RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET - Entreprise Numérique

 
RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET - Entreprise Numérique
Institut national des hautes études de la sécurité et de la justice

INHESJ                                                                           TRAVAUX DES AUDITEURS

                                                                                   RISQUES ET SÉCURITÉ
                                                                                    DE LA CONNEXION
   Cycle « Sécurité des usages numériques »

                                                                                       DES SYSTÈMES
                                      Travaux de la 4e promotion (2013-2014)

                                                                                     INDUSTRIELS SUR
                                                                                         INTERNET

en partenariat avec le

                                                                                                                                       DÉCEMBRE 2014
RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET - Entreprise Numérique
L’Institut national des hautes études de la sécurité et de la justice publie chaque
année des rapports et études sur les champs de la sécurité et à la justice.

Dans le cadre du cycle de spécialisation « Sécurité des usages numériques »,
les auditeurs stagiaires réalisent un travail collectif tutoré par le département
sécurité économique de l’INHESJ. Ces travaux sont effectués en toute liberté
grâce à l’indépendance dont les auteurs bénéficient au sein de l’Institut.

L’étude ci-dessous publiée est un document à vocation scientifique. Il ne
saurait être interprété comme une position officielle ou officieuse de l’Institut ou
des services de l’État. Les opinions et recommandations qui y sont exprimées
sont celles de leurs auteurs. Le document est publié sous la responsabilité
éditoriale du directeur de l’Institut.

Les études ou recherches de l’INHESJ sont accessibles sur le site de l’INHESJ.

         Directeur de la publication M. Cyrille SCHOTT, directeur de l’INHESJ
RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET - Entreprise Numérique
AVANT-PROPOS

                                L’
                                        information est désormais au cœur des actifs immatériels des
                                        organisations et constitue un élément clé de leur performance.
                                        L’entrée dans le monde numérique a par ailleurs conféré
                                  aux systèmes d’information une dimension incontournable du
                                  développement de l’économie. La « sécurité des usages numériques »
                                  représente donc un enjeu majeur pour la pérennité et la compétitivité
                                  des entreprises et des administrations. C’est pourquoi, dès 2010,
                                  l’Institut national de hautes études de la sécurité et de la justice
                                  (INHESJ) et le CIGREF (Réseau de Grandes Entreprises) ont convenu
                                  de mettre en place un cycle de formation sur les problématiques
                                  et les enjeux liés à la sécurité numérique à destination des cadres
                                  d’entreprises des secteurs privé et public.

                                  Ce cycle de spécialisation en « Sécurité des usages numériques »
                                  se fixe pour objectif de délivrer les savoir-faire visant l’identification,
                                  l’évaluation et la maîtrise de l’ensemble des risques et des
                                  malveillances à tous ceux qui veulent mieux comprendre les enjeux
                                  de la sécurité numérique au sein des entreprises.

                                  L’Institut est heureux de présenter dans sa collection Études et
                                  Documents les travaux des auditeurs de ce cycle réalisés sous la
                                  supervision du Département sécurité économique de l’INHESJ. ■

                                  Cyrille SCHOTT                                                       Pascal BUFFARD
                                  Directeur de l’Institut national                                     Président du CIGREF
                                  des hautes études de la sécurité et de la justice

© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet                         3
RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET - Entreprise Numérique
Les AUTEURS

Les Auteurs de ce travail intitulé « Sécurité des objets connectés » sont :
    • Carolina MORALES-COLASANTE
    • Véronique WADEL
    • Sylvain ARNOLD
    • Xavier BLANCHARD
    • Bertrand LOCHET

Sous la direction de Nicolas Arpagian, directeur scientifique du cycle « Sécurité des
usages numériques ».
RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET - Entreprise Numérique
RISQUES ET SÉCURITÉ DE LA CONNEXION
                                                                    DES SYSTÈMES INDUSTRIELS SUR INTERNET
                                                                          Travaux de la 4e promotion (2013-2014)
                                                                       du Cycle « Sécurité des usages numériques »

Sommaire
PRÉAMBULE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
INTRODUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

CHAPITRE 1 – Les systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Historique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Composants des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Les principaux objectifs et atouts des Systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Domaines d’utilisation des systèmes industriels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

CHAPITRE 2 – Les risques et menaces des systèmes industriels . . . . . . . . . . . . 13
Profil des attaquants et les objectifs de l’attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                    13
Typologie des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .       15
Typologie des menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .         16
Moyen d’accès d’une attaque au système industriel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .                           16

CHAPITRE 3 - Problématiques juridiques de la cyber-sécurité
             des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
« Le droit des robots » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
« Security by design » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Les Systèmes industriels et les objets connectés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
La cyber-assurance des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Le dispositif juridique français et européen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Le rôle de la Direction juridique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

CHAPITRE 4 – Les solutions de sécurisation de la connexion
             à Internet des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Le retour au déterminisme des systèmes industriels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
L’audit du code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Authentification Forte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Le chiffrement et le principe ou la chaîne de confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Protocoles spécifiques SCADA par les fabriquant des solutions « endpoint ». . . . . . . . . . . . . . . . . . . . . 28
Approche sémantique « firewall sémantique » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Amélioration de la Cyber sécurité des réseaux des systèmes industriels . . . . . . . . . . . . . . . . . . . . . . . . . 29
Systèmes de détection d’intrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Les « Honeypot » . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Recherche et analyse de la vulnérabilité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
La vérification des journaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
La sensibilisation à la cyber-sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
La mise en œuvre des directives et guides de gestion de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
La défense en profondeur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
La gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Propositions d’architecture et de process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
CONCLUSION. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Références bibliographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

   © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet                                                             5
RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET - Entreprise Numérique
PRÉAMBULE
                                               Miser sur la diversité des compétences pour répondre à des menaces
                                               protéiformes.

