Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
SPÉCIALISTE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION
Philippe PRESTIGIACOMO - Dirigeant de PRONETIS
Consultant SSI – Lead...
VOLET 1
2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AGENDA VOLET I
Module N°1 : Contexte général de la
sécurité des systèmes d’information
Analyse du contexte et chiffres clé...
TRAVAIL PERSONNEL
Sécurité informatique et réseaux - 4eme édition Ghernaouti
Lecture des chapitres suivants
Chapitre 2 Cyb...
VIDÉO DE LANCEMENT DU COURS
5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ANALYSE DU CONTEXTE ET CHIFFRES CLÉS
CYBERCRIMINALITÉ
DÉSÉQUILIBRE ATTAQUANT – DÉFENSEUR
COMPÉTENCES & SOPHISTICATION DES ...
ANALYSE DU CONTEXTE ET CHIFFRES
CLÉS
7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction ré...
QUELQUES CHIFFRES
73% des entreprises françaises déclarent dépendre de leur outil
informatique (source CLUSIF)
50%des soci...
QUELQUES CHIFFRES
Coût estimé de la cybercriminalité et du piratage informatique en
2014 pour les entreprises entre 375 et...
CYBERCRIMINALITÉ
10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Qu’est-ce qu...
11 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CONTEXTE
CYBER-ATTAQUES INDUSTRIELLES
Piratage du système d’adduction d’eau de
Springfield
Attaque sur différents gazoducs aux état...
DÉSÉQUILIBRE ATTAQUANT - DÉFENSEUR
• Principe n°1 : Le défenseur doit défendre tous les points; l’attaquant
peut choisir l...
COMPÉTENCES & SOPHISTICATION DES ATTAQUES
1414 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reprodu...
MENACES ET VULNÉRABILITÉS
15 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ATT...
D’OÙ VIENT LA MENACE ?
1616 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Mauv...
MENACES ET ATTAQUES : LES TYPOLOGIES
1717 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction...
MENACES ET ATTAQUES : LES TYPOLOGIES
Il existe une multitude de critères pour classer les attaques :
Attaques non techniqu...
MENACES ET ATTAQUES : LES TYPOLOGIES
Vue logiques des attaques
Attaques Protocoles
Cross scripting, SQL Injection
Mots de ...
MENACES ET ATTAQUES : LES TYPOLOGIES
Vue périmètrique des attaques
2020 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'...
MENACES ET ATTAQUES : LES TYPOLOGIES
21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction r...
MENACES ET ATTAQUES : LES TYPOLOGIES
2222 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction...
MENACES ET ATTAQUES : LES TYPOLOGIES
2323 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction...
PAUSE-RÉFLEXION
Avez-vous des questions ?
24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduct...
RÉSUMÉ DU MODULE
25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Déséquilibre...
MODULE N°2 : PROBLÉMATIQUE
SPÉCIFIQUE LIÉE À LA SÉCURITÉ DES
SYSTÈMES INDUSTRIELS
26 PRONETIS©2016 - Philippe Prestigiacom...
SYSTÈME D’INFORMATION INDUSTRIEL
Les systèmes d’automatisme ou systèmes de contrôle industriel
sont utilisés pour de multi...
ÉVOLUTION
Historiquement
Systèmes d’information industriels basées sur des technologies propriétaires et
isolées du monde ...
CARACTÉRISTIQUES DES SYSTÈMES INDUSTRIELS
Disponibilité
Durée de vie des équipements
Multiples technologies et fournisseur...
ARCHITECTURE TYPIQUE
30 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Combinai...
COMPOSANTS D’UN SYSTÈME INDUSTRIEL
Automate Programmable Industriel (API ou PLC) : Dispositif électronique
programmable de...
ILLUSTRATION - AUTOMATE
32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SYSTEME INDUSTRIEL
Régulation et
automatisme
Mots(millisecondes)
API, DCS, HMI, poste
de conduite
Supervision
Elaboration ...
SYSTEME INDUSTRIEL
34 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ILLUSTRATION D’ARCHITECTURE INDUSTRIELLE
ÉTENDUE
35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de re...
ILLUSTRATION D’ARCHITECTURE INDUSTRIELLE
LOCALISÉE
36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de ...
ILLUSTRATION : TRAITEMENT DE L’EAU
37 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction rés...
DOMAINES D’EXPLOITATION
Industrie Transports Energie Défense
38 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisat...
DISPONIBILITE
Au sein de ces installations, les automatismes assurent
Le bon fonctionnement / les délais de production
La ...
DUREE DE VIE
Entre 10 et 15 ans selon la machine
Fonctionne 24h/24 et 7j/7
Peu ou pas d’arrêt de maintenance
Difficultés p...
MULTIPLES TECHNOLOGIES - FOURNISSEURS
Installation hétérogène : cohabitation de technologies et
de générations différentes...
ENVIRONNEMENTS
Des conditions environnementales extrêmes :
Atmosphère humide, poussiéreuse, explosive, corrosive
Températu...
GÉOGRAPHIE
Difficulté de sécuriser chaque site
Besoin croissant en télémaintenance
43 PRONETIS©2014 - Philippe Prestigiaco...
INTERVENANTS – CULTURE SÉCURITÉ
Interlocuteurs avec des cultures et sensibilités différentes
Électroniciens, automaticiens...
PROTOCOLES
Protocoles ouvert ou propriétaires
Protocoles historiques non IP / non Ethernet (industrial ethernet,
modbus-tc...
SÉCURITÉ EMBARQUÉE ET SÉCURITÉ RÉSEAU
Ressources limitées Versus fonctions de sécurité embarquées dans
les systèmes
Filtra...
SÉCURITÉ RÉSEAU VERSUS MAILLAGE DU RÉSEAU
Communication pair à pair et non client-serveur
Tous les équipements communiquen...
