1 / 12

Sécurité du contrôle de processus : rôle de l'Etat

Sécurité du contrôle de processus : rôle de l'Etat. Deux remarques : on ne part pas de rien La SSI de l'informatique générale Ses adaptations aux systèmes de contrôle de processus, ISA SP99 par ex Efforts de certains utilisateurs et fournisseurs Qui dit sécurité dit nécessité de confiance

adolph
Download Presentation

Sécurité du contrôle de processus : rôle de l'Etat

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Sécurité du contrôle de processus : rôle de l'Etat • Deux remarques : • on ne part pas de rien • La SSI de l'informatique générale • Ses adaptations aux systèmes de contrôle de processus, ISA SP99 par ex • Efforts de certains utilisateurs et fournisseurs • Qui dit sécurité dit nécessité de confiance • deux points d'ancrage : • Les règlementations existantes (ICPE, nucléaire, HSCT ...)‏ • les infrastructures vitales

  2. Ce que l'Etat sait faire (seul ou avec d'autres): • Règlementer • Orienter la recherche • Mettre en relations • Susciter, encourager les initiatives • Incitations diverses (dont financières), sensibilisations, guides de bonnes pratiques... • orienter/encourager les formations, en dispenser • Fourniture d'expertise (normalisation par exemple)‏ • Fourniture de certains services • Prêcher d'exemple • Il n'est pas un acheteur important dans ce domaine

  3. Suède • SEMA (Swedish emergency management agency) launched the information-sharing forum, FIDI-SC • Projet « d'une initiative publique pour la sécurité du C2 » : améliorer les capacités nationales de prévention et de réaction http://www.krisberedskapsmyndigheten.se/upload/3040/handlingsplan_informationssakerhet_eng2008.pdf • Guide to increased security in process control systems (2008)

  4. Pays bas • Organisation très élaborée pour les infrastructures vitales • Security good practices for the drinking water sector élaborées par TNO à la demande de l'administrationhttp://www.samentegencybercrime.nl/UserFiles/File/TNO-DV%202008%20C096_web.pdf • SOVI (Commission stratégique nationale publique/privée pour les infrastructures vitales) anime des échanges d'information sur les bonnes pratiques.

  5. Royaume uni : CPNI • Échanges d'information (forum SCSIE d'où est issu Euro-SCSIE)‏ • Bonnes pratiqueshttp://www.cpni.gov.uk/ProtectingYourAssets/scada.aspx • auto-évaluation • Sensibilisation des patrons des grands groupes

  6. États unis (1)‏ • Réglementation : • NERC Standards CIP-002 à CIP-009http://www.nerc.com/files/Reliability_Standards_Complete_Set_2009April27.pdf • Projet de loi :http://homeland.house.gov/SiteDocuments/20090430125036-36251.pdf • Road map to secure control systems in the energy sector • Formation : • Cours en lignehttp://www.us-cert.gov/control_systems/cstraining.html#cyber • Cours de l'Idaho National Laboratory (INL)‏

  7. États unis (2)‏ • Expertise, bonnes pratiques : • Normes NIST • INL • Catalogue de recommandations pour les développeurs de systèmes de contrôlehttp://www.us-cert.gov/control_systems/pdf/Catalog_of_Control_Systems_Security_Recommendations.pdf • SCADA and Control Systems Procurement Project (procurement language)‏

  8. Approches variées selon les pays • Culture • Moyens • Environnement local (par ex l'électricité aux US)‏

  9. Points communs • Importante documentation disponible, souvent avec des redites • Sensibilisation : les US manient le bâton (IV/énergie) ; les autres pays pratiquent plutôt la persuasion douce • Peu d'expertise sur ces questions spécifiques • Besoins d'échanges d'informations : pb pour avoir des personnes à la fois compétentes et qui ont (un certain) pouvoir de décision • Besoins de formation (et de formateurs?)‏ • Cloisonnement informatique générale/contrôle de processus

  10. France : enseignements du passé (SSI)‏ • Règlementer (principalement pour l'administration elle-même)‏ • Fourniture de services et d'expertise (certification), de formations • Normalisation • Sensibilisations, guides de bonnes pratiques (EBIOS...)‏ • Incitations diverses : orientation et financement de la recherche • Lien classifié/non classifié • Prêcher d'exemple : ?

  11. France : contrôle de processus • Réglementation : utiliser l'existant : • ICPE, nucléaire, HSCT... • Secteurs d'activité d'importance vitale • Sensibilisation : grands groupes, PME • Échanges d'information • Formaliser • Formation • Expertise ?

  12. Votre avis svp

More Related