                                               La sécurité numérique doit se concevoir sur le modèle des multiples formes
                                               d’agressions rendues possibles par les technologies de l’information et de
                                               la communication qui irriguent désormais les organisations économiques,
                                               administratives ou militaires. C’est la raison pour laquelle la réflexion et la
                                               stratégie en matière de cybersécurité doivent se concevoir en mettant à
                                               contribution une grande variété de compétences et d’expertises : dans
                                               les domaines industriels, techniques, informatiques, juridiques, judiciaires,
                                               militaires, policiers et même politiques.

                                               De ce croisement de savoir-faire émergeront les stratégies utiles à mettre
                                               en place pour concevoir une sécurité numérique plus performante. C’est
                                               dans cet esprit que chaque année les auditeurs du cycle « Sécurité
                                               numérique » de l’Institut national des hautes études de la sécurité et de
                                               la justice (INHESJ) travaillent à analyser et éclairer une problématique
                                               qui se trouve au cœur des intérêts stratégiques des entreprises, et donc
                                               des États. Ils ont pour mission d’expliquer les enjeux de la thématique
                                               qui leur a été confiée, d’en présenter les mécanismes et de formuler des
                                               réponses réalistes et concrètes pour réduire ou faire cesser l’exposition
                                               au risque qu’elle représente. Soit une démarche résolument tournée vers
                                               une amélioration continue de la notion de sécurité, au bénéfice du plus
                                               grand nombre.

                                               Vous trouverez dans ce document le fruit de leurs réflexions après une
                                               année d’étude passée au sein de l’INHESJ à échanger entre pairs et
                                               à rencontrer les experts et les praticiens les plus expérimentés dans le
                                               domaine de la sécurité numérique. Ils aboutissent à chaque fois à des
                                               recommandations opérationnelles directement transposables dans la
                                               réalité des entreprises et des administrations.

                                               Ce sont donc des contributions utiles à une meilleure sécurité numérique.

                                               Éric DELBECQUE                                           Nicolas ARPAGIAN
                                               Chef du Département                                Directeur scientifique du cycle
                                               « Sécurité économique »                       « Sécurité des usages numériques »

© INHESJ – Septembre 2014 – Ingérence et politique de sécurité des systèmes d’information                                     7
RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET - Entreprise Numérique
INTRODUCTION
      Les systèmes industriels sont essentiels au bon fonctionnement de la nation.
    À l’instar de la démarche déjà entreprise par les États-Unis, il s’agit aujourd’hui
    de faire de leur cyber-sécurité une priorité stratégique, tant au niveau européen
    et français qu’au niveau international.
       Les dernières cyber-attaques Stuxnet 1, Spamhaus et plus récemment les vols                             (1) C’est le premier ver découvert
    de données clients chez Orange ont alerté aussi bien les pouvoirs publics que                                  qui espionne et reprogramme
                                                                                                                   des systèmes industriels, ce qui
    les entreprises exploitant des systèmes industriels. Ces événements confirment                                  comporte un risque élevé. Il cible
    la nécessité de prendre toutes les mesures appropriées pour faire face aux                                     spécifiquement les systèmes
                                                                                                                   SCADA utilisés pour le contrôle
    risques encourus, mais aussi pour se conformer au cadre réglementaire qui se                                   commande          de     procédés
    met progressivement en place.                                                                                  industriels. Stuxnet a la capacité
                                                                                                                   de reprogrammer des automates
                                                                                                                   programmables industriels (API).
      La connexion des systèmes industriels à Internet n’étant pas une nouveauté
    en soi, il est cependant nécessaire d’exposer le contexte spécifique à ces
    derniers (Chapitre 1) pour mieux comprendre les risques de leur connexion à
    Internet (Chapitre 2) avec les problématiques et enjeux juridiques (Chapitre 3).
    Et, ainsi, pouvoir présenter les différentes mesures de sécurisation de ces
    systèmes industriels (Chapitre 4).

8                                      © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET - Entreprise Numérique
Chapitre 1                                         LES SYSTÈMES INDUSTRIELS

