Au menu de ce billet : deux annonces de conférences qui promettent d’être riches; le CLUSIF qui, suite à l’étude sur les référentiels de cybersécurité industrielle, lance une enquête sur leur notoriété et leur usage; et les exigences pour les OIV qui arrivent et qui ne sont pas assez anticipées.

Ah oui, et le label France Cyber Sécurité (le logo de cet article)

Lire la suite »

Faut-il faire le même effort pour sécuriser l’automate qui emballe des savons et celui qui assure l’arrêt d’urgence d’un réacteur ? Poser la question c’est y répondre. Comme dans les SI(0) de gestion où l’on fait varier la sécurité selon la sensibilité de l’information, en SI industriel on sécurise en fonction de l’impact sur le process en cas de piratage.

Lire la suite »

Le grand écart entre le niveau de la menace et les mesures de protection mises en place sur les infrastructures critiques françaises a-t’il une chance de se réduire en 2015 ?

Plusieurs éléments permettent de l’espérer : la révélation en 2014 d’attaques d’ampleur y compris sur SI industriels, les avancées du programme de sécurité des SCADA de l’ANSSI, et… l’arrivée de produits de sécurité dédiés (prouvant qu’il y a un marché !)

Lire la suite »

Le précédent article consacré à shellshock introduisait le sujet et en donnait l’essentiel à savoir..

Ce second article examine les impacts sur les SI industriels en posant la question de la présence de la faille shellshock pour chaque type d’équipement. Cela revient à voir si les systèmes en question sont basés sur linux (ou un unix), et si bash, et des moyens d’activer la faille, pourraient s’y trouver. Lire la suite »

Au vu des analyses que l’on peut lire dans la presse, cette faille dépasserait en ampleur la précédente star des medias (Heartbleed dans OpenSSL), et menacerait internet de congestion en cas de ver qui comme Slammer avait ralenti internet en 2003 !

Ce premier article fait partie d’une paire consacrée au sujet shellshock, et passe en revue l’essentiel à savoir sur le sujet.

Un second article développera le fait que la faille concerne aussi les systèmes industriels et embarqués, et qu’elle sera beaucoup plus difficile à corriger dans ces environnements que sur les serveurs web. Lire la suite »

Havex, Energetic Bear, Crouching Yeti, LightsOut

DragonFly : l'APT russe du secteur de l'Énergie (malwares Havex, Karagany, LightsOut)

Il y’a une petite semaine, le Nasjonal SikkerhetsMyndighet (NSM, l’agence nationale pour la sécurité de l’Etat norvégien) avertissait trois cent de ses entreprises du secteur de l’énergie et du pétrole de la dangerosité d’une menace bien réelle et concrète : une assez vaste campagne d’attaque d’une APT (Advanced Permanent Threat) qui tapinait depuis quelques temps le secteur de l’énergie, DragonFly. Lire la suite »

VLAN, diode, air-gap, anti-virus, patch : ces solutions sont-elles utiles, indispensables, ou au contraire peu adaptées pour sécuriser un SI industriel ?

Ce sont des questions qui se posent naturellement aussi bien pour un site existant ainsi que pour un nouveau projet, et pour lesquelles les réponses varient selon les experts. Lire la suite »

Le vers est dans la base de données...La réponse est évidente, me direz-vous : il ne faut pas stocker en base de données le mot de passe, mais un hash de ce mot de passe, qui ne puisse pas être décrypté.

Pourtant, je vais vous proposer de stocker le mot de passe en base de données, et vous expliquer pourquoi… Lire la suite »

Publié le 8/05/2014 dans Sécurité Internet par Werner KLINGER | 2 Commentaires »

Les protocoles de communication industriels font beaucoup parler d’eux ces temps-ci. La séquence médiatique est toujours la même : des chercheurs en sécurité s’intéressent à un protocole, semblent découvrir qu’il n’est pas sécurisé, montent des expériences édifiantes, publient des articles dévoilant les vulnérabilités ou font des interventions dans des séminaires avec démos à l’appui, et la presse spécialisée en fait ses choux gras.

On a ainsi eu droit aux révélations sur les vulnérabilités DNP3, HART et tout récemment CAN. Cet article passe rapidement en revue ces différents cas et si vous lisez jusqu’au bout vous comprendrez le choix de l’illustration ci-contre !

Lire la suite »

Ca y est, on dispose en France d’une règlementation de cybersécurité industrielle !

Suite à la publication en 2012 d’un premier guide de la sécurité des sites industriels (voir l’article sur ce blog),  l’ANSSI publie deux documents normatifs, après un an de travail réalisé avec des représentants d’industries, de sociétés de sécurité des SIs et d’équipementiers.

Et on ne plaisante plus, car après la « LPM » (Loi de programmation militaire) en décembre, des décrets d’application (avec ajustements sectoriels) vont décliner ces normes en exigences fin 2014. Les exigences sont claires et assez ambitieuses et cela va nous placer à la pointe des pays « cybersécurisés » – si elles sont vraiment mises en œuvre – c’est donc une bonne idée de les comprendre et les anticiper.

Lire la suite »