Mise en réseau de systèmes d’alarme contre l’intrusion via ...
Transcript of Mise en réseau de systèmes d’alarme contre l’intrusion via ...
Tröhler Henry
Inst. El. Dipl., Chef product management international pour systèmes d'alarme contre l’intrusion, Securiton SA, Zollikofen
Mise en réseau desystèmes d’alarme contre l’intrusion via des réseaux informatiques
Programme
• Qu'est-ce qu'un réseau informatique?• Classification thématique • Utilisation de réseaux informatiques pour les systèmes d’alarme contre l’intrusion (SAI)
• Approche• Propriétés du réseau• Questions / motivation• Catégorisation • Conditions cadres• Différentes exigences• Sécurité informatique : reproductibilité ou praticabilité • État actuel des normes et directives
• Résumé
14.11.2018 / 2
Qu'est-ce qu'un réseau informatique?
Ensemble ou regroupement de plusieurs terminaux en vue de l’échange de données et de l’utilisation en commun de composants du système ainsi que de ressources. La liaison y est assurée par l’intermédiaire d’un support de transmission quelconque.
Définition: Réseau informatique
14.11.2018 / 3
Classification thématique
14.11.2018 / 4
CAI
Utilisation de réseaux informatiques pour les SAI : approche
« Réseau client » comme boîte noire avec propriétés et exigences
Qualité fonctionnelle
Conf
orm
ité
Disp
onib
ilité
Conf
iden
tialit
é
Inté
grité
Non
-répu
diat
ion
Auth
entic
ité
Un service est-il « utilisable » même si la qualité varie ?
14.11.2018 / 5
Utilisation de réseaux informatiques pour les SAI : propriétés du réseau
14.11.2018 / 6
« Réseau client » comme boîte noire avec propriétés et exigences
• Réseau non dédiéc’est-à-dire que d’autres applications y accèdent (p. ex. technique du bâtiment)
• Planification et maintenance par des informaticiens
• Accès en partie ouvert
• Composants ayant des propriétés différentes (p. ex. fiabilité)
Utilisation de réseaux informatiques pour les SAI : Questions / motivation
• Quels types de connexion faut-il distinguer ?
• Quel peut être l’effet des dérangements ?
• Quelles configurations sont pensables / réalisables ?
• Quelles conditions cadres / paramètres s’y appliquent ?
• Jusqu’à quel point faut-il apporter des modifications et compléments aux directives VdS ... (de sorte que les exigences fondamentales restent satisfaites) ?
14.11.2018 / 7
Utilisation de réseaux informatiques pour les SAI : catégorisation
Réseau physique exclusif
• Responsabilité de toutes les liaisons entre les mêmes mains
SAI classiques (sans radio)
• Est constitué de lignes et composants du réseau séparés physiquement
14.11.2018 / 8
Utilisation de réseaux informatiques pour les SAI : catégorisation
Réseau logique exclusif
• Responsabilité de toutes les liaisons entre les mêmes mains
• Constitué de liaisons logiques (p. ex. canaux, chemins d’accès virtuels) du réseau
Remarque : considération inspirée du modèle de référence ISO/OSI !