                                 Historique
                                    Jusqu’en 1940, les premiers systèmes de pilotage connectés étaient des
                                 systèmes de contrôle dans les systèmes industriels. Ils étaient destinés à opérer
                                 des équipements localisés dans des sites distants. Toutefois, à cette époque,
                                 il était nécessaire d’avoir du personnel sur chacun des sites ou bien d’envoyer
                                 une équipe pour opérer l’équipement. Les premiers essais de ces systèmes
                                 industriels ont débuté par l’utilisation d’une paire de lignes entre les sites distants.
                                 Chaque ligne opérait une seule pièce de l’équipement. Cette solution s’est
                                 avérée très onéreuse mais justifiée par le besoin d’être opérée très fréquemment
                                 ou afin de rétablir le service rapidement.
                                   Puis les Relay/Tone system ont vu le jour ; comme des systèmes relais qui
                                 créaient des pulsations envoyées au travers d’un canal de communication
                                 jusqu’au site distant.
                                   Dans les années 1960, les premiers systèmes industriels voient le jour en tant
                                 que système d’exploitation électronique d’entrée / sortie, avec des transmissions
                                 entre une station maître et une station distante. La station « maître » avait pour
                                 but de recevoir des données à travers un réseau de télémétrie et de stocker les
                                 données sur les ordinateurs centraux.
                                   En 1965 pour la première fois, un ordinateur a été utilisé comme station maître,
                                 capable d’avoir des fonctions en temps réel. Tel était le cas des processeurs
                                 PRODAC et GETAC construits par GE et Westinghouse.
                                   Progressivement les ordinateurs ont commencé à être dotés de fonctions de
                                 scanning de données, du monitoring de données et des statuts, de changements
                                 des alertes puis de données des connexions périodiques.
                                   La plupart des systèmes industriels américains fonctionnaient alors avec une
                                 base de scanning permanent avec l’ordinateur maître ; ce dernier envoie alors
                                 les requêtes, les sites distants, eux, uniquement des réponses. En Europe, on
                                 retrouve les premiers systèmes dans lesquels le site distant continue à envoyer
                                 des données sans que le site central envoie des requêtes ; ceci grâce à un
                                 canal qui permettait d’envoyer et de recevoir en même temps.
                                   Ce n’est que dans les années 1970 que les systèmes de contrôle distribués
                                 (DCS) ont été développés pour contrôler différents sous-systèmes éloignés ;
                                 dans les années 1980, avec le développement du micro-ordinateur, le contrôle
                                 de processus a pu être réparti entre les sites distants.
                                   Puis il y a eu un développement des activités DEC utilisant des contrôleurs
                                 logiques programmables (PLC) ; ils avaient la capacité de contrôler les sites
                                 sans prendre la direction d’un maître.

© INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet                        9
RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET - Entreprise Numérique
LES SYSTÈMES INDUSTRIELS                                                                                                      Chapitre 1

       Dans les années 1990, les systèmes industriels avaient des capacités de
     DCS et étaient adaptés en fonction de certaines caractéristiques de contrôle
     propriétaires construits par le concepteur. Internet étant utilisé davantage
     comme un outil de communication, les systèmes de télémesure utilisaient alors
     des logiciels automatisés avec certains portails de téléchargement des
     informations ou de contrôle de processus.
       L’Ingénierie des systèmes industriels concerne aujourd’hui des processus
     de contrôle, mais aussi la mesure, la prévision, la facturation, l’analyse et la
     planification.
       Les systèmes industriels actuels doivent répondre à un tout nouveau niveau
     d’automatisation de contrôle avec un interfaçage aux équipements obsolètes,
     tout en restant suffisamment souple pour s’adapter à l’évolution des technologies
     d’information.
       Les exigences des systèmes industriels relèvent aujourd’hui des mises à niveau
     et mises à jour des versions des systèmes ; il faut alors donner la priorité à la
     connaissance des composants du système avant de décider quelle interface
     mettre en place ou quel matériel est nécessaire pour une application particulière.
        Depuis les années 2000, une transformation profonde a eu lieu : les systèmes
     isolés et propriétaire sont passés à des systèmes construits sur des architectures et
     structures aux technologies standard hautement interconnectés sur des réseaux
     privés, voire sur internet.
       Ces systèmes, conçus pour durer des dizaines d’années à une époque où
     la cyber criminalité touchant les infrastructures industrielles critiques n’était pas
     encore répandue, n’intégraient pas encore nativement la sécurité réseau.

     Composants
     des systèmes industriels
       Un dispositif système industriel, utilisé comme outil de sécurité de consignation
     d’appareil électrique, est généralement composé des sous-systèmes suivants :
       – une interface homme-machine qui présente les données à un opérateur
         humain : ce dernier peut alors superviser et commander les processus ;
       – un système de supervision et de contrôle informatique faisant l’acquisition
         des données des processus et envoyant des commandes (consignes) aux
         processus ;
       – une unité terminale distante (RTU) reliant les capteurs convertissant les
         signaux en flux de données numériques et envoyant les données numériques
         au système de supervision ;
       – des automates programmables industriels utilisés sur le terrain pour leur
         versatilité et flexibilité due à leur capacité d’être configurables ;

10                                       © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
RISQUES ET SÉCURITÉ DE LA CONNEXION DES SYSTÈMES INDUSTRIELS SUR INTERNET - Entreprise Numérique
Chapitre 1                                                                                                  LES SYSTÈMES INDUSTRIELS

                                         – une infrastructure de communication reliant le système de supervision et
                                           contrôle aux éléments terminaux ;
                                         – divers instruments d’analyse.
                                        À titre d’exemple, le schéma ci-dessous expose les différents composants d’un
                                      système industriel.

                                                                                                                                 

                                                    Les principaux objectifs
                                          et atouts des Systèmes industriels
                                         Les systèmes industriels ont pour principaux objectifs :
                                         – de concentrer les données, déporter ou centraliser le pilotage du procédé ;
                                         – d’apporter une vision temps réel des états permettant aux opérateurs de
                                           réagir et de décider rapidement ;
                                         – D’apporter les premiers outils d’analyses nécessaires aux contrôles des
                                           équipements concernés (historiques, courbes, pareto, alarmes, login).
                                        Pour parvenir à atteindre ces objectifs, les systèmes industriels sont dotés
                                      d’un certain nombre d’atouts, notamment :
                                         – des outils de graphisme afin de représenter les procédés concernés ;
                                         – des « moteurs » d’animation permettant de définir les différents choix de
                                           dynamismes des objets graphiques ;

     © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet                              11
LES SYSTÈMES INDUSTRIELS                                                                                                      Chapitre 1

       – la gestion de la base de données en temps réel, parfois propriétaire ; en
         leur attribuant des propriétés, il est possible de définir des variables typées
         internes ou en liaison avec le système de contrôle commande ;
       – des traitements internes initiés par des déclencheurs multiples (temporels,
         changement d’état, équation combinatoire, ouverture d’une fenêtre…) ; ils
         permettent d’appliquer des premiers niveaux de traitement informatique plus
         ou moins évolués ;
       – une gestion de la sécurité pour un contrôle des accès applicatifs est
         généralement proposée ;
       – certains superviseurs intègrent également les possibilités de s’interfacer avec
         une base de données relationnelle.

