Livre Blanc La sécurité des systèmes d’information media.surete- .La méthode MEHARI (Méthode

download Livre Blanc La sécurité des systèmes d’information media.surete- .La méthode MEHARI (Méthode

If you can't read please download the document

  • date post

    12-Sep-2018
  • Category

    Documents

  • view

    212
  • download

    0

Embed Size (px)

Transcript of Livre Blanc La sécurité des systèmes d’information media.surete- .La méthode MEHARI (Méthode

  • Livre BlancLa scurit des systmesdinformation industriels

  • 2

    Le livre blanc de la scurit des systmes dinformation industriels - 2010

  • Avant-proposLe prsent document est la proprit dEURIWARE et ne peut tre utilis que dans le seul but pour lequel il a t transmis. Il ne peut en aucun cas tre utilis ou copi, partiellement ou en totalit, dans quelque document que ce soit, sans laccord pralable et crit dEURIWARE.

    Il peut naturellement tre communiqu, en version papier ou lectronique, toute personne qui pourrait en avoir lusage, avec information EURIWARE.

    La communication par EURIWARE du prsent document et des informations quil contient ne saurait constituer et/ou confrer quelque droit de proprit intellectuelle et/ou industrielle que ce soit dont EURIWARE est titulaire.

    RemerciementsLes rdacteurs de cet ouvrage, Michel Brayard et Etienne Busnel, remercient les socits AREVA et TOTAL et plus particulirement messieurs Cardebat, Jeufraux, Romary et Zimmer pour leurs conseils et leur soutien tout au long de ce projet.

    Rvision mai 2010

  • 4

    Le livre blanc de la scurit des systmes dinformation industriels - 2010

  • Sommaire Quelques rappels sur la scurit des SI 8

    1.1 Caractristiques de linformation 81.2 Rfrentiels et mthodologies 9

    Les systmes dinformation industriels (SII) 112.1 Primtre concern 112.2 Evolution, tendance et historique 142.3 Besoins de scurit et tat actuel 15

    Deux mondes avec des diffrences notables 163.1 Priorits, organisation et fournisseurs 163.2 Technologies, utilisation et gestion 18

    Les bonnes pratiques 234.1 Les composantes de la scurit pour tous les systmes 234.2 Une dclinaison pour les SII 24

    4.2.1 Dmarche propose 244.2.2 Risques et enjeux 254.2.3 Mise en oeuvre 294.2.4 Gestion oprationnelle 37

    Annexes 39Lenqute sur les SII 39Les attentes les plus courantes 43Les vulnrabilits des SCADA 44

  • 6

    Le livre blanc de la scurit des systmes dinformation industriels - 2010

    IntroductionDe manire simpliste, mais surtout pragmatique et vitant tout dbat avec la SURETE, la SECURITE au sens gnral concerne les risques que chaque activit engendre pour lHomme, ses Biens et son Environnement. La SECURITE DES SYSTEMES DINFORMATION sintresse aux pannes, aux intrusions, aux incohrences ou aux altrations qui peuvent affecter les systmes dinformation et leurs donnes.

    Bien entendu, cette scurit des systmes dinformation est une composante essentielle de la scurit, mais son action est rarement directe, car le contact entre ces systmes et lhomme, ses biens ou son environnement se fait presque toujours travers des quipements ou dispositifs qui participent eux aussi la scurit.

    La scurit des systmes dinformation est devenue une thmatique part entire avec lmergence dInternet, des interconnexions et des risques daccs non sollicits aux systmes et aux informations. Cette problmatique a touch les applications et systmes bureautiques qui communiquent de plus en plus avec des applications centrales, et dont la technologie grand public universelle attire les tentations et les malveillances.

    Historiquement, ces technologies bureautiques ainsi que les applications centrales concernes relvent des DSI et ces DSI ont mis en place et dploy des parades de plus en plus efficaces pour protger ces systmes dits de gestion .

    Il existe, dans les entreprises, dautres systmes informatiques lis la production et la gestion des utilits . Ce sont les Systmes dInformation Industriels : les SII. Ils sont dans les usines ou dans les salles techniques des btiments, et sont souvent connus seulement par les responsables de production, les services gnraux et les agents de maintenance.

  • 7

    Avec lvolution des technologies, les systmes industriels ressemblent de plus en plus aux systmes de gestion et on pourrait penser y appliquer les mmes solutions que celles mises en uvre sur les SI de gestion. Ce serait oublier que les SII possdent des spcificits non ngligeables. De plus, et cest l un point MAJEUR de ce livre blanc, la Technologie nest quune des composantes de la scurit. Dautres aspects, tels que lorganisation, les accs, lexploitation ou la maintenance doivent galement tre pris en compte dans une rflexion globale. Ce sont des composants essentiels pour que les visions des DSI et des responsables de production convergent.

    Avec prs de 400 ingnieurs et techniciens uvrant depuis plus de 15 ans dans ce domaine, EURIWARE a acquis une exprience incomparable dans tout le primtre des SII, quel que soit leur type, et dans presque tous les domaines dapplication. EURIWARE a vcu lmergence des besoins en matire de scurit des SII chez ses clients et a apport les rponses appropries aux problmes soulevs.

