1

Révision du référentiel R31Réunion du 20/03/2018

Ronan JEZEQUELChef de service développement

CNPP

2018

Sécurité numérique des données et des systèmes

Sécurité numérique des données et des systèmes : Pl an

– Introduction : travaux menés

– Vulnérabilités et préconisations « systèmes »

– Vulnérabilités et solutions « produits »

– Conclusion

2

Sécurité numérique

= > Introduction– Historique et évolutions du marché– Etudes CNPP

• Générale : « cyber » • Technique : « objets connectés »

= >Résultats– Mise en évidence des faiblesses

• Installations / systèmes• Produits

– Proposition solutions

Sécurité numérique

= > Approche « Système »

– Vulnérabilités liées à l’installation ���� vulnérabilités du SI• Mauvaise architecture / Cloisonnement • Insuffisance voire absence de protection des données (chiffrement, etc..)• Défaut de sensibilisation personnel + mauvaise « hygiène » SI• Absence de mise à jour et de suivi régulier

– Recommandations pour l’installation• Analyse risque numérique• Formulation d’exigences

– Conception– Réalisation – Exploitation / Maintenance

• Prise en compte dans certifications services / formations

Sécurité numérique

Confidentialité : exigences cryptographiques (clés d e chiffrement) sur niveau de chiffrement des services utilisés (https, VPN etc..)

Disponibilité : outils de monitoring réseau

Intégrité : exigences cryptographiques pour l’intégr ité (ex : fonction de hachage) des échanges de données, dont mises à jour

Traçabilité : exigences pour les mécanismes d’authen tification des personnes et des données, en connexion locale e t à distance

Référentiel APSAD D32(REALISATION)

5

Sécurité numérique

PSSI (Plan de Sécurité du Système d’Information)

• Rédaction charte - > responsabilisation des opérateu rs• Principes généraux• Gestion matériels perso / pro• Consigne en cas d’attaque avérée

• Définition d’une politique mots de passe • Gestion des mises à jours• Gestion des droits d’accès• Supervision du réseau• Action de sensibilisation (formation)

Référentiel APSAD D32(EXPLOITATION)

6

Sécurité numérique

= > Approche « produits »

= > Conséquences des vulnérabilités– Conséquences des vulnérabilités

• Confidentialité ( C )• Intégrité ( I )• Disponibilité ( D )

– Illustrations : Box « sécurité », serrures

Sécurité numérique

Intégrité

DisponibilitéConfidentialité

⇒Exploitées par des méthodes correspondant à un «état de l’ar tcybercriminel» de niveau «simple»

– Exemples de vulnérabilités

• Sur le produit– Services / ports ouverts par défaut – Serveur Web sans authentification (http) : Man in the middle

• Au niveau de l’application– ID / MdP fabricant par défaut – Téléchargement des MàJ non sécurisé

• Protocoles– Sniffing / Rejeu– Absence de réactionau brouillage

Sécurité numérique

Produit développé pour l’évaluation de la robustess e des produits(ST DEC 17 04)

• Applicable à tout type de produit connecté• Déclinée en fonction de la « composition »du produit

• Méthode – Relevé des vulnérabilités– Exploitation– Evaluation de la criticité des vulnérabilités

• Livrable brut : Rapport d’analyse de la robustesse aux attaques numériques

Sécurité numérique

– Application « simple » de la ST SHOC• Délivrance d’un rapport listant les vulnérabilités• Objectif : Aide au développement ou préparation dela certification

– Application via les référentiels de certification p roduits• Cumul évaluation « classique » et évaluation cyber• Avec délivrance d’un certificat « CNPP certified », « A2P@ », « NF&A2P@ ».. Attestant de la double performance « sécurité physique / sécurité logique »• Exemples : EVN, Serrures connectées, centrales et transmetteurs d’alarmes etc..

– Autres essais cyber • Selon exigences spécifiques normalisées (ex : EN 1300)• Vérifications selon document tiers (ex : guide ANSSI)

Sécurité numérique

Conclusion

– Déploiement de solutions• Organisationnelles• Techniques

– Référentiel APSAD D32 : applicable au SI des statio ns TLS dans contexte RGPD notamment

– Méthode d’évaluation applicable à tout produit comm ercialisé sous la forme « connectée » : équipements de sécurité des sta tions

11

Merci de votre attention!!

Contact :Ronan JEZEQUEL02 32 53 99 38ronan.jezequel@cnpp.com

12