     Domaines d’utilisation
     des systèmes industriels
       Les systèmes industriels sont conçus pour soutenir les processus industriels
     et surveiller et contrôler, en temps réel, un large éventail de processus et
     d’opérations, tels que la distribution de gaz et électricité (classique et nucléaire),
     le traitement de l’eau, le raffinage de pétrole ou le transport ferroviaire.2                                 (2) Définition ENISA.

        Ces systèmes industriels sont utilisés également dans la distribution, la chimie
     et dans certaines installations expérimentales tels que la fusion nucléaire, le
     transport des produits chimiques, la recherche et les études scientifiques et
     industrielles, les accès aux bâtiments, le contrôle du chauffage et la ventilation
     des ascenseurs ou du refroidissement des data centers.
       Parmi les exploitants des systèmes industriels, il y a les Opérateurs à Importance
     Vitale (OIV). Ces derniers sont définis en France par le Code de la Défense
     dans ses articles R1332-1 et R1332-2 comme étant « les opérateurs publics ou
     privés, exploitant des établissements ou utilisant des installations et ouvrages,
     dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel
     de guerre ou économique, la sécurité ou la survie de la nation ou de mettre
     gravement en cause la santé ou la vie de la population ». Ces OIV constituent
     une liste de 200 opérateurs dont 100 sont des entreprises privées.
       Les infrastructures vitales du pays sont concernées par de nouveaux risques :
     les cyber-risques. Ces derniers menacent le fonctionnement dont dépendent les
     infrastructures vitales du pays. En effet, la mise en œuvre systématique du principe
     de sécurité « de base » des systèmes d’information, tels que la surveillance du
     système, la notification des incidents ou la réalisation régulière d’audits ne
     sont pas systématiquement mis en œuvre. De ce fait, et au regard de la cyber-
     menace grandissante, les instances nationales et européennes ont décidé de
     renforcer le régime qui leur est applicable.

12                                        © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 2                                                     LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS

                                           Un autre élément qui n’est pas négligeable est qu’historiquement, les systèmes
                                         industriels étaient dévoués à la protection de la sûreté de fonctionnement (SDF),
                                         en utilisant une analyse statistique et des techniques de redondance, ce qui
                                         permettait de faire le traitement du risque de défaillance des équipements.
                                         Toutefois la SDF ne couvre pas les risques et menaces des cyber-attaques
                                         qui évoluent très rapidement. Les standards de sûreté de fonctionnement des
                                         systèmes industriels doivent alors s’adapter pour prendre en compte la cyber-
                                         sécurité et éviter que l’intégrité des Systèmes Instrumentés de Sécurité (SIS)
                                         assurant la sécurité des personnes puisse être remise en cause par une attaque
                                         informatique.
                                           La cybercriminalité désigne les infractions pénales commises par le biais
                                         de réseaux informatiques et de l’information électronique. Elle concerne
                                         aussi bien les atteintes aux biens (escroquerie, contrefaçon, vol des données,
                                         etc.) que les atteintes aux personnes (terrorisme, incitation à la haine raciale,
(3) « Global State of Information        pédopornographie, etc.) ; elle se situe à la quatrième place des fraudes les
    Security Survey 2013, Tendances      plus rencontrées par les entreprises. Le budget cyber-sécurité représente un
    et enjeux de la sécurité de
    l’information » Etude Price Water-   budget annuel de 60 milliards de dollars. Ce montant devrait augmenter de
    houseCooper, 30 janvier 2013.        10% dans les trois à cinq années à venir.3

               Chapitre 2                                        LES RISQUES ET MENACES
                                                                DES SYSTÈMES INDUSTRIELS

                                            Depuis que l’affaire Stuxnet a dévoilé au grand public les failles des
                                         systèmes industriels, les risques et menaces pour ces derniers deviennent une
                                         préoccupation majeure pour les exploitants, ainsi que pour les États et les
                                         particuliers. Si l’appréhension d’une sécurité se fait essentiellement au travers
                                         de bonnes pratiques, il convient aussi de recenser les vulnérabilités auxquelles
                                         l’entreprise doit faire face.

                                                                         Profil des attaquants
                                                                 et les objectifs de l’attaque
                                           Les auteurs ou les cyber-attaquants ont des profils divers, notamment le hacker
                                         isolé, le salarié mécontent, les réseaux organisés, les cellules de renseignement. Ils
                                         ont une multitude des motivations, tels que le défi informatique, le vol de données
                                         à des fins lucratives, le hackeractivisme, l’espionnage à des fins économiques ou
                                         industrielles, etc.) (cf. figures 1 et 2).

       © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet                       13
LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS                                                                        Chapitre 2

Figure – Typologie des attaquants attaquant



                                                                                                                                               

                                                                                                                                                      %/-1!                           ,;%"%%0; !//5/0:)
                                                                                                                                                   !.0! !/ +**;!/ !0           +*+/0*0 (S!4%/0!*! !
                                                                                                                                                   %*0!..1,0%+*/ !/!.2%!          !
                                                                                                                                                                                    .!/01.0%+* ! +**;!/
                                                                                                                                                                                      !/ +*/;-1!*!/ #.2!/
                                                                                                                                                                                    ((*0 !/ +))#!/ %..;
                                                                                                                                                   !),/ !.;,+*/!J 0!),/          S!//!*!)
Chapitre 2                                                  LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS

                                        Les cyber-attaques peuvent provenir de :
                                        – l’intérieur de l’entreprise exploitant le système industriel (menaces internes
                                          du fait de comportements inadaptés des personnels à l’usage des nouvelles
                                          technologies ou d’une malveillance et du fait d’un défaut de gouvernance
                                          augmenté, par exemple, par l’admission et gestion du BYOD et des
                                          connexions WI-FI).
                                        – l’extérieur de l’entreprise : hacktivisme, APT.

                                                                               Typologie des risques
                                        La typologie de ces risques est résumée dans le tableau ci-dessous.

                                                        &  & "% 
                                                         0!     &
                                                         &-
     & 
                                                        (  &     "%
      
                                                          &  
                                                       0&0#   .
                                                       0 '"%0
      &- 
                                                        1&2-    
    0 '  
                                                        0 '&&.

    &  & &                                                 0#0 
      / #             !  !.

                                  & &&
    &                                               0!&"%.
                                                       0&    
      0                             . &  
    &                                          ' &     &
                                                       "%.
         
                                                       0&   &&  &  .
    & &
     &                                0"   #  
    &                              &-  $%
    "%                                        & .
      & && !
                                                       0  ! & #  
    & !
                                                       3    & & .
    "%   &

    © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet                                    15
LES RISQUES ET MENACES DES SYSTÈMES INDUSTRIELS                                                                              Chapitre 2

     Typologie des menaces
       Les menaces sur les systèmes industriels proviennent aussi bien de phénomènes
     naturels, d’actes malveillants et d’accidents, que de procédures irrégulières ou
     de défaillances techniques.
        Historiquement, ces menaces ne concernaient que les éléments internes
     au système industriel en question, notamment les membres du personnel,
     l’organisation des exploitants d’installations ou du personnel support technique.
     D’autres exemples de menace sur les systèmes industriels sont :
       – des vers autonomes qui cherchent au hasard des chemins de propagation ;
       – (DDoS) virus (dont les chevaux de Troie) ;
       – le terrorisme ;
       – les perturbations des services publics ;
       – le bruit sur les lignes électriques ;
       – les interférences électromagnétiques (EMI) et de fréquences radio (RFT) ;
       – la fermeture de l’usine pour l’entretien et démarrage après l’entretien (de
         nombreux événements néfastes se produisent pendant l’arrêt et le démarrage) ;
       – la mauvaise application de correctifs logiciels ;
       – l’interdépendance avec les autres réseaux et les éléments de support
         technique.

     Moyen d’accès d’une attaque
     au système industriel
       Aujourd’hui tous les systèmes industriels sont connectés à Internet, aux différents
     réseaux d’entreprise, aux réseaux publics commutés de téléphone, aux satellites
     et aux systèmes de communication sans fil (Wifi, WiMax). Ainsi, les moyens
     d’accès au réseau de contrôle du système industriel les plus communs sont :
       – les connexions Internet,
       – les réseaux métiers ou réseau d’entreprise,
       – les connexions à d’autres réseaux qui contiennent des vulnérabilités,
       – les réseaux privés virtuels compromis (VPN),
       – les connexions par Backdoor à travers les modems d’accès à distance,
       – les connexions sans fil non sécurisés découverts par les utilisateurs de
         portables,
       – les ports informatiques ouverts, tels que les ports UDP ou TCP qui ne sont pas
         protégés ou ouverts inutilement,
       – l’authentification faible dans les protocoles et les composants des systèmes
         industriels,
       – l’hameçonnage de maintenance (maintenance hooks) ou de portes
         dérobées (trap doors), qui sont des moyens de contourner les contrôles de
         sécurité au cours du développement du système industriel,
       – les attaques par débordement de tampon sur les serveurs de contrôle du système
         industriel, accessibles par les automates et les interfaces homme-machine.

16                                        © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 3         PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS

                                         Après avoir eu accès au système industriel, l’attaquant cherche à tout prix
                                       à obtenir un certain niveau de contrôle de ses composants, en fonction des
                                       protections associées à chaque composant, à la visibilité de l’attaquant et
                                       aux capacités et intentions de ce dernier.
                                         La réalisation d’une ou plusieurs cyber-menaces au sein d’un système industriel
                                       peut donc avoir des conséquences telles que la divulgation des données
                                       sensibles, des dommages matériels aux biens et aux personnes, des risques de
                                       santé publique et l’atteinte à l’image et à la réputation. C’est pour cette raison
                                       que les problématiques juridiques de la cyber-sécurité des systèmes industriels
                                       doivent être prises très au sérieux.

              Chapitre 3                              PROBLÉMATIQUES JURIDIQUES
                                                             DE LA CYBER-SÉCURITÉ
                                                        DES SYSTÈMES INDUSTRIELS

                                          Dans l’objectif de faire un état des problématiques juridiques liées aux systèmes
                                       industriels et à leur cyber-sécurité, il est nécessaire d’envisager les dispositifs
                                       juridiques qui n’ont pas pour l’instant fait l’objet d’une formalisation dans le droit
                                       positif et les normes existantes (« le droit des robots » et « Security by design »). Puis,
                                       les interactions des systèmes industriels avec les objets connectés et également
                                       la problématique récente en droit français liée à la cyber-assurance de ces
                                       systèmes industriels. Enfin, une présentation de l’état du droit positif aussi bien
                                       français, qu’européen et américain est nécessaire afin de comprendre la multitude
                                       des textes applicables et dont la mise en œuvre par les exploitants afin d’être
                                       en conformité avec celles-ci peut s’avérer difficile, d’où l’importance du rôle des
                                       directions juridiques au sein des entités exploitant ces systèmes industriels.