CORRECTIFS DE SÉCURITÉ – PATCH MANAGEMENT
Durée de déploiement incompatible avec les contraintes de
productivité
Nombreux ...
CONTRÔLE D’ACCÈS LOGIQUE
Temps de réaction
En situation de crise la contrainte du contrôle d’accès peut faire perdre
du te...
ANTIVIRUS
Risque d’indisponibilité des processus , chaines de fabrication
Faux positif entrainant la suppression / Mise en...
SURVEILLANCE
Difficultés pour se connecter à tous les équipements
Protocoles propriétaire
Technologies différentes
Traçabi...
INCIDENTS MARQUANTS AVANT STUXNET
52 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction rése...
EXEMPLES DE SABOTAGE
2005 : Vers Zotob, arrêt de 13 usines d’assemblage de véhicules (E-U). 50000
ouvriers au chômage tech...
EXEMPLES DE SABOTAGE
2009 : New Jersey, USA : Erreur informatique su système de sécurité …
inondations (aurait pu être cau...
CAS DE STUXNET : QUELLE ÉTAIT LA CIBLE ?
55 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproducti...
FOURNISSEURS DE MATÉRIELS
56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Sie...
SYSTÈMES À BASE D’OS TEMPS RÉEL
57 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réserv...
58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VULNÉRABILITÉS DES SYSTÈMES I...
VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS
Vulnérabilités intrinsèques aux systèmes industriels
Peu de prise en compte de la ...
CE QUE L’ON OBSERVE SUR LE TERRAIN
60 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction rés...
ATTAQUE D’UN RÉSEAU INDUSTRIEL
61 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservé...
ETAT DES LIEUX : ORGANISATION DE LA SECURITE
Responsable sécurité rattaché
Production (le plus souvent)
Département techni...
ETAT DES LIEUX : ETUDE AREVA – EURIWARE 2010
Un retour d’expérience sur
une cinquantaine
d’industriels français
montre le ...
IMPACTS
Dommages matériels et/ou corporels
Responsabilité civil ou pénale
Pollution
Impact environnemental
Pollution du si...
APPROCHE SÉCURITÉ
Difficultés d’appliquer les standards de sécurité des
systèmes d’information de gestion
Une approche dif...
PAUSE-RÉFLEXION
Avez-vous des questions ?
66 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduct...
RÉSUMÉ DU MODULE
67 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Présentation...
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ DU SYSTÈME D’INFORMATION
DICP – DISPONIBILITÉ – INTÉGRITÉ CONFIDENTIALITÉ - PREUVE
S...
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
Sécurité générale : protection des biens et des personnes
« Une protection adéquate ...
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
Les aspects fondamentaux de la sécurité du système d’information :
Confidentialité :...
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
71 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction ...
PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ
Vue de quelques acteurs du système d’information
Entreprise
LAN / station de travail...
QUE VOULONS-NOUS PROTÉGER ?
Quels sont les enjeux ? Que doit-on protéger ?
L'information stockée
La disponibilité de l’inf...
MÉTHODOLOGIE
74 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Liste des biens ...
ORDONNANCEMENT DES ACTIONS
75 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Re...
APPROCHE NORMATIVE ET ANALYSE DE RISQUES
Analyser les risques de votre système d’information (méthode EBIOS,
norme ISO 270...
QUE VOULONS-NOUS PROTÉGER ?
RISQUE = POTENTIALITE x IMPACT
Description d’un Evènement et
sa conséquence : Menace
Descripti...
ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES
D’INFORMATION
78 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de...
DÉCLINAISON DES BONNES PRATIQUES
79 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réser...
VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ
80 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction...
RELATIVITÉ DE LA SÉCURITÉ
« The only truly secure system is one
that is powered off, cast in a block of
concrete and seale...
LES 3 FACETTES DE L’OBTENTION DE LA SÉCURITÉ
82 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reprod...
LA SÉCURITÉ EST UN PROCESSUS CONTINU
• La sécurité ne se met pas en œuvre en une seule fois
• Elle fait partie intégrante ...
LES DIFFICULTÉS DE LA SÉCURITÉ
Les usagers ont des besoins spécifiques en sécurité informatique,
mais en général ils ont a...
LES DIFFICULTÉS DE LA SÉCURITÉ
Centre de coût versus centre de profit
La justification des dépenses en matière de sécurité...
PAUSE-RÉFLEXION
Avez-vous des questions ?
86 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduct...
RÉSUMÉ DU MODULE
87 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Principes
fo...
POUR ALLER PLUS LOIN
Livre
Sécurité informatique et réseaux - 4eme édition de Solange
Ghernaouti (Auteur) édition DUNOD
Ma...
FIN DU VOLET
MERCI POUR VOTRE
ATTENTION
89 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproductio...
