cyber-sécurité et pragmatisme, les normes industrielles
Post on 21-Jun-2022
9 Views
Preview:
TRANSCRIPT
For Excellence in Electronics
Cyber-sécurité et pragmatisme, les normes industrielles face aux contraintes de production
Copyright SERMA Safety & Security 2018
Un modèle unique construit sur un héritage technique
Nos champs d’intervention
► MAÎTRISE DU RISQUE & DE LA SÉCURITÉ du composant au
système
► Offre combinées SAFETY/SECURITY
► Interventions en CONSEIL & ÉVALUTATION normative
► VEILLE TECHNOLOGIQUE & R&D
► FORMATIONS SPECIALISÉES
► ACCOMPAGNEMENT
⁞ sur le CYCLE DE DÉVELOPPEMENT de leurs produits/ systèmes
⁞ les nouveaux SCHÉMAS D’ÉVALUATION spécifiques à leur
secteur
Laboratoire CESTI
Création : 1998
45 experts en hardware, logiciel
embarqué, cryptographie
Marchés : bancaire, gouvernement,
industriels
SURLOG
Création : 1993
Experts en Sureté de Fonctionnement
(HW, SW, systèmes)
Marchés industriels
Rachat 2006
LES MARCHÉS
► Systèmes HW & SW
complexes
► Systèmes connectés/IOT
► Systèmes d’Information
Rachat 2016
Conseil
en sécurité/sûreté
35 experts
Marchés : bancaire, gouvernement,
industriels
OPALE SECURITY
Création : 2008
Experts en sécurité IOT & SI
Marchés industriels et du service
2
Copyright SERMA Safety & Security 2018
BACK OFFICE
TECHNOLOGIES
DE L’ÉLECTRONIQUE
INGÉNIERIE DES
SYSTÈMES EMBARQUÉS
MICROÉLECTRONIQUE
SÛRETÉ ET CYBERSÉCURITÉ
DES SYSTÈMES
Une présence européenne
ÉNERGIE
3
Copyright SERMA Safety & Security 2018
CESTI – Évaluations de Sécurité
► Évaluation formelle de produits et systèmes
► Label « CESTI » délivré à SERMA par l’ANSSI depuis 2000
► Agréments pour les schémas publics (CC, CSPN)
► Agréments de schémas privés (PCI, FIPS, EMVCo, …)
► Accréditation COFRAC (ISO 17025)
Conseil – IT/ IoT Sécurité - Sûreté
► Gouvernance et Stratégie de Sécurité
► Analyses de risques (EBIOS, ISO 27005, FMECA, FTA)
► Analyses d’architecture techniques et conseil aux renforcements
► Audits de Sécurité et tests d’intrusion (boîte noire, boîte grise,
boîte blanche, Redteam), hardware et software
► Synergie Sécurité/Sûreté (Risques, SIL &EAL, Audit croisé)
► Formations/Sensibilisations Sécurité (Catalogue ou sur mesure)
► Maîtrise des normes Sécurité (ISO 2700x, IEC 62443, Critères
Communs, PCI DSS, guides ANSSI, I.I. 901, PSSI, …)
► Maîtrise des normes Sûreté (IEC 62304, ISO 14971, IEC 61508,
ISO 26262, EN 5012X, DO 254, DO 178, IEC 62061, IEC 61513)
Offres et domaines d’intervention
SÛRETÉ ET CYBERSÉCURITÉ
DES SYSTÈMES
Pôle CESTI - Sécurité
Pôle Conseil - Sécurité et Sûreté
4
Copyright SERMA Safety & Security 2018
Votre spécialiste de la Sécurité
Produits et Systèmes
► Approche Métier – Risques – Protection
► Traitement global et homogène des risques
Risques opérationnels – Sécurité – Continuité – Fraude
Sûreté – IE– Conformité …
► Développer un cadre clair, précis et contrôlé…
… pour des résultats pragmatiques
Le pragmatisme
des recommandations
de nos consultants
► S3 = Filiale Cybersecurity du Groupe SERMA
► Conseil spécialisé en Safety et Security
► Gestion globale des risques (techniques & organisationnels)
► 80 consultants - forte croissance - 10 M€ de CA
► Culture multisectorielle de rigueur et pragmatisme
► Engagement sur les résultats / « PASSI Ready »
► Accréditation CD – Organisme de formation
Notre ADNIdentité
Nos convictions Quelques clients
Carte d’identité Conseil S3
5
Copyright SERMA Safety & Security 2018
Notre expertise en Conseil en sécurité (1/2)
► Conseil en Cyber Sécurité pour les domaines de l’IT, de l’IoT et des systèmes industriels/électroniques connectés