                                                                                    « Le droit des robots »
                                         Un robot peut être défini comme « un appareil effectuant, grâce à un système
                                       de commande automatique à base de micro-processeur, une tache précise pour
(4) Définition de l’ALTIF (Analyse      laquelle il a été conçu dans le domaine industriel, scientifique ou domestique »4.
    et traitement informatique de la
    langue française).
                                       À la différence de l’automate, le robot est doté de capteurs dont les actions sont
                                       décidées par l’intermédiaire de son programme, en fonction de l’environnement.
                                         Les dernières générations des systèmes industriels peuvent être considérées
                                       comme des robots ; à ce titre, il est légitime de s’interroger sur le régime
                                       juridique applicable.

      © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet                           17
PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS                                                        Chapitre 3

       Les dispositions juridiques existantes applicables aux fabriquants et/ou
     fournisseurs des systèmes industriels concernent d’une part le droit des contrats,
     à savoir l’article 1603 du Code civil. Le fabriquant et/ou fournisseur du système
     industriel est fait débiteur des obligations suivantes :
       – mise à disposition du système ;
       – délivrance conforme ;
       – garantie de jouissance paisible ;
       – absence de défaut de la chose vendue.
       La prise en compte des différents dispositifs de cyber-sécurité des systèmes
     industriels sont donc compris aussi bien dans l’obligation de « délivrance
     conforme » du système (conformité par rapport aux diverses normes et
     référentiels applicables et aux attentes exprimées dans son cahier des charges)
     que dans les obligations de garantie de jouissance paisible (un système industriel
     avec des failles de sécurité inhérentes à celui-ci ne permet pas à son exploitant
     de disposer paisiblement de ce système) et dans l’obligation d’absence de
     défauts de la chose vendue.
        De même, le régime de la responsabilité lié aux produits défectueux
     (article 1386-1 et suivants du Code civil) peut être invoqué afin d’engager la
     responsabilité délictuelle du fabriquant et/ou fournisseur. Il peut également
     s’appliquer à l’exploitant du système industriel en cas d’un défaut de sécurité
     (informatique) du système qui serait à l’origine d’un dommage aux personnes.
       Les dispositions de la Directive 2006/42/CE du 17 mai 2006 (entrée en
     application le 29 décembre 2009) relative aux machines, imposent des
     exigences de sécurité.
       Des réflexions sont actuellement en cours au sein des communautés des
     juristes 5 sur le fait d’accorder, ou non, une personnalité juridique (avec des droits                     (5) Tel est le cas de Maître Alain
                                                                                                                    Bensoussan cf. l’article « Vers un
     et des obligations afférentes) à ces robots qui peuvent, dans leur fonctionnement                              droit des robots » du 21 avril 2014
     (programmés et contrôlés par un humain), prendre des initiatives. Toutefois,                                   et Maître Murielle Cahen.
     cette piste de réflexion est confrontée au fait que la jurisprudence refuse de
     reconnaître la responsabilité de la machine en raison du défaut de capacité
     de discernement. Ainsi est tenu pour responsable l’exploitant qui a le contrôle
     du système industriel, gardien de ce dernier, en tant que personne physique
     ou morale. Charge à lui, dans un tel cas, d’apporter les preuves qui écartent
     sa responsabilité.

     « Security by design »
       Il apparaît aujourd’hui impératif de prendre en charge la sécurité des
     systèmes industriels dès le stade de leur conception, c’est-à-dire dès la rédaction
     du cahier des charges et de l’expression des besoins par l’utilisateur final.
     Ainsi l’exploitant commanditaire du système industriel en question se doit
     d’imposer ses choix, d’exiger l’utilisation des produits certifiés et de prévoir des
     clauses « d’audit de fournisseurs ».

18                                        © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 3      PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS

                                      Cette préoccupation doit être également au cœur des négociations
                                     des accords de connexion à internet, des contrats de travail des salariés
                                     des Industries et également lors de la rédaction des Chartes d’Accès à ce
                                     Systèmes industriels connectés à Internet.
                                        Les entreprises administrant des systèmes industriels ne doivent nullement
                                     négliger les avancées des technologies de l’information et de la communication.
                                     Elles doivent intégrer dans leurs analyses des risques les risques et menaces
                                     « involontaires » issues de l’utilisation des dispositifs mobiles, souvent mis à
                                     disposition de l’entreprise par le salarié lui-même. Ainsi la mise en place et/ou
                                     la mise à jour d’une charte régissant l’usage des technologies de l’information
                                     et de la communication par les salariés et par les prestataires externes est
                                     impérative et en tout cas fortement conseillée.
                                       Les rédactions et négociations des contrats portant sur l’acquisition de ces
                                     systèmes industriels connectés à Internet, impliquent d’être vigilant quant au
                                     contenu des articles de confidentialité, sécurité et évolutivité du système,
                                     obligations du fournisseur de conformité réglementaire, audit, responsabilité
                                     et mise en place d’un niveau d’engagements de service (SLA) conforme aux
                                     besoins exprimés dans le cahier des charges.
                                       De même, compte tenu de la vitesse à laquelle évoluent et changent les
                                     cyber-menaces, il est judicieux de ne pas négocier un contrat statique et de
                                     prévoir la possibilité pour l’exploitant du service, en accord avec le fournisseur,
                                     de faire évoluer les dispositions contractuelles et d’adapter ou pallier aux
                                     conséquences de ces évolutions.