Réseau logique exclusif avecdes liaisons SAI dédiées
14.11.2018 / 9
Utilisation de réseaux informatiques pour les SAI : catégorisation
• Responsabilité de toutes les liaisons entre des mains différentes
SAI classiques avec radio
Réseau non exclusif
14.11.2018 / 10
Utilisation de réseaux informatiques pour les SAI : catégorisation
Contrôle d’accès
Vidéo-surveillance
SAI
• P. ex. via un concentrateur
Réseau non dédié
14.11.2018 / 11
Utilisation de réseaux informatiques pour les SAI : conditions cadres
Exigences de base
• Aucun message ne doit être perdu
• Les messages doivent être traités dans les 10s
Mesures pour assurer la confidentialité, l’intégrité, la disponibilitéet la protection antisabotage
Exigences générales dans VdS 3147
14.11.2018 / 12
Utilisation de réseaux informatiques pour les SAI : exigences générales – VdS 3147
• Planification et installation du réseau • Conception du réseau / structure• Concept d’alimentation de secours• Mise en service
• Exigences posées à la connexion en fonction de la catégorie de réseau, p. ex. redondance• Intégrité de la liaison (la disponibilité doit être contrôlée)• La disponibilité est mesurée, enregistrée et interrogeable
Mesures pour assurer les exigences de baseExigences sur le système
14.11.2018 / 13
Utilisation de réseaux informatiques pour les SAI : exigences générales – VdS 3147
• Les exigences de la norme EN 50174 sont applicables• EN 50174 Technologies de l’information - Installation de câblage
14.11.2018 / 14
Conception du réseauExigences sur le réseau informatique du client
• Partie 1 : Spécification de l'installation et assurance de la qualité
• Partie 2 : Planification et pratiques d'installation à l'intérieur des bâtiments
Utilisation de réseaux informatiques pour les SAI : exigences générales – VdS 3147
Exigences sur le réseau informatique du client pour SAI de classe A
• Plan de qualité « Niveau 1 » selon EN 50174 est applicable
Exemple A: Plan de qualité « Niveau 1 »A1) Assurer la conformité d’une installation professionnelle
− par conception de canal et une implémentation assurant que la classe de performance prescrite est respectéeou
− par implémentations de référence et des composants de câblage compatiblesA2) Uniquement contrôle de continuité, d’inversion de polarité et, en cas de câblage symétrique, de court-circuit A3) Des défauts éventuels pour toutes les autres propriétés sont tolérés
14.11.2018 / 15
• Le répartiteur est logé dans un local de répartition informatique auquel seul l’exploitant et l’installateur/spécialiste de maintenance ont accès
Utilisation de réseaux informatiques pour les SAI : exigences générales – VdS 3147
Exemple B: Plan de qualité « Niveau 2 »B1) Assurer la conformité d’une installation professionnelle
− par conception de canal et une implémentation assurant que la classe de performance prescrite estrespectéeou
− par implémentations de référence et des composants de câblage compatiblesB2) Contrôle de continuité, d’inversion de polarité et, en cas de câblage symétrique, de court-circuit et, si nécessaire, élimination des défautsB3) En outre, contrôle par mesure d’échantillons avec étendue convenue en ce qui concerne le nombre et les paramètres techniques de transmissionB4) Les résultats de mesure et les défauts sont documentés. Traitement des résultats de mesure au sein de la précision de mesure : EN 50174-1:2009/A1:2011
recommande d’accepter les résultats corrects dans la plage de tolérance (en : marginal pass) et de rejeter les résultats incorrects dans la plage de tolérance(en : marginal fail)
B5) Pas de rectification à l’intérieur de tolérances à convenir
• Surveillance des (locaux des) répartiteurs
• Répartiteur informatique dans une zone de sécurité ou constitue lui-même une zone de sécurité
• Plan de qualité « Niveau 2 » selon EN 50174 nécessaire
Exigences sur le réseau informatique du client pour SAI de classe B et C
14.11.2018 / 16
Utilisation de réseaux informatiques pour les SAI : exigences générales – VdS 3147
• Exigences sur la protection antisabotage• Accès aux composants du réseau
• Exigences sur l’intégrité des messages• Identique au message envoyé ?
• Exigences sur la confidentialité des messages• Quelqu’un peut-il lire les messages ?
• Exigences sur l’authenticité• Le message provient-il du bon partenaire de communication ?
