Cyber-sécurité et pragmatisme, les normes industrielles face aux contraintes de production - For Excellence in Electronics - Cap'tronic
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Cyber-sécurité et pragmatisme, les normes
industrielles face aux contraintes de production
For Excellence in Electronics
Un modèle unique construit sur un héritage technique
Nos champs d’intervention
► MAÎTRISE DU RISQUE & DE LA SÉCURITÉ du composant au
système
► Offre combinées SAFETY/SECURITY
► Interventions en CONSEIL & ÉVALUTATION normative LES MARCHÉS
► VEILLE TECHNOLOGIQUE & R&D
► Systèmes HW & SW
► FORMATIONS SPECIALISÉES
complexes
► ACCOMPAGNEMENT
► Systèmes connectés/IOT
⁞ sur le CYCLE DE DÉVELOPPEMENT de leurs produits/ systèmes
► Systèmes d’Information
⁞ les nouveaux SCHÉMAS D’ÉVALUATION spécifiques à leur
secteur
SURLOG
Création : 1993
Conseil Rachat 2006 Experts en Sureté de Fonctionnement
Laboratoire CESTI (HW, SW, systèmes)
en sécurité/sûreté Marchés industriels
Création : 1998
45 experts en hardware, logiciel
embarqué, cryptographie 35 experts OPALE SECURITY
Marchés : bancaire, gouvernement, Marchés : bancaire, gouvernement, Rachat 2016 Création : 2008
industriels industriels Experts en sécurité IOT & SI
Marchés industriels et du service
Copyright SERMA Safety & Security 2018 2
Une présence européenne
TECHNOLOGIES
DE L’ÉLECTRONIQUE
SÛRETÉ ET CYBERSÉCURITÉ
DES SYSTÈMES
INGÉNIERIE DES
SYSTÈMES EMBARQUÉS
ÉNERGIE
MICROÉLECTRONIQUE
BACK OFFICE
Copyright SERMA Safety & Security 2018 3
Offres et domaines d’intervention
CESTI – Évaluations de Sécurité
► Évaluation formelle de produits et systèmes
► Label « CESTI » délivré à SERMA par l’ANSSI depuis 2000
► Agréments pour les schémas publics (CC, CSPN)
► Agréments de schémas privés (PCI, FIPS, EMVCo, …)
► Accréditation COFRAC (ISO 17025)
SÛRETÉ ET CYBERSÉCURITÉ Conseil – IT/ IoT Sécurité - Sûreté
DES SYSTÈMES ► Gouvernance et Stratégie de Sécurité
► Analyses de risques (EBIOS, ISO 27005, FMECA, FTA)
Pôle CESTI - Sécurité ► Analyses d’architecture techniques et conseil aux renforcements
► Audits de Sécurité et tests d’intrusion (boîte noire, boîte grise,
boîte blanche, Redteam), hardware et software
► Synergie Sécurité/Sûreté (Risques, SIL &EAL, Audit croisé)
► Formations/Sensibilisations Sécurité (Catalogue ou sur mesure)
► Maîtrise des normes Sécurité (ISO 2700x, IEC 62443, Critères
Pôle Conseil - Sécurité et Sûreté Communs, PCI DSS, guides ANSSI, I.I. 901, PSSI, …)
► Maîtrise des normes Sûreté (IEC 62304, ISO 14971, IEC 61508,
ISO 26262, EN 5012X, DO 254, DO 178, IEC 62061, IEC 61513)
Copyright SERMA Safety & Security 2018 4
Carte d’identité Conseil S3
Identité Notre ADN
► S3 = Filiale Cybersecurity du Groupe SERMA
► Conseil spécialisé en Safety et Security
► Gestion globale des risques (techniques & organisationnels) Le pragmatisme
► 80 consultants - forte croissance - 10 M€ de CA des recommandations
► Culture multisectorielle de rigueur et pragmatisme
► Engagement sur les résultats / « PASSI Ready »
de nos consultants
► Accréditation CD – Organisme de formation
Nos convictions Quelques clients
Votre spécialiste de la Sécurité
Produits et Systèmes
► Approche Métier – Risques – Protection
► Traitement global et homogène des risques
Risques opérationnels – Sécurité – Continuité – Fraude
Sûreté – IE– Conformité …
► Développer un cadre clair, précis et contrôlé…
… pour des résultats pragmatiques
Copyright SERMA Safety & Security 2018 5
Notre expertise en Conseil en sécurité (1/2)
► Conseil en Cyber Sécurité pour les domaines de l’IT, de l’IoT et des systèmes
