Les protocoles de communication industriels font beaucoup parler d’eux ces temps-ci. La séquence médiatique est toujours la même : des chercheurs en sécurité s’intéressent à un protocole, semblent découvrir qu’il n’est pas sécurisé, montent des expériences édifiantes, publient des articles dévoilant les vulnérabilités ou font des interventions dans des séminaires avec démos à l’appui, et la presse spécialisée en fait ses choux gras.

On a ainsi eu droit aux révélations sur les vulnérabilités DNP3, HART et tout récemment CAN. Cet article passe rapidement en revue ces différents cas et si vous lisez jusqu’au bout vous comprendrez le choix de l’illustration ci-contre !

Lire la suite »

Ca y est, on dispose en France d’une règlementation de cybersécurité industrielle !

Suite à la publication en 2012 d’un premier guide de la sécurité des sites industriels (voir l’article sur ce blog),  l’ANSSI publie deux documents normatifs, après un an de travail réalisé avec des représentants d’industries, de sociétés de sécurité des SIs et d’équipementiers.

Et on ne plaisante plus, car après la « LPM » (Loi de programmation militaire) en décembre, des décrets d’application (avec ajustements sectoriels) vont décliner ces normes en exigences courant 2014. Les exigences sont claires et assez ambitieuses et cela va nous placer à la pointe des pays « cybersécurisés » – si elles sont vraiment mises en œuvre – c’est donc une bonne idée de les comprendre et les anticiper.

Lire la suite »

Le blog était un peu en sommeil depuis cet automne, les auteurs étant fort occupés ailleurs.

Or il s’est passé des choses durant ces derniers mois, chacune méritant un billet sur ce blog.

Werner me l’a toujours répété : mieux vaut des articles courts mais réguliers, plus faciles à écrire et à lire pour les visiteurs, que de longs articles complets, documentés, mais dont l’effort de réalisation risque de limiter la réactivité et fréquence.

Dont acte : notre bonne résolution est de rester calés sur l’actualité, quitte à rédiger des billets courts et renvoyer sur des articles plus complets, et éventuellement compléter les articles si besoin en fonction de vos retours par email (voir page contact) ou commentaires.

Sur ce, bonne année 2014 !

Werner et Patrice

Lire la suite »

Mois de la sécurité, Assises de la sécurité, révélations Snowden sur les pratiques de la NSA, failles Internet Explorer, projet de loi ANSSI : petit tour des actus de l’automne…

Lire la suite »

Les conférences Black Hat et DEF CON à Las Vegas sont les événements cybersécurité de l’été aux USA, avec chaque année des douzaines d’interventions, y compris sur les systèmes industriels. Cet article analyse celles concernant la cybersécurité industrielle.

Lire la suite »

Ce article reprend les points clés de ma présentation sur la sensibilisation, effectuée dans le cadre du forum ISA consacré à la sécurité des systèmes d’automatismes et de contrôle de procédé.

Il concerne la sensibilisation du personnel au sujet de la cybersécurité en environnement industriel, qui est incontournable car :

  • c’est facile
  • c’est efficace
  • c’est pas cher

Dans cet article, je développe ces trois points et donne aussi quelques clés pour réussir les sensibilisations.

Lire la suite »

Les composants des systèmes d’information industriels étant mal armés pour résister à des cyber-attaques, que faut-il faire :

  1. les rendre plus résistants en réduisant leur vulnérabilité ? (les « patcher »)
  2. ou les mettre hors de portée des attaquants via des barrières logiques et physiques ?

Les deux solutions sont difficiles à mettre en œuvre. L’option 2) est l’approche souvent appelée « défense en profondeur ». L’option 1)  consiste essentiellement à « patcher » les systèmes industriels pour en supprimer les failles logicielles. Comme l’actualité (blogs, normes…) traite du sujet, c’est l’occasion de faire le point.

Lire la suite »

Plusieurs rendez-vous français habituels sont consacrés cette année à la cybersécurité industrielle.

Comme pour faire écho à mon précédent article concernant la publication en 2013 de plusieurs normes par l’ISA (International Society of Automation), l’antenne française de l’ISA organise en juin à Paris son forum annuel sur le thème « Cyber-attaques : comment y faire face ? »

Autre rendez-vous annuel de qualité, les journées C&ESAR (organisées par le Ministère de la Défense français) sont consacrées cette année à la « Sécurité des systèmes numériques industriels », et auront lieu à Rennes en novembre. Pour cet événement, l’organisation vient de diffuser l’appel à contribution.

Pour C&ESAR il est donc temps de proposer des papiers et interventions, et les inscriptions pour le forum ISA-France sont ouvertes. Les principales informations et liens figurent dans la suite de l’article (textes repris des annonces officielles).

Lire la suite »

La norme ISA 99 développe un vocabulaire, des bases techniques et des exigences normatives concernant la cyber-sécurité des installations industrielles. L’ISA « International Society of Automation » est représentée en France par l’association ISA France.

Le projet ISA 99 est ambitieux, avec une douzaine de documents, couvrant tous les aspects de la sécurité : système de management, catalogue de mesures, achats, aspects techniques, développement etc…

Mais jusqu’à présent seuls 3 cahiers étaient publiés, et de plus commençaient à être datés. J’avais eu l’occasion d’écrire un article très critique à ce sujet sur ce blog, et avais annoncé dans un autre article la publication prochaine d’un document intéressant.

Lire la suite »

Dans cet article je tente une explication claire et simple des « critères de classification de l’information », ou « critères DIC » (ou DICP).

Ces critères se retrouvent souvent en sécurité des SIs, quand il faut identifier et valoriser l’information (en jargon « cartographier les actifs informationnels »), ou quand on veut faire une analyse de risques.  Ils sont évidemment définis de manière précise et savante dans les normes ISO 27001 et 27005, mais le parti-pris dans cet article est de les présenter via un cas pratique.

Lire la suite »