Liste de ressources francophones sur la cybersécurité, régulièrement mise à jour (industrie, infrastructures critiques…)

Sélection de publications francophones

Juillet 2015 : « Guide d’implémentation de la LPM pour les OIV« , document de l’INHESJ cosigné par des RSSI d’OIV, donc bien informé, mais restant à un niveau assez générique par la force des choses (le détail des exigences étant classé diffusion restreine, difficile dans un document public de donner le détail de la manière de les adresser). Focalisation sur les aspects organisationnels et quelques oublis (coût de la veille-CERT et segmentation réseau peu abordés alors que très dimensionnant).

Juillet 2015 : numéro 3 2015 de la Revue de l’Electricité et de l’Electronique, intégrant un livre blanc de 40 pages traitant de « La cybersécurité des réseaux électriques intelligents », produit par un collectif de la SEE (Société de l’électricité, de l’électronique et des technologies de l’information et de la communication)

Juin 2015 : publication aux éditions Cépaduès d’un livre dédié à la « Cybersécurité des installations industrielles » par un collectif, dont constructeurs, opérateurs, ANSSI, DGA…

Mars 2015 : ISA flash avec analyse comparative des approches « SL » de l’ISA (IEC 62443) et des « classes » de l’ANSSI – disponible sur le site de l’ISA dans la rubrique ISA flash : isa-france.org

Décembre 2014 : Cinq ans après StuxNet – Où en sommes nous avec la cybersécurité des installations industrielles ? (intervention au CLUSIF de Thierry Cornu)

Juillet 2014 : panorama des référentiels de cybersécurité industriels, par le CLUSIF

Juillet 2014 : dossier « Cybersécurité industrielle » dans le magazine MISC (disponible sur le site des Editions Diamond)

Mai 2014 : Guide belge de la cybersécurité (voir aussi présentation par N. Caproni sur son blog)

Jan 2014 : documents normatifs de l’ANSSI sur la classification et les mesures de cybersécurité pour l’industrie (voir aussi le billet à ce sujet sur ce blog)

Sept 2013 : article d’un collègue sur le site de Global Security Mag

Mai 2013 : résumé des interventions au Black Hat Europe 2013 par Advens, avec une conférence (« 7: WHo’s really attacking your ICS devices? ») sur le sujet industriel

Avril 2013 : étude Gartner sur « La convergence accrue entre informatique et technologies opérationnelles crée des risques de défaillance des entreprises », dans Perspectives N°85 (NDLR technologies opérationnels -> incluant et en fait concernant principalement les systèmes d’information industriels)

Aout 2013 : le site de l’entreprise québecoise CFSSI maintient une liste d’actualité intéressante

Avril 2013 : livre blanc sur le Défense et la Sécurité Nationale, avec développement important du sujet notamment pour les OIV (lien vers article du blog cyber-securite.fr)

Jan 2013 : le magazine de la gendarmerie nationale consacré à la cybersécurité (merci www.cyber-securite.fr pour l’info).

Jan 2013 : seconde édition d’une session du CLUSIR dédiée à la cybersécurité industrielle (Lyon)

Déc 2012 : liste de 30 blogs francophones traitant de la cybersécurité, auquel il convient de rajouter le blog à la source de la liste, soit http://www.cyber-securite.fr !

Oct 2012 : assises de la sécurité à Monaco. Comme il y a plusieurs sites qui ont fait des dossiers intéressants, j’ai fait un article dédié sur ce blog pour les répertorier.

Sep 2012 : panarama 2011 de la cybercriminalité par le CLUSIF (excellente présentation, quoique des bêtises dans la partie SCADA avec la fausse alerte de Springfield). Traditionnellement le CLUSIF donne un libre accès aux supports 6 mois après les conférences.

Août 2012 : article avec un bon panorama du sujet sur linux.org (et avec de bonnes références

Juillet 2012 : rapport « Bockel » du sénat sur le niveau de risque cybersécurité et le retard français, et analyse intéressante par Marc Jacob (Global Security Magazine)

Juin 2012 : guide de l’ANSSI intitulé « Maîtriser la SSI pour les systèmes industriels« , accompagné d’un « Cas pratique« . Voir l’article de ce blog sur le sujet.