Upcoming SlideShare
Loading in …5
×

Sécurite operationnelle des systèmes d'information Volet-1

572 views

Published on

Sécurite operationnelle des systèmes d'information Volet-1

Published in: Education
  • Be the first to comment

  • Be the first to like this

Sécurite operationnelle des systèmes d'information Volet-1

  1. 1. SPÉCIALISTE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION Philippe PRESTIGIACOMO - Dirigeant de PRONETIS Consultant SSI – Lead Auditor 27001 / Risk Manager 27005 Membre du GREPSSI, OWASP Formation en enseignement supérieur (PolyTech’Marseille, CNAM, Luminy) PRONETIS – www.pronetis.fr Société indépendante spécialisée en SSI Audit – Conseil – Formation – Lutte contre la fraude informatique 1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  2. 2. VOLET 1 2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  3. 3. AGENDA VOLET I Module N°1 : Contexte général de la sécurité des systèmes d’information Analyse du contexte et chiffres clés Cybercriminalité Déséquilibre attaquant – défenseur Compétences & sophistication des attaques Origine de la menace – typologies des attaques Module N°2 : Problématique spécifique liée à la sécurité des systèmes industriels Présentation des Systèmes d’information industriel Illustration – domaines d’exploitation Problématiques Exemples de sabotage – Cas de Stuxnet Vulnérabilités des systèmes industriels Etat des lieux – impacts - constat Module N°3 : Principes fondamentaux de la sécurité du système d’information Principes fondamentaux de la sécurité du système d’information DICP – Disponibilité Intégrité Confidentialité Preuve Scenarios génériques de menaces - Statistiques Informations / applications à protéger Evolution de la sécurité des systèmes d’information Relativité de la sécurité – Difficultés de la sécurité Pour aller plus loin Livre Magazine Articles - Web 3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  4. 4. TRAVAIL PERSONNEL Sécurité informatique et réseaux - 4eme édition Ghernaouti Lecture des chapitres suivants Chapitre 2 Cybercriminalité : 2.1 à 2.6 Chapitre 1 Principes de sécurité : 1.1, 1.2 4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  5. 5. VIDÉO DE LANCEMENT DU COURS 5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  6. 6. ANALYSE DU CONTEXTE ET CHIFFRES CLÉS CYBERCRIMINALITÉ DÉSÉQUILIBRE ATTAQUANT – DÉFENSEUR COMPÉTENCES & SOPHISTICATION DES ATTAQUES ORIGINE DE LA MENACE – TYPOLOGIES DES ATTAQUES MODULE N°1 : CONTEXTE GÉNÉRAL DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION 66 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  7. 7. ANALYSE DU CONTEXTE ET CHIFFRES CLÉS 7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  8. 8. QUELQUES CHIFFRES 73% des entreprises françaises déclarent dépendre de leur outil informatique (source CLUSIF) 50%des sociétés qui ont connu un sinistre majeur informatique ont cessé leur activité dans les deux ans qui ont suivi (source CLUSIF) Le risque informatique est un des cinq risques majeurs recensés par l’entreprise (source Protivit) 8 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  9. 9. QUELQUES CHIFFRES Coût estimé de la cybercriminalité et du piratage informatique en 2014 pour les entreprises entre 375 et 575 milliards de dollars par an (source IDC) (1/3 dépensé pour tenter de réparer les dégâts occasionnés) 91%des entreprises ont subi au moins une cyber attaque en 2014, les autres ignorent qu'elles le sont (Cassidian) La plupart des cyber attaques ont pour but le vol de données après vient le sabotage et l’atteinte à l’image 9 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  10. 10. CYBERCRIMINALITÉ 10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Qu’est-ce que la cybercriminalité ? Activité criminelle portant atteinte aux données, au non-respect des droits d'auteur ainsi que les activités telles que la fraude en ligne, l'accès non autorisé, la pédopornographie et le harcèlement dans le cyberespace. Cyber délinquance : individus attirés par l’appât du gain, motivation politique, religieuse, concurrents directs de l’organisation visée… Quel est son objectif, ses cibles ? Gains financiers (accès à de l’information, puis monétisation et revente) Utilisation de ressources (espace de stockage de films ou autres contenus, botnets) Chantage, Espionnage Quelle est la tendance de la cybercriminalité ? Les "cyber-attaquants" identifient et affinent leurs approches de façon plus stratégique, ciblant ainsi leurs victimes de manière plus sélective afin d’améliorer le taux d’infection de leurs attaques (source : Trend Micro) Kaspersky Norse
  11. 11. 11 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés CONTEXTE
  12. 12. CYBER-ATTAQUES INDUSTRIELLES Piratage du système d’adduction d’eau de Springfield Attaque sur différents gazoducs aux états unis en 2012 - Attaque provenant d’un malware en pièce jointe d’un mail En 2012, Cyber attaque de la centrale nucléaire Three Mile Island au niveau du système de contrôle commande des pompes de refroidissement En 2013, cyber attaque d’un réseau ferroviaire aux états unis occasionnant de nombreux retards. 12 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés http://securid.novaclic.com/cyber-securite-industrielle/cyberloup.html
  13. 13. DÉSÉQUILIBRE ATTAQUANT - DÉFENSEUR • Principe n°1 : Le défenseur doit défendre tous les points; l’attaquant peut choisir le point le plus faible • Principe n°2 : Le défenseur ne peut défendre que ce qu’il connaît; l’attaquant peut rechercher des points vulnérables • Principe n°3 : Le défenseur se doit d’être vigilant en permanence; l’attaquant peut attaquer quand il le veut • Principe n°4 : Le défenseur doit respecter les règles; l’attaquant peut faire ce qu’il veut L’avantage de l’attaquant et le dilemme du défenseur : 1313 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  14. 14. COMPÉTENCES & SOPHISTICATION DES ATTAQUES 1414 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  15. 15. MENACES ET VULNÉRABILITÉS 15 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés ATTAQUE - Exploitation concrète d’une vulnérabilité d’un système qui conduit à des conséquences plus ou moins grave sur la fonctionnalité ou les données du système. Typologie des attaques Attaques génériques - 30 Millions de nouveaux malwares en 2012 › CONFICKER, 2009 Attaques ciblées - Informatique conventionnelle › FLAME, 2010 › ACAD, 2012 › SHAMOON, 2012 - Systèmes industriels › STUXNET, 2010 › DUQU, 2011
  16. 16. D’OÙ VIENT LA MENACE ? 1616 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Mauvaise utilisation Malveillance Ingénierie sociale (Arnaque, Manipulation) Catastrophes Naturelles Intrusions, vers Codes malicieux : Keylogger, botnets, sniffer, … Données Rebond, propagation … Web : Contenu illicites
  17. 17. MENACES ET ATTAQUES : LES TYPOLOGIES 1717 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Idée reçue : Construire une forteresse technique … • Ce qu’il faut savoir : – 80% des problèmes de sécurité informatique proviennent de l’intérieur des organisations – Le maillon faible est humain – La politique de sécurité informatique n’est jamais définitive – La sécurité est un ensemble : Il suffit d’un seul élément non sécurisé pour que l’édifice soit vulnérable Nécessaire mais pas suffisant !
