Certaines solutions de sécurité développées pour l’IT peuvent être utilisées pour l’OT (Operational Technology), mais à condition d’être adaptées. Au vu des derniers événements, en particulier le hack hardware « Supermicro », on peut se demander si l’inverse ne serait pas une bonne idée…

Lire la suite »

Depuis 18 mois que je me penche sur le Règlement Général de Protection des Données (RGPD, ou GDPR en anglais), j’ai relevé deux éléments qui reviennent systématiquement lors de mes interventions :

  1. Une démarche de conformité RGPD n’est en réalité pas une contrainte, mais un révélateur d’opportunités pour la structure : chasser des coûts cachés, création de valeur, valorisation des actifs… Toutes les structures pour lesquelles je suis intervenu ont tiré un profit (autre que celui de la démarche RGPD).
  2. La mise en conformité RGPD impose aux structures d’appliquer des standards de la protection des données qui devraient déjà être en place depuis fort longtemps : politique de gestion de mots de passe, charte informatique, sauvegardes sécurisées, procédure d’archivage…

Lire la suite »

Reprise d’activité de ce blog ! Et comme premier billet, un retour sur Wannacry et surtout notPetya, attaques ayant réussi l’exploit de causer des centaines de millions d’euros de perte suite à l’interruption de lignes de productions dans des usines en France, Angleterre, Allemagne (pour ce qui est documenté, sans doute ailleurs aussi…), alors que les attaques ne ciblaient pas les réseaux industriels…

Lire la suite »

Après 5 années, force est de constater que la fréquence des articles sur ce blog s’allonge, alors même que l’actualité s’emballe, et accapare le temps des auteurs.

Pour cette raison, ce blog est mis en sommeil, tout en restant ouvert pour permettre la consultation et d’éventuels échanges via les commentaires sur d’anciens articles.

Lire la suite »

Il y a deux ans un collègue allemand me recommandait l’ouvrage Black Out de Mark Elsberg, à l’époque disponible uniquement en Allemand. Je l’avais acheté en audio book pour pratiquer mon allemand dans le TGV, ce qui était très optimiste vu que je me suis arrêté au chapitre 2. Heureusement, non seulement à présent l’ouvrage est traduit et disponible en Français, mais en plus une démonstration grandeur réelle d’une cyber-attaque comparable au scénario du livre a été menée en Ukraine à Noël.

Lire la suite »

On ne peut pas faire de cybersécurité industrielle sans prendre en compte la sûreté de fonctionnement : c’est le sujet de cet article avec également quelques illustrations, un point sur le vocabulaire et une annonce de séminaire pour faire l’état de lieux si vous voulez tout savoir sur le sujet !

Lire la suite »

L’inactivité apparente (bon ok… réelle) de ce blog ces derniers mois cache un regain d’activité bien réel sur le terrain, en droite ligne du dernier article en date. Cependant vue l’actualité et les événements à venir, il devenait urgent de faire un billet…

Lire la suite »

Au menu de ce billet : deux annonces de conférences qui promettent d’être riches; le CLUSIF qui, suite à l’étude sur les référentiels de cybersécurité industrielle, lance une enquête sur leur notoriété et leur usage; et les exigences pour les OIV qui arrivent et qui ne sont pas assez anticipées.

Ah oui, et le label France Cyber Sécurité (le logo de cet article)

Lire la suite »

Faut-il faire le même effort pour sécuriser l’automate qui emballe des savons et celui qui assure l’arrêt d’urgence d’un réacteur ? Poser la question c’est y répondre. Comme dans les SI(0) de gestion où l’on fait varier la sécurité selon la sensibilité de l’information, en SI industriel on sécurise en fonction de l’impact sur le process en cas de piratage.

Lire la suite »

Le grand écart entre le niveau de la menace et les mesures de protection mises en place sur les infrastructures critiques françaises a-t’il une chance de se réduire en 2015 ?

Plusieurs éléments permettent de l’espérer : la révélation en 2014 d’attaques d’ampleur y compris sur SI industriels, les avancées du programme de sécurité des SCADA de l’ANSSI, et… l’arrivée de produits de sécurité dédiés (prouvant qu’il y a un marché !)

Lire la suite »