Mesures pour assurer les exigences de baseExigences sur le système (sécurité informatique)
14.11.2018 / 17
Utilisation de réseaux informatiques pour les SAI : exigences sur la sécurité informatique
• Cryptage des messages selon ISO/CEI 18033 Le cryptage AES 128 est considéré comme suffisamment sûr
• Intégrité des messages (pas d’attaques par rejeu) Les fonctions de hachage doivent satisfaire aux
recommandations d’ISO/CEI 10118• Authenticité du partenaire de communication
P. ex. hachage selon ISO/CEI 10118 + procédure sûre d’échange du vecteur d’initialisation Procédure défi-réponse
Exigences supplémentaires spécifiques à l’application
Le nouveau protocole VdS 2465 y satisfait
14.11.2018 / 18
Utilisation de réseaux informatiques pour les SAI : connexions
Connexion redondante
• Pour plus de 512 détecteurs
• Si des composants actifs n’ont pas d’alimentation de secours
• Si la liaison n’est pas exclusive
14.11.2018 / 19
Utilisation de réseaux informatiques pour les SAI : connexion possible
Dans le cas d’un réseau non exclusif et non dédié, les parties de l’installation doivent être connectées via une passerelle de sécurité / ou présenter la fonctionnalité de celle-ci
14.11.2018 / 20
Utilisation de réseaux informatiques pour les SAI : passerelle de sécurité
Passerelle de sécurité en tant que « nouveau » type d’appareil qui met en œuvre les exigences système en termes d’équipement
VdS 3106, partie 2 - Parties d’installation dans des réseaux locaux avecliaisons non dédiées, exigences et méthodes d’essai
14.11.2018 / 21
Utilisation de réseaux informatiques pour les SAI : exigences sur lapasserelle de sécuritéVdS 3106, partie 2 - Parties d’installation dans des réseaux locaux avec liaisons non dédiées, exigences et méthodes d’essai
Les exigences pertinentes de VdS 2252 pour les équipements de contrôle et de signalisation(notamment les « modules de bus ») s’appliquent ici• Traitement d’événements
• Affichages, sorties et mémoire des événements
• Sécurité d’exploitation et de commande
• Protection contre les influences de l’environnement
• Interfaces
• Repérage et marquage
14.11.2018 / 22
Sécurité antisabotage
Sécurité de fonctionnement
Fiab
ilité
Respect del’environnement
Défaillancetechniques In
fluen
ce
inte
ntio
nnel
le
Influenceaccidentelle
Traitement
Alimentation
Détection Sortie
Commande
Influences naturelles
Utilisation de réseaux informatiques pour les SAI : exigences sur lapasserelle de sécurité
• Détection de dérangements dans les 5set transmission à la CAI ou SPT dans les 10s
• Mesure de disponibilité 𝑊𝑊𝐴𝐴 1 − 𝑊𝑊𝑊𝑊10080
∗ 100%• Les valeurs hebdomadaires doivent être
enregistrées de manière lisible dans la mémoiredes événements pendant au moins un an
WA = disponibilité hebdomadaireWF = somme des durées du dérangement pendant une période de 7 joursRemarque : 10080 = nombre de minutes par période de 7 jours
Exigences supplémentaires spécifiques à l’application
14.11.2018 / 23
Utilisation de réseaux informatiques pour les SAI : autres aspects
Protection d’accès : hébergement des composants du réseau dans un répartiteur informatique avec accès pour personnes autorisées*
*personne autorisée détentrice d’un accès aux appareils informatiques selon le concept d’autorisation.
Remarque : l’accès peut être réalisé directement sur l’appareil ou à distance (remote).
14.11.2018 / 24
Utilisation de réseaux informatiques pour les SAI : praticabilité ou reproductibilité
Problème lors des contrôles : prouver que les exigences sont satisfaites
Le « durcissement » de la sécurité par rapport aux attaques informatiques est réalisé dans la pratique ou suite à des attaques ciblées de pirates
Reproductibilité Praticabilité
14.11.2018 / 25
Utilisation de réseaux informatiques pour les SAI : État actuel des normes, directives et suite de la procédure
• Les directives VdS 3147 sont disponibles • VdS 3106 partie 1: le complément aux directives sera finalisé prochainement
• VdS 3106 partie 2: Parties d’installation pour réseau radio sera soumise à consultation
• Procédure d’essai et d’homologation
14.11.2018 / 26
Résumé
• L’utilisation de réseaux informatiques pour les SAI est tout à fait possible
• Il faut en spécifier les conditions
• Un concept étagé par classes inclut à la fois des exigences sur le système et sur lesappareils
• Exigences particulières sur la sécurité informatique
• L’adéquation pratique en termes de sécurité informatique est difficile à réaliser
14.11.2018 / 27
Merci pour votre attention
Henry TröhlerSecuriton SAAlpenstrasse 3052 ZollikofenEmail : [email protected]