                                                                          Les Systèmes industriels
                                                                           et les objets connectés
                                       Avec la disponibilité commerciale du cloud computing, les systèmes industriels
                                     ont de plus en plus adopté les technologies de l’Internet des objets. Cette
                                     démarche réduit considérablement les coûts d’infrastructure et augmente la facilité
                                     d’entretien et d’intégration. En conséquence, les systèmes industriels peuvent
                                     désormais transmettre des données en temps quasi réel et utiliser les facteurs
                                     d’échelle autorisés par le cloud computing. Ainsi, des algorithmes de contrôle
                                     plus complexes que ce qui pouvait être fait avec les automates programmables
                                     industriels peuvent être mis en œuvre. En outre, l’utilisation de protocoles de
                                     réseaux ouverts, tels que TLS inhérents à l’Internet des objets, offre un périmètre
                                     de sécurité plus compréhensible et gérable que le mélange hétérogène de
                                     protocoles réseau propriétaires typiques de nombreuses implémentations des
                                     Systèmes industriels décentralisées précédentes.

    © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet                   19
PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS                                                         Chapitre 3

     La cyber-assurance
     des systèmes industriels
       Sur les 12 risques majeurs menaçant les entreprises, le cyber-risque occupe
     la troisième position. La cyber menace évoluant, des solutions d’assurances
     tendent à se développer. La France est cependant en retard sur ce point.
        Il est nécessaire pour l’entreprise candidate à l’assurance, afin d’obtenir
     un « scoring », d’associer un expert technique à l’assureur. Il réalisera un état
     de la maturité organisationnelle de l’entreprise versus l’analyse et le contrôle
     opérationnel des cyber-risques. L’assureur devra donc faire la transformation de
     l’analyse en probabilité de l’apparition du cyber-risque et déterminer l’impact
     sur le patrimoine du client : matériel, production, immatériel.
       Aux États-Unis et au Royaume-Uni, plus de 30 % des entreprises ont déjà
     souscrit à une police de cyber-risques. Après les récentes attaques chez Sony
     ou Target, selon Ponemon, le coût moyen d’une donnée volée est de 145 UD.
     L’atteinte à l’image est incluse dans cette évaluation.
       Les offres actuelles dans le marché français proposent des garanties couvrant
     tous les aspects des cyber-risques à savoir la responsabilité civile, les mesures
     palliatives, la gestion de la crise, la communication, les dommages intérêts dus
     aux clients et la perte d’exploitation entre autres. En revanche, le terrorisme est
     systématiquement exclut.

     Le dispositif juridique français
     et européen
     Le cadre juridique français de la cyber-sécurité
                                                                                                              (6) Tableau issu de l’article des
       La France dispose d’un arsenal législatif et réglementaire complet pour                                    Mesdames Anne Souvira et
     réprimer les cyber-attaques et bien évidement ces dispositions sont applicables                              Miriam       Quéméner         « Cyber-
     aux attaques des systèmes industriels. Le tableau récapitulatif ci-dessous montre                            sécurité et entreprises : se protéger
                                                                                                                  juridiquement et se former ». Sécurité
     un aperçu de ces dispositions, jusqu’en 2012. 6                                                              & Stratégie n°11 Décembre 2012.

       De même que pour les systèmes d’information « informatiques », il est impératif
     de réaliser un recensement des données sensibles de ces infrastructures
     contrôlées par un système de commande et contrôle, et tout particulièrement des
     données personnelles. En effet, le projet de règlement européen sur les données
     personnelles, actuellement en discussion, aura vocation à s’appliquer également
     à ces systèmes industriels. L’industriel « exploitant » en tant que « Responsable
     du Traitement » au sens de la Loi I&L est responsable en cas de respect des
     dispositions applicables. Ainsi les exploitants devront revoir leur façon de traiter
     leurs priorités de protection de la confidentialité et de l’intégrité des données,
     tout en gardant au premier niveau de priorité la disponibilité du système.

20                                      © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet
Chapitre 3      PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS

                                     Les dispositions européennes et françaises
                                     concernant la cyber-sécurité des OIV
                                       La lutte contre la cybercriminalité étant une priorité européenne, la Commission
                                     européenne a adopté le 07 février 2013 une proposition de directive « visant à
                                     assurer un niveau élevé de sécurité des réseaux et de l’information de l’union ».
                                     Cette proposition de directive a été modifiée et adoptée par le Parlement
                                     européen le 13 mars 2014 et devrait être définitivement adoptée fin 2014.
                                        Les principaux objectifs de la proposition de directive sont de (i) fixer les
                                     obligations des États membres concernant la prévention et la gestion des
                                     risques et incidents aux réseaux et systèmes informatiques, (ii) à faciliter la
                                     coopération entre les États membres pour garantir l’harmonisation des règles
                                     de cyber-sécurité au sein de l’Union européenne et (iii) établir des exigences
                                     en matière de sécurité pour les acteurs du marché, notamment les « opérateurs
                                     d’infrastructure essentielle ».
                                       En effet, en raison de la disparité des niveaux de protection des États membres
                                     en matière de cyber-sécurité, il s’avère impossible d’avoir une coopération et
                                     une collaboration effective au sein de l’Union européenne et la construction
                                     d’une cyber-protection européenne s’avère une chimère.
                                       Parallèlement à l’initiative européenne, la France a voté la Loi de Program-
                                     mation Militaire, le 18 décembre 2013. Elle fixe de nouvelles règles qui
                                     complètent le dispositif présenté ci-dessus. Toutefois, les textes réglementaires
                                     précisant la mise en œuvre de la LMP et le calendrier prévisionnel associé se
                                     font toujours attendre. Ainsi les éléments suivants restent encore en attente :
                                        – les décrets d’application ;
                                        – la déclinaison par typologie d’industrie ;
                                        – la procédure de certification/labellisation de logiciels et matériels de
                                          sécurité compatibles pour les infrastructures critiques ;
                                        – la procédure de certification/labellisation de prestataires habilités à
                                          auditer les OIV ;
                                        – définition d’un incident de sécurité afin de répondre à la section 2 de
                                          l’article 22 qui impose la déclaration des incidents ;
                                        – détails des calendriers d’audit et de ce qui sera exigible en 2014/2015/ et
                                          au-delà, au regard de la loi.

