120 likes | 233 Views
Sécurité du contrôle de processus : rôle de l'Etat. Deux remarques : on ne part pas de rien La SSI de l'informatique générale Ses adaptations aux systèmes de contrôle de processus, ISA SP99 par ex Efforts de certains utilisateurs et fournisseurs Qui dit sécurité dit nécessité de confiance
E N D
Sécurité du contrôle de processus : rôle de l'Etat • Deux remarques : • on ne part pas de rien • La SSI de l'informatique générale • Ses adaptations aux systèmes de contrôle de processus, ISA SP99 par ex • Efforts de certains utilisateurs et fournisseurs • Qui dit sécurité dit nécessité de confiance • deux points d'ancrage : • Les règlementations existantes (ICPE, nucléaire, HSCT ...) • les infrastructures vitales
Ce que l'Etat sait faire (seul ou avec d'autres): • Règlementer • Orienter la recherche • Mettre en relations • Susciter, encourager les initiatives • Incitations diverses (dont financières), sensibilisations, guides de bonnes pratiques... • orienter/encourager les formations, en dispenser • Fourniture d'expertise (normalisation par exemple) • Fourniture de certains services • Prêcher d'exemple • Il n'est pas un acheteur important dans ce domaine
Suède • SEMA (Swedish emergency management agency) launched the information-sharing forum, FIDI-SC • Projet « d'une initiative publique pour la sécurité du C2 » : améliorer les capacités nationales de prévention et de réaction http://www.krisberedskapsmyndigheten.se/upload/3040/handlingsplan_informationssakerhet_eng2008.pdf • Guide to increased security in process control systems (2008)
Pays bas • Organisation très élaborée pour les infrastructures vitales • Security good practices for the drinking water sector élaborées par TNO à la demande de l'administrationhttp://www.samentegencybercrime.nl/UserFiles/File/TNO-DV%202008%20C096_web.pdf • SOVI (Commission stratégique nationale publique/privée pour les infrastructures vitales) anime des échanges d'information sur les bonnes pratiques.
Royaume uni : CPNI • Échanges d'information (forum SCSIE d'où est issu Euro-SCSIE) • Bonnes pratiqueshttp://www.cpni.gov.uk/ProtectingYourAssets/scada.aspx • auto-évaluation • Sensibilisation des patrons des grands groupes
États unis (1) • Réglementation : • NERC Standards CIP-002 à CIP-009http://www.nerc.com/files/Reliability_Standards_Complete_Set_2009April27.pdf • Projet de loi :http://homeland.house.gov/SiteDocuments/20090430125036-36251.pdf • Road map to secure control systems in the energy sector • Formation : • Cours en lignehttp://www.us-cert.gov/control_systems/cstraining.html#cyber • Cours de l'Idaho National Laboratory (INL)
États unis (2) • Expertise, bonnes pratiques : • Normes NIST • INL • Catalogue de recommandations pour les développeurs de systèmes de contrôlehttp://www.us-cert.gov/control_systems/pdf/Catalog_of_Control_Systems_Security_Recommendations.pdf • SCADA and Control Systems Procurement Project (procurement language)
Approches variées selon les pays • Culture • Moyens • Environnement local (par ex l'électricité aux US)
Points communs • Importante documentation disponible, souvent avec des redites • Sensibilisation : les US manient le bâton (IV/énergie) ; les autres pays pratiquent plutôt la persuasion douce • Peu d'expertise sur ces questions spécifiques • Besoins d'échanges d'informations : pb pour avoir des personnes à la fois compétentes et qui ont (un certain) pouvoir de décision • Besoins de formation (et de formateurs?) • Cloisonnement informatique générale/contrôle de processus
France : enseignements du passé (SSI) • Règlementer (principalement pour l'administration elle-même) • Fourniture de services et d'expertise (certification), de formations • Normalisation • Sensibilisations, guides de bonnes pratiques (EBIOS...) • Incitations diverses : orientation et financement de la recherche • Lien classifié/non classifié • Prêcher d'exemple : ?
France : contrôle de processus • Réglementation : utiliser l'existant : • ICPE, nucléaire, HSCT... • Secteurs d'activité d'importance vitale • Sensibilisation : grands groupes, PME • Échanges d'information • Formaliser • Formation • Expertise ?