragmatisme, les normes industrielles face aux contraintes de production

Copyright SERMA Safety & Security 2018

Un modèle unique construit sur un héritage technique

Nos champs d’intervention

► MAÎTRISE DU RISQUE & DE LA SÉCURITÉ du composant au

système

► Offre combinées SAFETY/SECURITY

► Interventions en CONSEIL & ÉVALUTATION normative

► VEILLE TECHNOLOGIQUE & R&D

► FORMATIONS SPECIALISÉES

► ACCOMPAGNEMENT

⁞ sur le CYCLE DE DÉVELOPPEMENT de leurs produits/ systèmes

⁞ les nouveaux SCHÉMAS D’ÉVALUATION spécifiques à leur

secteur

Laboratoire CESTI

Création : 1998

45 experts en hardware, logiciel

embarqué, cryptographie

Marchés : bancaire, gouvernement,

industriels

SURLOG

Création : 1993

Experts en Sureté de Fonctionnement

(HW, SW, systèmes)

Marchés industriels

Rachat 2006

LES MARCHÉS

► Systèmes HW & SW

complexes

► Systèmes connectés/IOT

► Systèmes d’Information

Rachat 2016

Conseil

en sécurité/sûreté

35 experts

Marchés : bancaire, gouvernement,

industriels

OPALE SECURITY

Création : 2008

Experts en sécurité IOT & SI

Marchés industriels et du service

2


BACK OFFICE

TECHNOLOGIES

DE L’ÉLECTRONIQUE

INGÉNIERIE DES

SYSTÈMES EMBARQUÉS

MICROÉLECTRONIQUE

SÛRETÉ ET CYBERSÉCURITÉ

DES SYSTÈMES

Une présence européenne

ÉNERGIE

3


CESTI – Évaluations de Sécurité

► Évaluation formelle de produits et systèmes

► Label « CESTI » délivré à SERMA par l’ANSSI depuis 2000

► Agréments pour les schémas publics (CC, CSPN)

► Agréments de schémas privés (PCI, FIPS, EMVCo, …)

► Accréditation COFRAC (ISO 17025)

Conseil – IT/ IoT Sécurité - Sûreté

► Gouvernance et Stratégie de Sécurité

► Analyses de risques (EBIOS, ISO 27005, FMECA, FTA)

► Analyses d’architecture techniques et conseil aux renforcements

► Audits de Sécurité et tests d’intrusion (boîte noire, boîte grise,

boîte blanche, Redteam), hardware et software

► Synergie Sécurité/Sûreté (Risques, SIL &EAL, Audit croisé)

► Formations/Sensibilisations Sécurité (Catalogue ou sur mesure)

► Maîtrise des normes Sécurité (ISO 2700x, IEC 62443, Critères

Communs, PCI DSS, guides ANSSI, I.I. 901, PSSI, …)

► Maîtrise des normes Sûreté (IEC 62304, ISO 14971, IEC 61508,

ISO 26262, EN 5012X, DO 254, DO 178, IEC 62061, IEC 61513)

Offres et domaines d’intervention

SÛRETÉ ET CYBERSÉCURITÉ

DES SYSTÈMES

Pôle CESTI - Sécurité

Pôle Conseil - Sécurité et Sûreté

4


Votre spécialiste de la Sécurité

Produits et Systèmes

► Approche Métier – Risques – Protection

► Traitement global et homogène des risques

Risques opérationnels – Sécurité – Continuité – Fraude

Sûreté – IE– Conformité …

► Développer un cadre clair, précis et contrôlé…

… pour des résultats pragmatiques

Le pragmatisme

des recommandations

de nos consultants

► S3 = Filiale Cybersecurity du Groupe SERMA

► Conseil spécialisé en Safety et Security

► Gestion globale des risques (techniques & organisationnels)

► 80 consultants - forte croissance - 10 M€ de CA

► Culture multisectorielle de rigueur et pragmatisme

► Engagement sur les résultats / « PASSI Ready »

► Accréditation CD – Organisme de formation

Notre ADNIdentité

Nos convictions Quelques clients

Carte d’identité Conseil S3

5


Notre expertise en Conseil en sécurité (1/2)

► Conseil en Cyber Sécurité pour les domaines de l’IT, de l’IoT et des systèmes industriels/électroniques connectés

► Security Consulting opérationnel basé sur de très nombreux retours terrain

► Qui permet de fournir des recommandations pragmatiques pour renforcer le niveau de sécurité

+ +

6


Notre expertise en Conseil en sécurité (2/2)

Notre rôle est donc d’aider nos clients à :

► Évaluer et renforcer la sécurité de leur SI et de leurs écosystèmes électroniques (IoT, système industriel connecté) par une approche technique et organisationnelle

► Concevoir des systèmes sécurisés (SDLC)

► Sensibiliser et former tous les intervenants de leur organisation à la sécurité des usages numériques pour répondre à des menaces protéiformes mais RÉELLES

Notre approche de la sécurisation est donc simple et utilise souvent notre double compétence: SI + Électronique

► Organiser, protéger, auditer, former7


Présentation succincte des normes

Dans l’industrie

01

8


Normes et standards de cyber-sécurité

Normes mondiales Normes nationales

Série IEC 62443: Réseau industriel et sécurité du

système

Série ISO 27000: Système de gestion de la sécurité de

l'information

Critères Communs: critères d'évaluation pour les produits

et systèmes de sécurité

Série SP800 (30, 39, 53, 82, 90, etc.) pour les exigences de sécurité opérationnelle...