  18. 18. MENACES ET ATTAQUES : LES TYPOLOGIES Il existe une multitude de critères pour classer les attaques : Attaques non techniques Ingénierie sociale, scam, phishing, loterie … Attaques techniques de type Attaque directe, par rebond, par réflexion ou « man in the middle » Attaques en fonction du système utilisé Infrastructure réseau, système d’exploitation, application 1818 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  19. 19. MENACES ET ATTAQUES : LES TYPOLOGIES Vue logiques des attaques Attaques Protocoles Cross scripting, SQL Injection Mots de passe Force brute/Dico Buffer Overflow, Trojan, Virus, DNS poisoning Hijacking de session, IP spoofing Rejeu, Syn Flood, Smurf Scan de ports ARP cache poisoning Etc.. Déni de service 1919 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  20. 20. MENACES ET ATTAQUES : LES TYPOLOGIES Vue périmètrique des attaques 2020 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  21. 21. MENACES ET ATTAQUES : LES TYPOLOGIES 21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Objectif : Attaquer un internaute pour prendre le contrôle de son poste de travail à distance à des fins illicites Hypothèse : L’attaquant a déjà compromis un serveur Web avec du contenu malveillant qui lui permettra de réaliser son attaque sur une cible finale.
  22. 22. MENACES ET ATTAQUES : LES TYPOLOGIES 2222 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  23. 23. MENACES ET ATTAQUES : LES TYPOLOGIES 2323 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Motivations : argent, puissance • Vol de Données sur l’ordinateur infecté – Documents, mots de passe, Accès compte bancaires, … – n° de série logiciels, … • Deni de Service – Quelques centaines de machines peuvent rendre indisponible un site de commerce (consommation de bande passante, saturation de ressources, panne de système ou application) Exemples : – Au Kentucky, des sites web inaccessibles pendant une semaine car refus de payer 10.000 $ – Angleterre, des casinos en ligne se sont vus proposer une « protection » contre 50.000 $/an – En 2008 : 190 000 attaques par DoS pour un gain de 20 millions de dollars. • SPAM – env. 70% des Spam sont envoyé à partir de machines zombies – en 2008 : $80 par millions de spam envoyé – Des botnets sont « loués » pour l’envoi de Spam (Entre 2,5 & 6 cents par bot par semaine ) (- forums de SpecialHam.com, Spamforum.biz) Constats : Guerre des gangs sur Internet
  24. 24. PAUSE-RÉFLEXION Avez-vous des questions ? 24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  25. 25. RÉSUMÉ DU MODULE 25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Déséquilibre attaquant – défenseur Analyse du contexte et chiffres clés Cybercriminalité Déséquilibre attaquant – défenseur Origine de la menace – typologies des attaques
  26. 26. MODULE N°2 : PROBLÉMATIQUE SPÉCIFIQUE LIÉE À LA SÉCURITÉ DES SYSTÈMES INDUSTRIELS 26 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés PRÉSENTATION DES SYSTÈMES D’INFORMATION INDUSTRIEL ILLUSTRATION – DOMAINES D’EXPLOITATION PROBLÉMATIQUE EXEMPLES DE SABOTAGE - CAS DE STUXNET VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS ETAT DES LIEUX
  27. 27. SYSTÈME D’INFORMATION INDUSTRIEL Les systèmes d’automatisme ou systèmes de contrôle industriel sont utilisés pour de multiples applications Usine classique : chimie, agro, automobile, pharma, production d’énergie… Sites plus vastes : traitement de l’eau, des réseaux de transport… Gestion de bâtiment (aéroport, hôpitaux…) Propulsion de navire Santé : biomédicale, laboratoire d’analyse … Les systèmes industriels contrôlent les infrastructures critiques depuis les réseaux électriques au traitement de l'eau, de l'industrie chimique aux transports. Ils sont présents partout. 27 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  28. 28. ÉVOLUTION Historiquement Systèmes d’information industriels basées sur des technologies propriétaires et isolées du monde extérieur Protection des accès physiques jugée suffisante, la sécurité logique n’étant pas une préoccupation majeure Aujourd’hui Systèmes basés sur des technologies répandues, ouvertes et standardisées Communication directe établie entre les systèmes d’information industriels et les systèmes d’information de gestion de l’entreprise Cette évolution des techniques expose ces systèmes aux menaces actuelles qui ciblent les systèmes d’information de gestion 28 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  29. 29. CARACTÉRISTIQUES DES SYSTÈMES INDUSTRIELS Disponibilité Durée de vie des équipements Multiples technologies et fournisseurs Couvertures géographiques Effets indésirables de la mise en œuvre de la sécurité Interconnexion au système d’information de gestion de l’entreprise Télémaintenance La sécurisation des systèmes industriels passent par la compréhension de leurs spécificités et de leurs contraintes 29 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  30. 30. ARCHITECTURE TYPIQUE 30 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Combinaison du monde industriel avec le monde informatique
  31. 31. COMPOSANTS D’UN SYSTÈME INDUSTRIEL Automate Programmable Industriel (API ou PLC) : Dispositif électronique programmable destiné à la commande de processus industriels. Actionneur : Organe fournissant la force nécessaire à l'exécution d'un travail ordonné par une unité de commande distante (vérin, moteur, …) Contrôle-commande : Système numérique de contrôle commande (SNCC) Système d’automatisme et de composants d’interface qui permet à l’exploitant de contrôler son installation. Capteurs : Dispositif transformant l'état d'une grandeur physique observée en une grandeur utilisable. IHM (Interface Homme Machine) : Moyens et outils mis en œuvre, afin qu'un humain puisse contrôler et communiquer avec une machine. Pré-actionneur : Système permettant de distribuer l'énergie vers un actionneur. Bus terrain Logiciel de supervision et de contrôle : SCADA Logiciel de gestion de production assistée par ordinateur (GPAO, MES) Logiciel d’ingénierie et maintenance Système embarqués 31 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  32. 32. ILLUSTRATION - AUTOMATE 32 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  33. 33. SYSTEME INDUSTRIEL Régulation et automatisme Mots(millisecondes) API, DCS, HMI, poste de conduite Supervision Elaboration des ordres - calculateur de process - Pilotage historisation - gestion des processus industriels (MES) Fonctions centrales finance, compta, info centre 33 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Niveau 0Capteur et Actionneur Bits (microsecondes) Systèmes embarqués