► Security Consulting opérationnel basé sur de très nombreux retours terrain
► Qui permet de fournir des recommandations pragmatiques pour renforcer le niveau de sécurité
+ +
6
Copyright SERMA Safety & Security 2018
Notre expertise en Conseil en sécurité (2/2)
Notre rôle est donc d’aider nos clients à :
► Évaluer et renforcer la sécurité de leur SI et de leurs écosystèmes électroniques (IoT, système industriel connecté) par une approche technique et organisationnelle
► Concevoir des systèmes sécurisés (SDLC)
► Sensibiliser et former tous les intervenants de leur organisation à la sécurité des usages numériques pour répondre à des menaces protéiformes mais RÉELLES
Notre approche de la sécurisation est donc simple et utilise souvent notre double compétence: SI + Électronique
► Organiser, protéger, auditer, former7
Copyright SERMA Safety & Security 2018
Présentation succincte des normes
Dans l’industrie
01
8
Copyright SERMA Safety & Security 2018
Normes et standards de cyber-sécurité
Normes mondiales Normes nationales
Série IEC 62443: Réseau industriel et sécurité du
système
Série ISO 27000: Système de gestion de la sécurité de
l'information
Critères Communs: critères d'évaluation pour les produits
et systèmes de sécurité
Série SP800 (30, 39, 53, 82, 90, etc.) pour les exigences de sécurité opérationnelle...
Guide industriel: mesures détailléesCSPN (critères pour l'évaluation de premier niveau)...
Protection des infrastructures critiquesSécurité informatique -mesures détaillées...
9
Copyright SERMA Safety & Security 2018
Présentation de la réalité du terrain
02
10
Copyright SERMA Safety & Security 2018
Définition de IT et OT dans le monde de la cyber-sécurité
Information Technology
• Confidentialité des données traitées
• Intégrité des données traitées
• Hébergées par le service informatique
Operational Technology
• Disponibilité, intégrité, fiabilité du système de commande et de contrôle en lui-même
• Entraîne des conséquences opérationnelles sur le plan physique
11
Copyright SERMA Safety & Security 2018
Définition de IoT et IIoT dans le monde de la cyber-sécurité
Internet of Things
• Objets connectés accessibles à travers internet
• Technologies de l’embarqué
• Interaction avec des environnements externes
Industrial Internet of Things
• Systèmes industriels connectés
• Des contraintes propres
• Multiples domaines : usine du futur, ville, énergie, véhicule…
12
Copyright SERMA Safety & Security 2018
Converge de l’IT et de l’OT => IoT / IIoT
IIOT
13
Machinerie
OT
Automate programma-ble industriel
Terminal distant
LogicielSCADA
Système de supervision
Technologieinformatique embarquée
Système de contrôle
Logiciel industriel à
distance
Équipement de l'usine physique
Interface homme machine
Technos communi-
cante
IT
Déploie-ment sur le
Web
Expert en technologie de réseau
Logiciels et matériels
CloudBase de données
Evolutivité rapide
Stocker et traiter de
l’infos
Interface homme machine
Connecté
IoT
Capteurs
Cloud
Sans fil
Expérienceutilisateur
Système embarqué
Contrainteslégères
Copyright SERMA Safety & Security 2018
Evolution du monde industriel
14
Copyright SERMA Safety & Security 2018
Attaque récente 2017 / 2018
Contexte : Deutsche Bahn, Allemagne, 2017Attaquant : Hacker ayant utilisé le ransomware WannacryMotivation : Le hacker a demandé 300 $ de bitcoinConséquences : L’infrastructure de la Deutsche Bahn, a déclaré sur son site Internet que tous les systèmes du centre d'exploitation de Hanovre avaient planté en raison de l’attaque.
