Trois types d’organismes peuvent nous concerner en France : les organismes nationaux, internationaux, et nord-américains. On peut s’interroger sur la pertinence de la troisième catégorie : on verra dans un article ultérieur, que ceux-ci sont particulièrement utiles dans le domaine industriel. 

Les « nationaux »

• ANSSI (France)
  • Agence rattachée au premier ministre. Peu actif sur le contrôle-commande (pour l’instant).
  • A fait EBIOS « Expression des Besoins et Identification des Objectifs de Sécurité » et dicte des réglementations pour les administrations (tel le RGS – référentiel général de Sécurité)
  • A également édicté le CSPN « Certificat de Sécurité de Premier Niveau » pour le logiciel libre
• Allemagne, Angleterre, Suède
  • Ont des établissements équivalents à l’ANSSI, produisent études et alertes y compris en ICS. Leurs alertes sont reprises par les autres organismes nationaux et internationaux (notamment CERT-ICS) et donc il n’est pas nécessaire de prévoir une veille pour chacun.

Les « internationaux »

• ISO – International Standards Organization
  • Ont développé et rendu incontournable la série des ISO 2700x qui est la référence en terme de sécurité du système d’information (27001 : concepts, 27002 : mesures, 27005 : analyse de risques).

• IEC – International Electrotechnical Commission
  • Les normes sont leur cœur de métier, avec ITU et ISO.
  • Ont défini IEC/ISO 15443 « common criteria  » : critères de cyber-sécurité concernant des matériels ou logiciels individuels.
  • Reprennent les travaux relatifs à ISA 99, mais ceci n’est pas clair. La dernière version en date de ISA 99-02 est donc en fait IEC 62443-2-1.

• ISA – International Society of Automation
  • Organisme de référence pour le métier de l’automatisme industriel
  • Intègre une branche d’activité « cyber-sécurité » qui a produit les référentiels ISA 99, dont pour l’instant existent les deux premiers « cahiers » (99-01 et 99-02), censés reprendre à peu près les mêmes sujets qu’ISO 2700x.
  • NDLR : Activité relativement faible, se sont fait rattraper par NIST qui publie des documents plus à jour. De plus ce référentiel est en cours de transfert vers l’IEC, avec un manque de visibilité sur l’avancement des travaux.

Les documents de ces organisations sont le plus souvent payants, les organisations devant apparemment s’auto-financer au moins en partie…

Les « américains »

Tous les documents sont en « libre service » – financés par le contribuable états-unien ! Les documents sont cependant tout à fait pertinents à l’international. La qualité (lisibilité, pertinence) est très variable suivant les institutions.

US-Canada

• NERC : North-american Electrical Reliability Corporation – la norme CIP (Critical Infrastructure Protection) est auditable. Très contraignante (en gros, l’ensemble des mesures ISO 27002 ou NIST SP 800-53 doivent être appliquées), elle est également critiquée par le fait qu’elle s’applique en fait à très peu d’installations : tous les sites de production ou les infrastructures de production d’électricité de 1500MW ou plus.

Organismes fédéraux états-uniens

• NIST : National Institute for Standards and Technology :
  • Produits des référentiels de bonnes pratiques, dont la série cyber-sécurité : NIST SP[1] 800-xx.
  • SP 800-53 est comparable à ISO 27002 : ensemble de mesures (‘controls’) sur tous les aspects d’un SI.
  • SP 800-82 est une version spécifique au contrôle-commande, et de très bonne qualité, de plus sa version finale a été publiée en Juin 2011, donc très à jour.
• FIPS : Federal Information Processing Standards - normes s’appliquant à tous les établissements fédéraux (sauf militaires) et leurs fournisseurs
  • FIPS 199 et 200 concernent la cyber-sécurité, s’appuient sur NIST pour aspects techniques.
  • FIPS 199 définit les règles de classification des informations par criticité.
  • FIPS 200 indique les niveaux de sécurité à atteindre suivant cette criticité, et pointe sur NIST 800-53 pour les mesures à mettre en place. Ces documents utilisent un jargon administratif, différent du jargon « normal » de la sécurité informatique, et sont de ce fait difficilement lisibles.

Organismes « ministériels » états-uniens

• DHS : US Department of Homeland Security. Produit des référentiels, assure des rôles de veille (US-CERT et CERT ICS) et produit des études notamment en collaboration avec les National Labs.
  • CCSS : ‘Catalog of Control Systems Security: Recommendations for Standards Developers’.  Document de Juin 2010 équivalent de SP 800-53 mais adapté au contrôle-commande. En principe, devrait donc être remplacé par le SP 800-82 qui a le même objectif, et dont la version finale a été publiée en Juin 2011
  • Fournit également des outils d’auto-évaluation CSSP et son outil informatique associé CSET (Cyber Security Evaluation Tool) qui supporte les différentes normes US finalisées en 2010, donc à l’exception notable de SP 800-82. Cet outil devrait prochainement supporter ISA 99. NDLR : pour l’avoir testé, l’outil produit de jolis rapports mais nécessite un peu de reprise (quelques bugs pénalisant en temps)
• DOE : US Department of Energy.
  • Les différents documents DOE 205 définissent les obligations de politique de sécurité et niveaux de sécurité à atteindre, au sein des installations de production d’énergie et de cycle du combustible nucléaire, pour la partie bureautique.
  • La partie contrôle commande est définie par les documents NERC CIP (pour les installations critiques). Au même titre que les documents FIPS, sur-emploient à la fois jargon administratif et acronymes, et sont donc difficiles à aborder – mais par chance indiquent essentiellement qu’il faut respecter FIPS 199 et 200, ainsi que les NIST SP…
• NEI : Nuclear Energy Institute – les règles NEI-08 ont la même fonctions que les DOE 205 (exigent établissement d’une politique de sécurité) mais pour les installations d’enrichissement d’uranium et centrales nucléaires. Elles font référence à des normes du DOD et à d’autres référentiels NEI – c’est donc tout un environnement spécifique qui mériterait une étude à elle seule.
• DOD : Departement of Defense – n’ayant pas eu l’occasion de travailler sur des sujets dépendants de ce ministère, je n’ai pas d’information à partager.

Tags: France, ISA, ISO, NIST, Normes, Références