industriels/électroniques connectés
► Security Consulting opérationnel basé sur de très nombreux retours terrain
► Qui permet de fournir des recommandations pragmatiques pour renforcer le
niveau de sécurité
+ +
Copyright SERMA Safety & Security 2018 6
Notre expertise en Conseil en sécurité (2/2)
Notre rôle est donc d’aider nos clients à :
► Évaluer et renforcer la sécurité de leur SI et de leurs écosystèmes électroniques (IoT,
système industriel connecté) par une approche technique et organisationnelle
► Concevoir des systèmes sécurisés (SDLC)
► Sensibiliser et former tous les intervenants de leur organisation à la sécurité des
usages numériques pour répondre à des menaces protéiformes mais RÉELLES
Notre approche de la sécurisation est donc simple et utilise souvent notre double
compétence: SI + Électronique
► Organiser, protéger, auditer, former
Copyright SERMA Safety & Security 2018 7
01
Présentation succincte des normes
Dans l’industrie
Copyright SERMA Safety & Security 2018 8
Normes et standards de cyber-sécurité
Normes mondiales Normes nationales
Série IEC 62443: Réseau Série SP800 (30, 39, 53, 82, 90,
industriel et sécurité du etc.) pour les exigences de
système sécurité opérationnelle
...
Guide industriel: mesures
Série ISO 27000: Système de détaillées
gestion de la sécurité de CSPN (critères pour l'évaluation
l'information de premier niveau)...
Protection des infrastructures
Critères Communs: critères critiques
d'évaluation pour les produits Sécurité informatique -
et systèmes de sécurité mesures détaillées...
Copyright SERMA Safety & Security 2018 9
02
Présentation de la réalité du terrain
Copyright SERMA Safety & Security 2018 10Définition de IT et OT dans le monde de la cyber-sécurité
Information Technology
• Confidentialité des données traitées
• Intégrité des données traitées
• Hébergées par le service informatique
Operational Technology
• Disponibilité, intégrité, fiabilité du système de commande et
de contrôle en lui-même
• Entraîne des conséquences opérationnelles sur le plan
physique
Copyright SERMA Safety & Security 2018 11Définition de IoT et IIoT dans le monde de la cyber-sécurité
Internet of Things
• Objets connectés accessibles à travers internet
• Technologies de l’embarqué
• Interaction avec des environnements externes
Industrial Internet of Things
• Systèmes industriels connectés
• Des contraintes propres
• Multiples domaines : usine du futur, ville, énergie, véhicule…
Copyright SERMA Safety & Security 2018 12Converge de l’IT et de l’OT => IoT / IIoT
Capteurs Connecté
Expérience
utilisateur IoT Cloud
Contraintes Système
Sans fil
légères embarqué
Stocker et Déploie- Technos
traiter de ment sur le communi-
l’infos Web cante
Evolutivité
rapide IT
Expert en
technologie
de réseau
IIOT Automate
programma-
ble industriel
Machinerie
Système de
contrôle
Interface Interface
Base de Logiciels et Terminal Logiciel
homme
machine
données
Cloud
matériels
homme
machine
OT distant SCADA
Équipement Technologie Logiciel
de l'usine Système de
informatique industriel à
physique supervision
embarquée distance
Copyright SERMA Safety & Security 2018 13Evolution du monde industriel Copyright SERMA Safety & Security 2018 14
Attaque récente 2017 / 2018
Contexte : Deutsche Bahn, Allemagne, 2017
Attaquant : Hacker ayant utilisé le ransomware Wannacry
Motivation : Le hacker a demandé 300 $ de bitcoin
Conséquences : L’infrastructure de la Deutsche Bahn, a déclaré sur son site Internet que tous les
systèmes du centre d'exploitation de Hanovre avaient planté en raison de l’attaque.