15
Copyright SERMA Safety & Security 2018
Attaque récente 2017 / 2018
Contexte : Amazon et eBay retirent une marque de jouets CloudPets de la vente car ils contiennent
des vulnérabilités.Des hackers étaient parvenus à pénétrer la base de données des CloudPets, contenant les adresses mails, mots de passe et enregistrements vocaux de 800 000 personnes (soit 2,2 millions de conversations enregistrées).
16
Copyright SERMA Safety & Security 2018
Le pragmatisme de l’implémentation des normes
03
17
Copyright SERMA Safety & Security 2018
Le pragmatisme dans la norme UL 2900 : exemple
► Remote Communication : The product shall ensure the integrity and authenticity of all data communicated over any remote interface. For this, the product shall use security functions complying with the requirementsin Appendix C
► Dans Appendix C on peut lire une référence à 11 normes⁞ Par exemple :
Key management ISO/IEC 11770:2018 (138 euros - 28 pages)
Digital signature ISO/IEC 14888-3:2016 (198 euros - 131 pages)
Authenticated encryption ISO/IEC 19772:2009 (138 euros – 29 pages)o Traite de l’aspect théorique mais pas forcément de l’implémentation concrète pour un
industriel
18
Copyright SERMA Safety & Security 2018
Le pragmatisme dans la norme IEC 80001-2-2 : exemple
► Emergency access : Ensure that access to protected HEALTH DATA is possible in case of an emergency situation requiring immediate access to stored HEALTH DATA.
► During emergency situations, the clinical user needs to be able to access HEALTH DATA without personal user id and authentication (break-glass functionality).
► Emergency access is to be detected, recorded and reported. Ideally including some manner of immediate notification to the system administrator or medical staff (in addition to audit record)[…]
19
Copyright SERMA Safety & Security 2018
Le pragmatisme dans la loi HIPAA : exemple
► Est-ce que vous avez une procédure de création / modification / archivage des mots de passe ?
⁞ Si oui, sur quelle base est-elle sécurisée ?
⁞ Si non, sur quelle base n’est elle pas sécurisée ?
⁞ Importance de l’impartialité de l’auditeur ?
20
Copyright SERMA Safety & Security 2018
L'avenir des organismes de normalisation
04
21
Copyright SERMA Safety & Security 2018
L’avenir des organismes de normalisation
► Faut-il repartir d’une feuille vierge ?► Les normes précises et concises
⁞ Difficile d’être claire et exhaustif⁞ Difficile d’être claire dans l’implémentation quand on veut être exhaustif⁞ Trop de théorie contre trop de liberté
► Comment orienter l’implémentation des prérequis de Cyber Sécurité avec l’aide des normes ?
► Un des prérequis de cyber sécurité est de rester simple et cohérent :⁞ Méconnaissance des normes⁞ Ne pas opposer les normes en fonction de pays⁞ Simplifier la gestion de l'obsolescence des normes
► Pourquoi faire référence à des normes qui ne sont plus maintenues ?► Les risques et les exigences ont évolué quant est-il des normes ?
22
Copyright SERMA Safety & Security 2018
Questions / réponses
05
23
Copyright SERMA Safety & Security 2018
Pôle Conseil - Activités SecuritéIngénieur Chef de projet IT & IoT
Julien MOINARD
+33 (0) 6 34 78 50 53
j.moinard@serma.com
Contacts
SERMA SAFETY & SECURITY2 RUE DE JOUANET (CENTRE METROPOLIS – BÂT. D)
35700 RENNES – FRANCE
STANDARD : +33 (0)9 53 22 99 64
contact@serma.com
www.serma-safety-security.com
www.serma.com
24
top related