  34. 34. SYSTEME INDUSTRIEL 34 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  35. 35. ILLUSTRATION D’ARCHITECTURE INDUSTRIELLE ÉTENDUE 35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  36. 36. ILLUSTRATION D’ARCHITECTURE INDUSTRIELLE LOCALISÉE 36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  37. 37. ILLUSTRATION : TRAITEMENT DE L’EAU 37 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  38. 38. DOMAINES D’EXPLOITATION Industrie Transports Energie Défense 38 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  39. 39. DISPONIBILITE Au sein de ces installations, les automatismes assurent Le bon fonctionnement / les délais de production La sécurité des biens et personnes La conformité avec les exigences réglementaires sur l’environnement La conformité avec les exigences réglementaires en terme qualité (traçabilité notamment) L’arrêt même momentané peut avoir des conséquences graves sur la sécurité des personnes. 39 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  40. 40. DUREE DE VIE Entre 10 et 15 ans selon la machine Fonctionne 24h/24 et 7j/7 Peu ou pas d’arrêt de maintenance Difficultés pour le support et des pièces de rechange Difficultés de mettre régulièrement à jour les équipements 40 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  41. 41. MULTIPLES TECHNOLOGIES - FOURNISSEURS Installation hétérogène : cohabitation de technologies et de générations différentes Modification ou extension des installations Fenêtre technologique entre 15 à 20 ans Difficultés pour déployer une même solution de sécurité sur l’ensemble des équipements 41 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  42. 42. ENVIRONNEMENTS Des conditions environnementales extrêmes : Atmosphère humide, poussiéreuse, explosive, corrosive Température Pression Chocs et vibrations Radiations Difficultés de trouver des produits informatiques de sécurité répondant aux critères environnementaux. 42 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  43. 43. GÉOGRAPHIE Difficulté de sécuriser chaque site Besoin croissant en télémaintenance 43 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Installation très étendue Site industriel avec des superficies importantes : 15.000 à 20.000 m² Réseaux nationaux avec des filiales disposant d’une grande autonomie locale Multiples sites interconnectés Nécessité pour certains systèmes de disposer d’accès à distance via Internet - Equipements connectés sur Internet afin de faciliter leur exploitation
  44. 44. INTERVENANTS – CULTURE SÉCURITÉ Interlocuteurs avec des cultures et sensibilités différentes Électroniciens, automaticiens, qualiticiens Absence de formation ou de sensibilisation à la sécurité Turn-over important du personnel en production Intérimaire - Sous-traitant Quid de la confidentialité des données sur les postes SCADA – recette de fabrication…. Difficulté de maitriser l’ensemble des intervenants. Il faut comprendre le métier et les problématiques, savoir dialoguer avec l’ensemble des interlocuteurs. (automaticiens et informaticiens). 44 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  45. 45. PROTOCOLES Protocoles ouvert ou propriétaires Protocoles historiques non IP / non Ethernet (industrial ethernet, modbus-tcp, profinet, DNP3) Sans authentification, ni chiffrement des données transportées Absence de gestion des transactions en mode connecté Nécessité d’avoir des équipements de filtrage compatibles Difficultés de trouver des produits de sécurité répondant aux critères 45 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  46. 46. SÉCURITÉ EMBARQUÉE ET SÉCURITÉ RÉSEAU Ressources limitées Versus fonctions de sécurité embarquées dans les systèmes Filtrage des flux : Pare-feu Temps de réponse courts Versus équipements de filtrage réseau Sondes de détection d’intrusion (HIDS / HIPS) Filtrage des flux : Pare-feu Compatibilité protocolaire Inspection des paquets en profondeur Difficultés d’embarquer des fonctions de sécurité évoluées L’équipement de filtrage doit être compatible avec les protocoles en présence. 46 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  47. 47. SÉCURITÉ RÉSEAU VERSUS MAILLAGE DU RÉSEAU Communication pair à pair et non client-serveur Tous les équipements communiquent entre eux Le dysfonctionnement d’un équipement peut entrainer un dysfonctionnement du système entier - Tous sont critiques Il est alors nécessaire de protéger chaque équipement. Ce qui peut être long et coûteux 47 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  48. 48. CORRECTIFS DE SÉCURITÉ – PATCH MANAGEMENT Durée de déploiement incompatible avec les contraintes de productivité Nombreux équipements à des distances variables Durée de déploiement importante Risque d’indisponibilité Effets inattendus entrainant un disfonctionnement partiel ou total Peu de possibilité de déploiement Peu d’arrêts planifiés Le contexte industriel laisse peu de créneaux temporels pour déployer les patchs de sécurité. 48 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  49. 49. CONTRÔLE D’ACCÈS LOGIQUE Temps de réaction En situation de crise la contrainte du contrôle d’accès peut faire perdre du temps Ambiance peu propice à la biométrie Graisse, port de gant, masques, … Compatibilité sur l’ensemble de l’installation Technologies et générations de machines différentes Le contrôle d’accès pourrait être source de stress et de perte de temps. 