Guide industriel: mesures détailléesCSPN (critères pour l'évaluation de premier niveau)...

Protection des infrastructures critiquesSécurité informatique -mesures détaillées...

9


Présentation de la réalité du terrain

02

10


Définition de IT et OT dans le monde de la cyber-sécurité

Information Technology

• Confidentialité des données traitées

• Intégrité des données traitées

• Hébergées par le service informatique

Operational Technology

• Disponibilité, intégrité, fiabilité du système de commande et de contrôle en lui-même

• Entraîne des conséquences opérationnelles sur le plan physique

11


Définition de IoT et IIoT dans le monde de la cyber-sécurité

Internet of Things

• Objets connectés accessibles à travers internet

• Technologies de l’embarqué

• Interaction avec des environnements externes

Industrial Internet of Things

• Systèmes industriels connectés

• Des contraintes propres

• Multiples domaines : usine du futur, ville, énergie, véhicule…

12


Converge de l’IT et de l’OT => IoT / IIoT

IIOT

13

Machinerie

OT

Automate programma-ble industriel

Terminal distant

LogicielSCADA

Système de supervision

Technologieinformatique embarquée

Système de contrôle

Logiciel industriel à

distance

Équipement de l'usine physique

Interface homme machine

Technos communi-

cante

IT

Déploie-ment sur le

Web

Expert en technologie de réseau

Logiciels et matériels

CloudBase de données

Evolutivité rapide

Stocker et traiter de

l’infos

Interface homme machine

Connecté

IoT

Capteurs

Cloud

Sans fil

Expérienceutilisateur

Système embarqué

Contrainteslégères


Evolution du monde industriel

14


Attaque récente 2017 / 2018

Contexte : Deutsche Bahn, Allemagne, 2017Attaquant : Hacker ayant utilisé le ransomware WannacryMotivation : Le hacker a demandé 300 $ de bitcoinConséquences : L’infrastructure de la Deutsche Bahn, a déclaré sur son site Internet que tous les systèmes du centre d'exploitation de Hanovre avaient planté en raison de l’attaque.

15


Attaque récente 2017 / 2018

Contexte : Amazon et eBay retirent une marque de jouets CloudPets de la vente car ils contiennent

des vulnérabilités.Des hackers étaient parvenus à pénétrer la base de données des CloudPets, contenant les adresses mails, mots de passe et enregistrements vocaux de 800 000 personnes (soit 2,2 millions de conversations enregistrées).

16


Le pragmatisme de l’implémentation des normes

03

17


Le pragmatisme dans la norme UL 2900 : exemple

► Remote Communication : The product shall ensure the integrity and authenticity of all data communicated over any remote interface. For this, the product shall use security functions complying with the requirementsin Appendix C

► Dans Appendix C on peut lire une référence à 11 normes⁞ Par exemple :

Key management ISO/IEC 11770:2018 (138 euros - 28 pages)

Digital signature ISO/IEC 14888-3:2016 (198 euros - 131 pages)

Authenticated encryption ISO/IEC 19772:2009 (138 euros – 29 pages)o Traite de l’aspect théorique mais pas forcément de l’implémentation concrète pour un

industriel

18


Le pragmatisme dans la norme IEC 80001-2-2 : exemple

► Emergency access : Ensure that access to protected HEALTH DATA is possible in case of an emergency situation requiring immediate access to stored HEALTH DATA.

► During emergency situations, the clinical user needs to be able to access HEALTH DATA without personal user id and authentication (break-glass functionality).

► Emergency access is to be detected, recorded and reported. Ideally including some manner of immediate notification to the system administrator or medical staff (in addition to audit record)[…]

19


Le pragmatisme dans la loi HIPAA : exemple

► Est-ce que vous avez une procédure de création / modification / archivage des mots de passe ?

⁞ Si oui, sur quelle base est-elle sécurisée ?

⁞ Si non, sur quelle base n’est elle pas sécurisée ?

⁞ Importance de l’impartialité de l’auditeur ?

20


L'avenir des organismes de normalisation

04

21


L’avenir des organismes de normalisation

► Faut-il repartir d’une feuille vierge ?► Les normes précises et concises

⁞ Difficile d’être claire et exhaustif⁞ Difficile d’être claire dans l’implémentation quand on veut être exhaustif⁞ Trop de théorie contre trop de liberté

► Comment orienter l’implémentation des prérequis de Cyber Sécurité avec l’aide des normes ?

► Un des prérequis de cyber sécurité est de rester simple et cohérent :⁞ Méconnaissance des normes⁞ Ne pas opposer les normes en fonction de pays⁞ Simplifier la gestion de l'obsolescence des normes

► Pourquoi faire référence à des normes qui ne sont plus maintenues ?► Les risques et les exigences ont évolué quant est-il des normes ?

22


Questions / réponses

05

23


Pôle Conseil - Activités SecuritéIngénieur Chef de projet IT & IoT

Julien MOINARD

+33 (0) 6 34 78 50 53

[email protected]

Contacts

SERMA SAFETY & SECURITY2 RUE DE JOUANET (CENTRE METROPOLIS – BÂT. D)

35700 RENNES – FRANCE

STANDARD : +33 (0)9 53 22 99 64

[email protected]

www.serma-safety-security.com

www.serma.com

24

mailto:[email protected]

http://www.serma-technologies.com/fr/

Cyber-sécurité et pragmatisme, les normes industrielles ...

Documents

Transcript of Cyber-sécurité et pragmatisme, les normes industrielles ...