Plusieurs rendez-vous français habituels sont consacrés cette année à la cybersécurité industrielle.
Comme pour faire écho à mon précédent article concernant la publication en 2013 de plusieurs normes par l’ISA (International Society of Automation), l’antenne française de l’ISA organise en juin à Paris son forum annuel sur le thème « Cyber-attaques : comment y faire face ? »
Autre rendez-vous annuel de qualité, les journées C&ESAR (organisées par le Ministère de la Défense français) sont consacrées cette année à la « Sécurité des systèmes numériques industriels », et auront lieu à Rennes en novembre. Pour cet événement, l’organisation vient de diffuser l’appel à contribution.
Pour C&ESAR il est donc temps de proposer des papiers et interventions, et les inscriptions pour le forum ISA-France sont ouvertes. Les principales informations et liens figurent dans la suite de l’article (textes repris des annonces officielles).
La norme ISA 99 développe un vocabulaire, des bases techniques et des exigences normatives concernant la cyber-sécurité des installations industrielles. L’ISA « International Society of Automation » est représentée en France par l’association ISA France.
Le projet ISA 99 est ambitieux, avec une douzaine de documents, couvrant tous les aspects de la sécurité : système de management, catalogue de mesures, achats, aspects techniques, développement etc…
Mais jusqu’à présent seuls 3 cahiers étaient publiés, et de plus commençaient à être datés. J’avais eu l’occasion d’écrire un article très critique à ce sujet sur ce blog, et avais annoncé dans un autre article la publication prochaine d’un document intéressant.
Cet article répond à une demande reçue à plusieurs reprises : expliquer clairement et simplement la notion de « critères de classification de l’information », ou « critères DIC » (ou DICP).
Ces critères se retrouvent souvent en sécurité des SIs, quand il s’agit de « cartographier les actifs informationnels », et quand il s’agit de faire une analyse de risques. Ils sont évidemment définis de manière précise et savante dans les normes ISO 27001 et 27005, mais le parti-pris dans cet article est de les présenter naturellement, via un cas pratique.
Ce billet revient sur les principales actualités 2012, explique pourquoi les USA ont définitivement plusieurs coups d’avance, et se pose la question de savoir si les ambitions affichées des autres (l’Iran, la France) pourront changer la donne. Et enfin, quid de la Chine et de la Russie ?
Stuxnet était la première démonstration grandeur réelle de la possibilité d’attaquer des processus industriels via un logiciel malveillant.
On oublie quelquefois que la cible de Stuxnet était une « INB » (Installation Nucléaire de Base, dans la terminologie française) : la principale (et seule ?) cyberattaque industrielle réussie visait un site nucléaire.
Les acteurs du « nucléaire », et en particulier l’AIEA, ont réagi à cette attaque : cet article décrit les approches de sécurité recommandées depuis peu, et qui ont un intérêt aussi pour les industries non nucléaires. Lire la suite »
Harris Zachary, un mathematicien de 35 ans, a mis en évidence une vulnérabilité du système d’authentification des emails envoyés par google.com.
Il a pu détourner le système DKIM de signature des emails de google.com, et se faire passer pour les fondateurs, Larry Page et Sergey Brin, en envoyant des emails en leur nom. Lire la suite »
Y-a-t’il eu des cyber-attaques sur des infrastructures critiques depuis Stuxnet ? Je parle d’attaques capable de détruire des équipements, causer des accidents industriels, voire tuer des gens… par opposition au « simple » vol ou corruption de données.
Oui, si on en croit certains blogs, quelques annonces reprises par la presse, voire une récente alerte de l’ANSSI : en voici un palmarès.
Pourquoi pas d’article sur les assises 2012 ? (et donc en fait si, cet article court !)
Paradoxalement, alors que la cybersécurité industrielle est un sujet en plein « boum », ce n’était pas au programme des assises – ou plutôt si, Patrick Pailloux (ANSSI) a évoqué le sujet mais il a été rapidement éclipsé par des sujets beaucoup plus « d’actualité » comme le BYOD et les routeurs chinois.
Concernant la place incroyable prise par ce qu’on peut à présent appeler « l’affaire des routeurs chinois » (Huawei et ZTE mis en cause par le rapport Bockel – sans preuve), le sénateur Bockel sollicité par les journalistes sur le sujet a « laissé entendre » que l’ANSSI lui aurait présenté des « éléments de preuve matérielle » : mais bon sang, si c’est le cas, que l’ANSSI les publie ! Cette habitude française de l’omerta sur les sujets de cybersécurité est affligeante car contre-productive, contribuant à décrédibiliser le sujet – à moins que ce ne soit réellement faux, et dans ce cas effectivement ce serait encore pire !
Plus de détails sur BYOD et les routeurs, explications sur l’absence du sujet « cybersécurité industrielle » et liens pour les frustrés ci-dessous… Lire la suite »
Quels sont le but et l’objet de la cybersécurité industrielle (à quoi ça sert ?)
Comment la discipline se positionne-t’elle par rapport à la sécurité fonctionnelle ?
Quelles différences / points communs avec la sécurité des systèmes d’information ?
A un moment où l’on recherche des consultants en « cybersécurité industrielle », et où les industriels, dans les domaines exposés au moins, commencent à affecter des budgets au sujet, il semble qu’il est temps de tenter une définition !
A l’ère du Cloud, de l’argent dématérialisé, des réseaux sociaux en lignes, il est amusant de voir que le meilleur moyen d’intrusion reste… le social engineering.
C’est amusant, parce que cette technique a reçu une forte publicité avec l’arrestation de Kevin Mitnick. Une technique qu’il a peaufinée depuis l’age de 12 ans, en … 1975. Et puis elle est tombée en désuétude. Même si, de temps en temps, un expert en sécurité nous rappelle comme il est facile de se faire passer pour quelqu’un que l’on n’est pas.
Cette fois, c’est le journaliste du magazine web Wired.com qui nous offre, avec beaucoup d’humilité, le récit complet de la destruction de l’ensemble de sa vie numérique: iPhone, iPad, MacBook, GooglePlus, … tous ont été vidés en l’espace de quelques minutes. Y compris les photos des premiers pas de sa fille. Y compris les sauvegardes soigneusement effectuées quotidiennement. Y compris les archives dans le « iCloud ». Lire la suite »