49 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  50. 50. ANTIVIRUS Risque d’indisponibilité des processus , chaines de fabrication Faux positif entrainant la suppression / Mise en quarantaine d’un fichier essentiel Conséquences multiples : perte de visualisation / contrôle du système de contrôle-commande, arrêt de fonctionnement automatisé du système Difficulté pour mettre à jour la base virale A cause du cloisonnement des réseaux de gestion et industriels, la mise à jour peut être complexe L’architecture antivirale à déployer doit prendre en compte les ressources disponibles sur les automates et les postes de pilotage. 50 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  51. 51. SURVEILLANCE Difficultés pour se connecter à tous les équipements Protocoles propriétaire Technologies différentes Traçabilités des informations Absence de fonctionnalité de journalisation embarquée Compétences Analyse des événements dans le périmètre Difficultés d’analyser les évènements provenant d’un système industriel. Pour cela, il est nécessaire d’avoir des compétences en sécurité et en automatisme industriel. 51 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  52. 52. INCIDENTS MARQUANTS AVANT STUXNET 52 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  53. 53. EXEMPLES DE SABOTAGE 2005 : Vers Zotob, arrêt de 13 usines d’assemblage de véhicules (E-U). 50000 ouvriers au chômage technique et plus de 10M$ de perte d’exploitation 2007 : Des salariés prennent le contrôle du système de signalisation des feux en Californie provoquant de graves perturbations 2007 : Bombe logique d’un employé sur un système de contrôle d’irrigation des eaux d’un barrage en Californie. 2007 : Erreur de commande et contamination accidentelle des eaux de ville du Michigan (hydroxyde de sodium pour le Ph), des dizaines de victimes. 2008 : Arrêt d’urgence du réacteur nucléaire de la centrale de Hatch Cause : MAJ d’un PC bureautique utilisé aussi pour la supervision. Bilan : 2 jours d’arrêt 2008 : Détournement par un adolescent du système de contrôle de trafic des trams de la ville de Lódz en Pologne, et déraillement de 4 wagons. Bilan : plusieurs blessés. 53 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  54. 54. EXEMPLES DE SABOTAGE 2009 : New Jersey, USA : Erreur informatique su système de sécurité … inondations (aurait pu être causée par une attaque informatique) 2010 : Stuxnet : 1er ver découvert qui espionne et reprogramme des systèmes industriels . Attaque les systèmes SCADA de procédés industriels. 4 pays majoritairement touchés : Iran, Indonésie, Inde, Pakistan- But : sabotage 2011 : Duqu : ver ciblant les usines d’armement, centrales nucléaires, usines chimiques 2011 : PoisonIvy : cheval de Troie ciblant le secteur automobile, militaire, chimie Les prisons sont gérées par des systèmes de contrôle industriels, les mêmes que ceux utilisés dans les centrales électrique et installations de traitement de l’eau . 54 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  55. 55. CAS DE STUXNET : QUELLE ÉTAIT LA CIBLE ? 55 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Le Siemens Organization Block 35 (process watchdog) est modifié par Stuxnet – Il gère des opérations critiques qui requièrent des temps de réponse inférieurs à 100 ms La cible pourrait être la centrale de Bushehr, en construction mais aussi des centrifugeuses sur le site de Natanz Famille de PLC SIEMENS concernée : 6ES7-417 et 6ES7-315-2 -> cibles complexes ! * multiples ProfiBus * Puissance CPU
  56. 56. FOURNISSEURS DE MATÉRIELS 56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Siemens – Gamme Simatic Step7 Leader sur les plate-formes pétrolières offshore Leader sur les PLC en environnement industriel General Electric – Gamme Fanuc Leader sur les réseaux électriques Allen-Bradley/Rockwell Automation Areva – Gamme e-terracontrol Acteur majeur sur les réseaux électriques Autres Schneider ElectricsOmron Mitsubishi 0 5 10 15 20 25 30 35 Toshiba Fuji Hitachi Moeller GE Fanuc Omron Schneider Mitsubishi Alleb-Bradley Siemens General Electric Fanuc Rockwell %
  57. 57. SYSTÈMES À BASE D’OS TEMPS RÉEL 57 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  58. 58. 58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS Source : http://www.cvedetails.com/ General Electric Vulnérabilités par typeVulnérabilités par année Siemens :
  59. 59. VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS Vulnérabilités intrinsèques aux systèmes industriels Peu de prise en compte de la sécurité lors des phases de conception, d’installation, d’exploitation et de maintenance Automates et composants industriels en production avec des configuration par défauts et mots de passe par défaut Informations accessibles – les manuels techniques sont disponibles assez facilement- avec les mots de passe par défaut. Une culture et une expérience des opérationnels différentes du monde informatique : Connexion à l’Internet et ignorance de la menace extérieure Des opérateurs non formés à la sécurité informatique 59 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  60. 60. CE QUE L’ON OBSERVE SUR LE TERRAIN 60 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Personnel non sensibilité Aux enjeux / risques Virus – erreur de donnéesMauvaise configuration Pare-feu & intrusion Console de programmation Infectée – modification application API Virus – envoi aléatoire de requêtes Modbus Mot de passe Admin par défaut OS API Non à jour Opérateurs de maintenance non formés Pas de cartographie des flux API Clé USB infecté
  61. 61. ATTAQUE D’UN RÉSEAU INDUSTRIEL 61 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Scénario 1 : Si les équipements sont sur le même réseau, on peut les attaquer simultanément par exemple en mettant en panne l’API (automate programmable industriel) de sureté (mesure certains paramètres et agit en cas de problème) et on causera un accident via l’API de pilotage. Scénario 2 : L’attaque consiste à corrompre les données envoyées de A à B pour mettre en panne l’automate de sûreté.
