CyberLab Catalogue de services et prestataires Cyber pour les projets SMILE - Petit Déjeuner SMILE - SMILE smart grids
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
CyberLab Catalogue de services et prestataires Cyber pour les projets SMILE Petit Déjeuner SMILE Thierry SENS – Pôle d’Excellence Cyber 8 Décembre 2017 - Rennes
Cyber attaques des réseaux d’énergie 2
Cyber attaques des réseaux d’énergie
USA – Home Land Security
Dept urged energy Ukraine's power outage was a cyber attack Russia-Backed Hackers
companies to beef up Jan 2017 – Reuters Suspected in Cyber Attacks
security after recent of Baltic Energy Networks
May 2017 - Reuters
physical and online attacks
threatened serious damage
to infrastructure and Cyber Breach: US
equipment Energy Department
May 2017 - FuelFix networks hit by
sophisticated cyber
Dragonfly: Cyber sabotage de attack
réseaux d’énergie en Suisse, Feb 2017 – FISMA News
Turquie et USA
Sept 2017 – Le Monde Informatique
Petya: La centrale nucléaire de
Tchernobyl touchée par le virus The Biggest Cyber security
June 2017 – Sptunik France Threat: The Energy Sector
3 Nov 2015 - Forbes 3
Quelques définitions
Cyber défense Cyber
Cyber sécurité
Cyber résilience
4
Vulnérabilités (potentielles) des réseaux d’énergie
•IED, RTU •Poste intelligent •EMS
•Actionneurs •Télé-protection •SCADA
•IoT •Automates (PLC) •Mgt /Organisation
•Processus
•Production •Supply chain
décentralisée •Centres de contrôle
•Data centers
•Cloud
•DMS
•Sub-station
•Effacement
automation
•Stockage
•Réseaux télécom
•BEMS (Building)
(IP L2/3, 2/3/4G,
•Bornes recharge VE
BT, LoRA, Sigfox,
WiFi, CPL...)
•Bases de données •Micro génération
5
•Compteurs intelligents
•Big data
Menaces (réelles) sur les réseaux d’énergie
Déni de service Spoofing Cheval de Troie
Attaque par DDOS Brute force
Injection de
canal auxiliaire code
& Interfaces
Virus Botnets
Malware
Phishing Interception des
Spear Phishing communications
Man in the Attaque par
Middle sondage -
Probing
Attaques Back door
physiques et
cyber
synchronisées
Zero days
Watering hole
Clef USB
Social Hoax …/…
6 engineering
Risques (possibles) liés aux Menaces (Réelles)
Déni de service Spoofing Cheval de Troie
Attaque par DDOS Injection de
canal auxiliaire code
& Interfaces
Virus Botnets
Malware
Sabotage
Phishing Chantage Interception des
Spear Phishing communications
VOL
Man in the Mise en danger Espionnage Attaque par
Middle Destruction de sondage -
Des personnes Probing
notoriété
Back door
Attaques Compromission
physiques et
cyber
synchronisées …/…
Destruction Zero days
Watering hole
Clef USB
Social Hoax …/…
7 engineering
Directives et réglementations
• le chapitre 4 de la loi de programmation militaire de 2013 sur la
protection des infrastructures vitales en France – Chapitre 22
• Directive Européenne Network & Information Security (NIS)
• Directive Européenne General Data Protection Regulation (GDPR) –
RGPD article 25
• Security & Privacy by default/design
• Finalité/Proportionnalité/Sécurité/Droit d’accès
• Et à venir un Cyber Act Européen - ENISA
8
Parmi les données suivantes, lesquelles sont
considérées comme personnelles ?*
A. Adresse IP
B. Carte grise
C. n° de compteur électrique
D. Consommation électrique
E. Avatar
F. Date d’anniversaire
9
* Inspiré d’un Quiz de la société SERMA
Cyber: les avantages pour les projets SMILE
Un levier de compétitivité
• Se différentier des concurrents
• Prendre de l’avance
Développer la confiance numérique
• Avec les clients, partenaires et fournisseurs
Réduction des coûts
• De maintenance et de support
• De gestion de crise, pénalités,…
Développer les compétences locales
• Offre de services
• Recherche et nouveaux standards
10Cycle de vie et Cyber
Identifier
l’Institut national
Américain des
Restaurer normes et de la
Maintenance
Protéger technologie (NIST),
Conception
« framework
Opération IPDRR »
Fabrication
Répondre
Détecter
11Le catalogue de services Cyber – Le CyberLab
Formation Conseil Audit Certification Test
Qualification
•Sensibilisation aux •Evaluation des risques •Audit préliminaire •Support à l’auto-certification •Tests préliminaires de
menaces des OIVs… sécurité
•Management de la Cyber- •Politique de cyber- •Audit et tests de sécurité •Pré Audit CSPN •Tests fonctionnels
sécurité dans les projets sécurité
•Gestion de crises et •Groupe de travail cyber •Audit de code source •Evaluation/ Certification 1er •Tests d’interopérabilité
continuité de services niveau (CSPN)
•Ingénierie de solutions de •Gestion de crise •Audit de configuration •Evaluation/Certification CC –
sécurité EAL 1 à 7)
•Sécurité des applications •Plan de tests •Audit d’architecture
mobiles et objets
connectés
•Programmation sécurisée •Architecture de sécurité •Audit organisationnel et
pour les développeurs physique
12Constitution du catalogue • Appel à Manifestation d’Intérêt (AMI) • Cible: Sociétés de services Cyber • eMailing fin Nov 2017 avec questionnaire • 1ere édition du catalogue début 2018 13
X
X
X
Menaces des OIVs
X
X
Cyber et projets
14
Gestion de crises
X
Ingénierie solutions
Formation
X
X
Sécurité applis & IoT
X
X
X
X
Programmation sécurisée
X
X
X
X
Analyse de risques
X
X
X
X
Politique de cyber
X
X
X
Groupe de travail cyber
X
Gestion de crise
Conseil
X
X
X
Plan de tests
X
X
X
Architecture de sécurité
X
X
X
X
Audit préliminaire
X
X
X
X
Audit et tests de sécurité
X
X
X
Audit code source
X
X
X
Audit
Audit configuration
X
X
X
X
Audit architecture
X
X
X
Audit organi. & Physique
X
X
Auto certification
+ 20 autres sociétés qui souhaitent répondre
X
X
X
Pré audit CSPN
X
X
X
CSPN
X
X
Certif/ Qualif
CC – EAL 1-7
X
X
X
Tests préliminaires
X
X
X
Tests fonctionnels
Test
X
X
X
Tests d’Interopérabilité
Liste préliminaire des prestataires (au 8/12/17)
AVIXA
BERTIN
OPPIDA
CONSCIO
AMOSSYS
SYNACTIV
SYSDREAM
PrestatairesQuelles prestations de service choisir? • Les groupes experts (GEX) SMILE sont là pour vous aider 15
Critères de sélection des prestations Smart Grid Architecture Model CEN-CENELEC-ETSI
Niveau de criticité des défaillances - ENISA 17
Niveau de criticité des défaillances - ENISA 18
Chaîne de confiance ENISA
ENISA - Smart grid
security certification in
Europe - Challenges and
recommendations
December 2014
19Chaîne de confiance ENISA 20
•Thierry SENS – pôle d’Excellence Cyber
•eMail: dev-industriel@pole-excellence-cyber.org
•Tel: 02 23 06 10 36
•Mobile: 06 61 68 19 92
21Vous pouvez aussi lire