    La dmarche propose donnera aux entreprises des pistes pour adresser les composantes dune politique de scurit efficace et mettra en lumire les lments rcurrents traiter pour une bonne scurit des SII.

    Il ne faut cependant pas chercher dans ce livre des lments exhaustifs pour rsoudre tous les problmes. Il convient dune part dtre bien conscient de la grande diversit des solutions et fournisseurs de SII, et dautre part de reconnatre que, dans les diffrents secteurs de lindustrie, les niveaux de scurit requis pour les SII sont trs variables dun secteur lautre : certains rpondent de trs hautes exigences scuritaires (le spatial, laronautique, le nuclaire et la sant).

  • 8

    Le livre blanc de la scurit des systmes dinformation industriels - 2010

    Quelques rappels sur la scurit des SI

    Tout dabord, quelques rappels sur les concepts de la scurit des systmes dinformation afin de faciliter la comprhension des diffrences entre lapproche des systmes dinformation industriels et celle des systmes dinformation de gestion .

    Signalons que ce livre blanc nintgre pas les contraintes rglementaires lies aux systmes classifis de dfense ou dimpor tance vitale mme si des approches et des pra t iques proposes sont galement appl icables ces environnements. Il nous semble malgr tout utile de signaler l exis tence dune rglementation interministr iel le trai tant de la scurit des systmes industriels dits dimpor tance vitale : lIGI 6600/SGDN/PSE/PPS du 26 septembre 2008.

    1.1 Caractristiques de linformationLa scurit des systmes dinformation - ensemble des moyens techniques, organisationnels, juridiques et humains mis en place - repose principalement sur les quatre critres de sensibilit rappels ci-aprs :

    D Disponibilit : cest la garantie pour que les informations ou services soient accessibles et utilisables dans des conditions spcifies de temps,

    C Confidentialit : cest la garantie que laccs aux informations et services considrs ne soit pas possible sans autorisation,

    I Intgrit : cest la garantie que les informations ou services considrs ne soient pas modifis de manire indue,

    P Preuve (ou Traabilit, ou encore Imputabilit) : cest la garantie de disposer des lments qui apportent la preuve des traitements ou autres vnements relatifs aux informations ou services considrs.

  • Conformit

    Politiquede scurit

    OrganisationnelStratgique

    Organisation de lagestion de la scurit

    des systmes d'information

    Gestion des biens et actifs

    Gestion desoprations et descommunications

    Acquisition,dveloppement etmaintenance de

    systmes

    Gestionde la

    continuitd'activit

    Gestiondes incidentsde scurit

    Contrlesd'accs

    Scurit physique et environnementale

    Scuritdes personnels

    Oprationnel

    9

    1.2 Rfrentiels et mthodologiesPlusieurs normes, mthodologies et bonnes pratiques en matire de scurit des systmes dinformation, existent.

    LISO a entrepris un vaste effort de rationalisation des travaux existants donnant naissance la srie des ISO 27000 : ainsi, issue de la norme BS 7799 du British Standard Institute datant du dbut des annes 1990, la norme internationale ISO 27002 formalise le primtre global sur lequel doit sappliquer ou se dcliner la scurit des systmes dinformation. Cette norme peut tre reprsente comme suit :

    Mais dautres approches existent galement parmi lesquellesnous citerons :

    La norme ISO 15408, datant de 1999, qui, plutt tourne vers les industriels du secteur informatique, propose des critres communs dvaluation de la scurit des technologies de linformation (Common Criteria - CC - for Information Technology Security Evaluation).

  • 10

    Le livre blanc de la scurit des systmes dinformation industriels - 2010

    EBIOS (Expression des Besoins et Identification des Objectifs de Scurit), mthode tablie par lANSSI (Agence Nationale de la Scurit des Systmes dInformation ex DCSSI) pour identifier les besoins de scurit dun systme dinformation, se prsente sous la forme dune brochure et dun logiciel gratuits.

    La mthode MEHARI (Mthode Harmonise dAnalyse de Risques), propose par le CLUSIF (Club de la Scurit des Systmes dInformation Franais) est destine permettre lvaluation des risques, mais galement le contrle et la gestion de la scurit du systme dinformation.

    Le rfrentiel de gouvernance et daudit des SI COBIT (Control Objectives for Business and Related Technology), publi en 1996 par lISACA (Information Systems Audit and Control Association), contient, dans ses 34 objecti fs de contrle, un objectif couvrant une bonne partie des domaines de lISO 27002, mais en sintressant beaucoup plus de critres de sensibilit de linformation (Efficacit, Efficience, Confidentialit, Intgrit, Disponibilit, Conformit et Fiabilit).

    Dans le contexte spcifique des SII, des normes lies aux mtiers ont galement formalis la prise en compte de la scurit des SI. On peut notamment citer :

    NERC-CIP : norme amricaine concernant le secteur de lnergie,

    CNPI : recommandat