" Feature Chaining " Atteindre le niveau idéal en cybersécurité IT/OT
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
« Feature Chaining »
Atteindre le niveau idéal
en cybersécurité IT/OT
Retour client sur l’interconnexion IT/OT • FIC 2019
Khobeib Ben Boubaker
Yseult GARNIER Xavier FACELINA
Head of Sales Industrial Business Line
Responsable Cybersécurité Industriel CEO
STORMSHIELD
SNCF Réseau SECLAB
Retour d’expérience sur
un déploiement
opérationnel
d’envergure
GLOSSAIRE
SNCF Réseau:
EPIC garant de la fiabilité du
réseau ferré français: 30000 km
de lignes en service
IT:
Informatique de gestion
OT:
Informatique industrielle
Interconnexion nationale:
Faire communiquer deux
réseaux informatiques
nationaux
Introduction sur le contexte stratégique du projet
4
La digitalisation : un contexte de connectivité
La digitalisation est
stratégique
• Pour maximiser l’impact positif des
technologies numériques sur les La connectivité IT/OT est
métiers obligatoire
• Pour étendre l’offre digitale de la
société:
• Interactions avec les usagers
• Connectivité des usagers
• Informations temps réel
Cette connectivité induit
des contraintes de
cybersécurité
particulières
Les objets de l’IT et de l’OT sont
de natures différentes
• Impacts différents
• Moyens de protection à
disposition différents
Principes directeurs 6
Un découpage en zones selon les besoins de couverture de risques
Homologué :
Agilité = --
Ouverture = 0
Exposition = 0
Protection = +++
Contrôle = +++
Zone Sécurité Plus :
Zone d’échange
Agilité = - homologuée
Ouverture = -
Exposition = - Standard / Cloud privé:
Protection = ++ Agilité = +
Contrôle = ++ Ouverture = +
Exposition = +
Zone d’échange Protection = +
standard Contrôle = +
Internet / Cloud public :
Agilité = +++
Ouverture = +++
Exposition = +++
Protection = 0
Contrôle = 0
Retour d’expérience partie 1/2 Organisation côté
Le premier défi des projets de cette envergure :
La gouvernance des cybersécurités IT
et OT
Jusqu’en 2017
• Deux directions indépendantes
• Deux sites géographiques éloignés de
1h
Aujourd’hui
• Au sein de la même direction
• Colocalisés sur le même plateau
Le troisième pilier :
Cyber IT + Cyber OT + Métier
La collaboration cyber
IT est au service du métier
O Seuls les gens du métiers, architecte, exploitants et
mainteneurs connaissent le terrain, les besoins et
T les contraintes techniques réelles
La solution devra :
• Répondre aux besoins métiers
• Ne pas apporter de contraintes rédhibitoires
Notre besoin peut se résumer à 2 grands axes
Séparation des domaines mais échanges constants
Filtres en liste blanche mais sur des protocoles amenés à évoRetour d’expérience partie 2/2 La construction de la solution
Malheureusement ces deux axes nous semblent antinomiques
Les besoins exprimés induisent une dualité :
Isolation pérenne vs. Filtrage évolutif
SNCF Réseau teste des solutions du
marché sur ces deux axes pour :
• Trouver le produit le plus adapté
aux besoins des métiers et sécurité
• Avoir plus d’éléments pour choisir
entre filtrage et isolationCes deux produits arrivent 1 dans leur er 13
catégorie
Le produit SN6000 de STORMSHIELD Le produit DENELIS de SECLAB résiste à
offre le bon niveau de filtrage tous les tests de cybersécurité sur l’isolation
applicatif. réseau.
Faut-il privilégier le filtrage applicatif ou l’isolation réseau
?Quand SNCF Réseau, SECLAB et STORMSHIELD réfléchissent ensemble • La compréhension du projet et des enjeux est repartagée • Toutes les idées sont permises • On a le droit de parler des limites de sa solution avec son client et son concurrent
SECLAB-STORMSHIELD : une complémentarité d’approche
évidente
MOST KNOWN
MALWARES
UNAUTHORIZED
NETWORK TRAFIC
INTRUSION DETECTION
ZERO DAY
STUXNET
HID ATTACKS
BAD USBDes cartons 16 STORMSHIELD dans des camions SECLAB
17
Une frontière maitrisée entre la 18
ZSP et l’HOMOLOGUÉPrincipes directeurs 19
Un découpage en zones selon les besoins de couverture de risques
Zone d’échange Zone d’échange
standard homologuée
Zone Sécurité Plus : Homologué :
Agilité = - Agilité = --
Ouverture = - Ouverture = 0
Exposition = - Exposition = 0
Protection = ++ Protection = +++
Contrôle = ++ Contrôle = +++20
Une solution intégrée et testée en moins de 3 mois
Le développement est maîtrisé
• Pas de gros impacts sur la roadmap mais
utilisation de nos capacités de
personnalisation
• On construit sur deux technologies avec un
développement d’interconnexion pérenne
Les solutions sont indépendantes et peuvent répondre aux besoins qu’elles couvraient déjà jusque
là
Maintenant, elles sont chainables pour les infrastructures ayant besoin d’une
interconnexion globale IT/OTÊtre capable d’acheter la solution construite : LES ACHATS font partie de l’équipe avec qui travailler Qu’est-il possible de faire avec les achats groupe : • Dispositifs de gré à gré cyber • Contrat cadre, marché tarif
Conclusion Collaboration en interne et en externe : La grande équipe de la cybersécurité
23
Merci de votre attention !
Nous espérons vous avoir partagé notre enthousiasme
pour le travail en équipe élargie et
pour notre solution d’interconnexion IT/OT
Yseult GARNIER Khobeib BEN Xavier
SNCF Réseau STORMSHIELD
BOUBAKER SECLAB
FACELINA
STAND B5 STAND A7-12
06 86 60 78 31 07 62 51 75 25
khobeib.benboubaker@stormshield.eu xfacelina@seclab-security.comVous pouvez aussi lire