  62. 62. ETAT DES LIEUX : ORGANISATION DE LA SECURITE Responsable sécurité rattaché Production (le plus souvent) Département technique Hygiène Qualité Sécurité et Environnement (HQSE) Maintenance Services généraux Responsabilités variables et diffuses des systèmes informatiques et de leur sécurité 62 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  63. 63. ETAT DES LIEUX : ETUDE AREVA – EURIWARE 2010 Un retour d’expérience sur une cinquantaine d’industriels français montre le manque de maturité en sécurité des systèmes d’information industriels. 63 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  64. 64. IMPACTS Dommages matériels et/ou corporels Responsabilité civil ou pénale Pollution Impact environnemental Pollution du site de production et de l’environnement Perte de chiffre d’affaire Interruption de la production Modification des paramètres de fabrication Vol de données Perte de secret de fabrication, Avantage pour la concurrence 64 PRONETIS©2014 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservésPRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  65. 65. APPROCHE SÉCURITÉ Difficultés d’appliquer les standards de sécurité des systèmes d’information de gestion Une approche différente à construire pour les systèmes d’information industriels « tout en adaptant les recettes existantes de sécurité » La gestion du risque, la maîtrise des techniques de sécurisation deviennent des compétences indispensables pour les entreprises dans les secteurs industriels. 65 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  66. 66. PAUSE-RÉFLEXION Avez-vous des questions ? 66 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  67. 67. RÉSUMÉ DU MODULE 67 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Présentation des Systèmes d’information industriel Illustration – domaines d’exploitation Exemples de sabotage – Cas de Stuxnet Vulnérabilités des systèmes industriels - Attaques Problématiques Etat des lieux – impacts - constat
  68. 68. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ DU SYSTÈME D’INFORMATION DICP – DISPONIBILITÉ – INTÉGRITÉ CONFIDENTIALITÉ - PREUVE SCENARIOS GÉNÉRIQUES DE MENACES - STATISTIQUES CLUSIF 2014 INFORMATIONS / APPLICATION À PROTÉGER EVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION MODULE N°3 : PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ DU SYSTÈME D’INFORMATION 68 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  69. 69. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ Sécurité générale : protection des biens et des personnes « Une protection adéquate dépend de la valeur des biens à protéger. » 4 niveaux de mesures de sécurité : Prévention: Empêcher vos biens d’être endommagés. Ex: Serrures sur toutes les portes Détection: Se rendre compte que vos biens ont été endommagés, comment et par qui Ex: Système d’alarme sur une maison, vidéo surveillance Réaction: Recouvrir vos biens ou réparer le dommage causé par leur perte. Ex: Appeler la police, Assurance, Véhicule de prêt Reprise : reprendre le fonctionnement normal Ex : Voiture retrouvée ou réparée 69 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  70. 70. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ Les aspects fondamentaux de la sécurité du système d’information : Confidentialité : Propriété d’une information qui n’est ni disponible, ni divulguée aux personnes, entités ou processus non autorisés ISO 7498-2 (1989). AFNOR Disponibilité : Propriété d’être accessible et utilisable sur demande par une entité autorisée. La disponibilité est une des quatre propriétés essentielles qui constituent la sécurité. ISO 7498-2 (1999). AFNOR Intégrité : Propriété des données dont l’exactitude et la cohérence sont préservées à travers toute modification illicite. Prévention de toute modification non autorisée de l’information ISO/IEC IS 2382-8 (1998) . AFNOR. Auditabilité Capacité pour une autorité compétente, à fournir la preuve que la conception et le fonctionnement du système et de ses contrôles internes sont conformes aux exigences de sécurité Garantir une maîtrise complète et permanente sur le système et en particulier pouvoir retracer tous les évènements au cours d’une certaine période. AFNOR Continuité Fiabilité DISPONIBILITE Exactitude Inaltérabilité INTEGRITE Contrôle d'accès Non divulgation CONFIDENTIALITE Preuves Contrôles AUDITABILITE Les Risques: les atteintes et impacts 70 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  71. 71. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ 71 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  72. 72. PRINCIPES FONDAMENTAUX DE LA SÉCURITÉ Vue de quelques acteurs du système d’information Entreprise LAN / station de travail Environnement Informatique et télécom Equipements de sécurité Fournisseur d’accès Fournisseurs de services - Opérateurs Télécom - Hébergeurs, - Paiement sécurisé, - Sites de sauvegarde et secours Environnement Général : EDF Intervenants en amont dans la conception et la réalisation des environnements Personnel Serveurs Prestataires de services infogérance 72 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  73. 73. QUE VOULONS-NOUS PROTÉGER ? Quels sont les enjeux ? Que doit-on protéger ? L'information stockée La disponibilité de l’information La diffusion de l’information (le transport) L’intégrité de l'information L'accès aux services externes : serveur Web… L'accès aux services internes : serveur Intranet de la Communication La « vie privée » de l'entreprise L’image de marque de l’entreprise …… 7373 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Attention à ne pas se disperser…
  74. 74. MÉTHODOLOGIE 74 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Liste des biens sensibles Liste des menaces et modes opératoires Listes des impacts et probabilités Liste des contre-mesures 1 : Quoi protéger et pourquoi ? 2 : De quoi se protéger ? 3 : Quels sont les risques ? 4 Comment protéger l’entreprise ?