                                     Le comparatif entre les dispositions
                                     américaines, européennes et françaises
                                     applicables aux systèmes industriels
                                     en matière de cyber-sécurité
                                        Les opérateurs exploitant des systèmes industriels peuvent, dans certains
                                     cas, être soumis aussi bien aux dispositions françaises et européennes qu’aux
                                     dispositions américaines concernant la cyber-sécurité. De ce fait, les acteurs
                                     soumis à ces régimes devront rester particulièrement attentifs car la conformité à
                                     l’un de ces régimes ne signifie pas une conformité automatique à l’autre régime ;
                                     de même, ces régimes, aux approches différentes, continueront à évoluer dans
                                     les mois et années à venir.

    © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet                  21
PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS                                                         Chapitre 3

     Le tableau ci-après présente un comparatif des principales mesures de ces régimes.

                                           )'(+$)'(,                             $ 
           #                                                                                % & 
                                                                                        % 
                                                                                                        &())'(*! 
               '()&')&%)'           2 !(! $)'&%)       &'(&)()&'' ''
              4!$&()&4 &'(&)()&             '( )$' (&            (')'()&$&*! ($&(0
                      '' (, () (           & !)$((                  ,'! (!  (!)'(&)(! 
                      ')$&)&;:$&'! '(              (&$&'0) '!(           (&(&* (')&(0
                      ! (&4&''(          $&*!))                      ' ($)%)!)$&!'$&(
                      ')$&)&
Chapitre 3      PROBLÉMATIQUES JURIDIQUES DE LA CYBER-SÉCURITÉ DES SYSTÈMES INDUSTRIELS

                                     Les normes internationales applicables
                                     aux systèmes industriels

                                      À ce jour il n’existe pas de standard unique mondial, mais le NERC (North
                                     American Electric Reliability Corporation) comme l’ANSSI ont édité des guides
                                     de bonnes conduites.
                                        En 2013, l’amélioration de la sécurité des réseaux et des systèmes d’information
                                     des infrastructures critiques sont une priorité rendue nationale en France par
                                     l’ANSSI et à l’échelle européenne par l’ENISA.
                                       Aujourd’hui les normes européennes CEI 62443 (ISA99) prennent en compte
                                     les systèmes de management de la sécurité des systèmes de contrôle et
                                     d’automatismes, de normes ISO 27001 et ISO 27002.
                                       Les versions CEI 62443-2-1(2013) définissent un modèle de système de
                                     management de la sécurité ; il contient un catalogue de recommandations pour
                                     la mise en place de politiques et procédures adaptées aux systèmes industriels,
                                     avec une structure selon les 11 chapitres de l’iSO 27002.
                                        Les autres volets de la norme prennent également en compte les exigences
                                     « temps-réel » (priorité aux tâches de contrôle par rapport aux taches de la
                                     sécurité) et de l’organisation du travail avec une logique qui donne la priorité aux
                                     fonctions essentielles de ces systèmes principalement la sécurité fonctionnelle.
                                       Aux États-Unis, le National Institute of Standards and Security (NIST) a publié
                                     le 14 mai 2014, le référentiel américain qui est le pendant du CEI 62443-
                                     2-1 (2013). Il s’agit du « Guide to Industrial Control Systems (ICS) Security »
                                     référence NIST 800-82 qui remplace la précédente version de 2011.

                                              Le rôle de la Direction Juridique
                                      Au-delà des risques potentiels liés aux menaces, cyber, physiques et
                                     opérationnelles, les exploitants de systèmes industriels sont tenus par une
                                     obligation de conformité réglementaire.
                                       Il s’agit d’un ensemble complexe car il concerne d’une part toute la
                                     réglementation/législation applicable verticalement pour chaque type d’industrie
                                     mais aussi les règles d’application horizontale, telles les standards internationaux,
                                     les bonnes pratiques et les principes.
                                        Ces textes sont cependant ambigus et convergent rarement vers un
                                     consensus par rapport aux guides stratégiques ou tactiques d’implémentation.
                                     Les exploitants des systèmes industriels ne sont pas certains de la façon dont
                                     ils doivent agir afin que leur système industriel soit conforme et sécurisé ; ne
                                     sachant pas d’avantage quels sont les principes ou règles qui leur sont réellement
                                     applicables. Ils sont donc témoins d’une multiplication d’interprétations dues
                                     au manque des règles définies.
                                       Toutes ces difficultés ont une conséquence désastreuse lors de la réalisation
                                     d’un audit qui peut s’avérer hors périmètre ou bien entraîner l’application des

    © INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels sur internet                     23
Vous pouvez aussi lire
DIAPOSITIVES SUIVANTES ... Annuler