Copyright SERMA Safety & Security 2018 15Attaque récente 2017 / 2018
Contexte : Amazon et eBay retirent une marque de jouets CloudPets de la vente car ils contiennent
des vulnérabilités.Des hackers étaient parvenus à pénétrer la base de données des CloudPets,
contenant les adresses mails, mots de passe et enregistrements vocaux de 800 000
personnes (soit 2,2 millions de conversations enregistrées).
Copyright SERMA Safety & Security 2018 1603
Le pragmatisme de l’implémentation
des normes
Copyright SERMA Safety & Security 2018 17Le pragmatisme dans la norme UL 2900 : exemple
► Remote Communication : The product shall ensure the integrity and
authenticity of all data communicated over any remote interface. For this,
the product shall use security functions complying with the requirements
in Appendix C
► Dans Appendix C on peut lire une référence à 11 normes
⁞ Par exemple :
Key management ISO/IEC 11770:2018 (138 euros - 28 pages)
Digital signature ISO/IEC 14888-3:2016 (198 euros - 131 pages)
Authenticated encryption ISO/IEC 19772:2009 (138 euros – 29 pages)
o Traite de l’aspect théorique mais pas forcément de l’implémentation concrète pour un
industriel
Copyright SERMA Safety & Security 2018 18Le pragmatisme dans la norme IEC 80001-2-2 : exemple
► Emergency access : Ensure that access to protected HEALTH DATA is possible in
case of an emergency situation requiring immediate access to stored HEALTH
DATA.
► During emergency situations, the clinical user needs to be able to access
HEALTH DATA without personal user id and authentication (break-glass
functionality).
► Emergency access is to be detected, recorded and reported. Ideally including
some manner of immediate notification to the system administrator or
medical staff (in addition to audit record)[…]
Copyright SERMA Safety & Security 2018 19Le pragmatisme dans la loi HIPAA : exemple
► Est-ce que vous avez une procédure de création / modification /
archivage des mots de passe ?
⁞ Si oui, sur quelle base est-elle sécurisée ?
⁞ Si non, sur quelle base n’est elle pas sécurisée ?
⁞ Importance de l’impartialité de l’auditeur ?
Copyright SERMA Safety & Security 2018 2004
L'avenir des organismes de
normalisation
Copyright SERMA Safety & Security 2018 21L’avenir des organismes de normalisation
► Faut-il repartir d’une feuille vierge ?
► Les normes précises et concises
⁞ Difficile d’être claire et exhaustif
⁞ Difficile d’être claire dans l’implémentation quand on veut être exhaustif
⁞ Trop de théorie contre trop de liberté
► Comment orienter l’implémentation des prérequis de Cyber Sécurité avec
l’aide des normes ?
► Un des prérequis de cyber sécurité est de rester simple et cohérent :
⁞ Méconnaissance des normes
⁞ Ne pas opposer les normes en fonction de pays
⁞ Simplifier la gestion de l'obsolescence des normes
► Pourquoi faire référence à des normes qui ne sont plus maintenues ?
► Les risques et les exigences ont évolué quant est-il des normes ?
Copyright SERMA Safety & Security 2018 2205
Questions / réponses
Copyright SERMA Safety & Security 2018 23Contacts
SERMA SAFETY & SECURITY
2 RUE DE JOUANET (CENTRE METROPOLIS – BÂT. D)
35700 RENNES – FRANCE
STANDARD : +33 (0)9 53 22 99 64
contact@serma.com
www.serma-safety-security.com
Pôle Conseil - Activités Securité
Ingénieur Chef de projet IT & IoT
Julien MOINARD
+33 (0) 6 34 78 50 53
j.moinard@serma.com
www.serma.com
Copyright SERMA Safety & Security 2018 24Vous pouvez aussi lire