  75. 75. ORDONNANCEMENT DES ACTIONS 75 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Recenser les actifs numériques Évaluation des risques –Intégrité & Confidentialité des données, –Disponibilité du SI –Détournement d’activité, Image de Marque, –Sanctions pénales Mettre en place les protections et préventions Formaliser les procédures et méthodologies Mettre en place les contrôles et surveillances Formaliser un plan de reprise Effectuer une veille technologique lié à la sécurisation
  76. 76. APPROCHE NORMATIVE ET ANALYSE DE RISQUES Analyser les risques de votre système d’information (méthode EBIOS, norme ISO 27005) Suivre les recommandations et les bonnes pratiques de sécurité issues des normes de sécurité – Normes ISO 27xxx ( Exemple : norme ISO-27001 et 27002), Normes IEC 62443-XX ( Exemple : normes ISO-62443-2 ISO-62443-3, ISO-62443-4) 7676 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés …d’où la nécessité d’avoir une approche méthodologique et transversale pour cadrer la démarche de sécurisation de votre système d’information
  77. 77. QUE VOULONS-NOUS PROTÉGER ? RISQUE = POTENTIALITE x IMPACT Description d’un Evènement et sa conséquence : Menace Description de sa cause et de son origine : Mode Opératoire Probabilité d'occurrence Gravité des conséquences directes et indirectes fonction du contexte et des mesures de sécurité en place. Période, Localisation Activité, Enjeux commerciaux, Equipements, organisation humaine, ennemis potentiels,… Préventions et Dissuasions Protections, Palliatifs et transfert 7777 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  78. 78. ÉVOLUTION DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION 78 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Source : Denis Virole Telindus et Jean-Louis Brunel
  79. 79. DÉCLINAISON DES BONNES PRATIQUES 79 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Source : Jean-Louis Brunel Détection d’intrusion Centralisation des logs Audit / Tests intrusifs Cours 3A Cours 4A
  80. 80. VUE D’ENSEMBLE DES MESURES DE SÉCURITÉ 80 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés • Anti-virus • Anti-Spyware, • Anti-rootkids • … • Détecter les vulnérabilités • Appliquer les Correctifs • Sondes IDS • Analyse des traces •Supervision, Veille, •Surveillance • Firewall • Compartimenter le réseau et les systèmes • Sécuriser et certifier les échanges (VPN / Mails chiffrés) • Former et sensibiliser les utilisateurs • Consignes en cas d’attaque ou de doutes • Mise en œuvre de procédures de sécurité • Plan de continuité •Sauvegarde et protection des supports •Redondance des systèmes • Classifier les données • Analyse de risques • Protéger des données • Accès restrictifs Gestion de la sécurité (non exhaustif) Données •Protéger et isoler les réseaux sans fil
  81. 81. RELATIVITÉ DE LA SÉCURITÉ « The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts. » — Eugene H. Spafford , http://www.cerias.purdue.edu/homes/spaf/quotes.html De la relativité de la sécurité : 81 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  82. 82. LES 3 FACETTES DE L’OBTENTION DE LA SÉCURITÉ 82 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  83. 83. LA SÉCURITÉ EST UN PROCESSUS CONTINU • La sécurité ne se met pas en œuvre en une seule fois • Elle fait partie intégrante du cycle de vie du système • Il s’agit d’un processus itératif qui n’est jamais fini et doit être corrigé et testé régulièrement La sécurité n’est pas une activité ponctuelle : PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés83 « La sécurité absolue est inatteignable, c’est un voyage, pas une destination »
  84. 84. LES DIFFICULTÉS DE LA SÉCURITÉ Les usagers ont des besoins spécifiques en sécurité informatique, mais en général ils ont aucune expertise dans le domaine L’utilisateur ne sait pas ce qu’il veut, c’est à l’expert en sécurité de comprendre ses besoins et de mettre en œuvre les moyens adéquates Performance et confort d’utilisation Versus Sécurité Les mécanismes de sécurité consomment des ressources additionnelles La sécurité interfère avec les habitudes de travail des usagers Ouverture vers le monde extérieur en constante progression Les frontières de l’entreprise sont virtuelles ex : télémaintenance PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés84
  85. 85. LES DIFFICULTÉS DE LA SÉCURITÉ Centre de coût versus centre de profit La justification des dépenses en matière de sécurité n’est pas évidente Le retour sur investissement en sécurité est un exercice parfois difficile La sécurité n’est pas une fin en soi mais résulte d’un compromis entre : - un besoin de protection ; - le besoin opérationnel qui prime sur la sécurité (coopérations, interconnexions…) - les fonctionnalités toujours plus tentantes offertes par les technologies (sans fil, VoIP…) - un besoin de mobilité (technologies mobiles…) - des ressources financières et des limitations techniques PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés85
  86. 86. PAUSE-RÉFLEXION Avez-vous des questions ? 86 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  87. 87. RÉSUMÉ DU MODULE 87 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Principes fondamentaux de la sécurité du système d’information DICP – Disponibilité – intégrité confidentialité - preuve Informations / applications à protéger Evolution de la sécurité des systèmes d’information Scenarios génériques de menaces - statistiques Relativité de la sécurité – Difficultés de la sécurité Vue d’ensemble des mesures de sécurité et bonnes pratiques
  88. 88. POUR ALLER PLUS LOIN Livre Sécurité informatique et réseaux - 4eme édition de Solange Ghernaouti (Auteur) édition DUNOD Magazine MISC N°74 - Sécurité des Systèmes d’information Industriels http://boutique.ed-diamond.com/ (revue MISC) Web www.ssi.gouv.fr – Sécurité des systèmes industriels Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr Rapport du Sénateur Bockel sur la Cyberdéfense - http://www.senat.fr/rap/r11- 681_mono.html www.clusif.fr 88 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  89. 89. FIN DU VOLET MERCI POUR VOTRE ATTENTION 89 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

×