Mai 2012 : présentation par HSC à l’OSSIR – pas très poussé mais bonnes présentations des architectures réseaux et protocoles types, et attaques sur automates

Avril 2012 :Article TTU « Nouvelle frontière pour le Pentagone : La cybersécurité, entre domination technologique et risque systèmique »

mars 2012 : article de la Tribune « La cybersécurité devient un secteur stratégique pour l’industrie de la défense »

Jan 2012 : perspective sombres pour l’industrie, interview Clusif dans l’Usine Nouvelle

Nov 2011 : Conférence « Cybersécurité industrielle » du CLUSIR Rhône-Alpes, avec témoignages

ASF-WS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques, by Application Security Forum – Western Switzerland on Oct 31, 2011

Le site français de l’ISA présente notamment la norme ISA 99, notamment dans l’ « ISA Flash » N°43 (oct. 2011), disponible en téléchargement.

Revue ActuSecu N°27 (fév. 2011) de la société de conseil XMCO, essentiellement dédiée à Stuxnet : analyse détaillée avec historique, tous les aspects (techniques, impacts, théories concernant les auteurs et objectifs…) – bien rédigée, lecture intéressante.

Rapport de l’Exera « LA CYBER-SECURITE DES SYSTEMES DE CONTROLE-COMMANDE » (Nov 2010, nécessite d’être membre et d’acheter le document) : propose une introduction au sujet, les points clés d’ISA 99 notamment l’approche d’analyse de risques, les notions de couches, zones, conduits, et la mise en oeuvre du CSMS (système de management de la sécurité). Le rapport inclut aussi des rappels sur les notions de DMZ et pare-feux, ainsi qu’une bibliographie intéressante, quoique essentiellement en anglais…

A noter aussi un CD reprenant toutes les interventions lors de la Journée Technique de l’Exera, consacrée à la cybersécurité, le 13 octobre 2010, dont la présentation du rapport mentionné ci-dessus – il ne semble pas possible de le commander sur le site de l’Exera, il faut donc activer votre réseau !

Article de ZDNet France (Christophe Auffray) sur les assises de la sécurité à Monaco (oct. 2010) : bon état des lieux par différents conférenciers concernant l’augmentation du risque dans l’industrie, le fait que les RSSI devraient être amenés à s’y intéresser, ainsi que le problème de la légitimité des acteurs de la DSI dans l’environnement de production.

Le livre blanc d’Euriware sur la sécurité des SI industriels (2010) : comparaison détaillée entre la sécurité des SIs « de gestion » et « industriels » selon la terminologie d’Euriware, avec indication de quelques outils et méthodes.

Présentation par Hervé Schauer (HSC – référence du conseil en sécurité), à NetFocus le 16 Avril 2010 : un point assez direct mais pertinent sur les vulnérabilités, et le point clé en termes de mesures : mettre en place une PSSI.

La présentation d’ISA France au 4e forum international de la cybercriminalité en mars 2010 à Lille, pré-Stuxnet mais presque visionnaire !

Conférence du président d’ISA France « La cybersécurité des automatismes et des systèmes de contrôle de procédé » (déc. 2009) : intéressant point de vue présentant la cybersécurité comme composante de la sûreté fonctionnelle, bonne introduction à ISA 99.

Version française de la norme NERC CIP (décrite dans cet autre article).  Traduction effectuée par Hydro Québec – le lien ouvre le premier document, changer le numéro 002 de l’URL en 003 etc. pour avoir les autres chapitres.

Courte présentation du CLUSIF : « SCADA : Qui ? Quoi ? Comment ? » (juin 2009) : présentation de la situation, des incidents d’origine accidentelle ou malveillante, principales caractéristiques des SCADAs, et annonce d’un groupe de travail (pas de nouvelles depuis…).

« Vos réseaux sont-ils en cybersécurité ? », Article du magazine Mesures (mai 2008) : très bon tour d’horizon avec tous les experts (CERN, ISA, Club Automation, Minefi), statistiques, principales approches…

Compte-rendu du Club Automation sur la journée INRS info&débat portant sur la « Cybersécurité des systèmes industriels » (mars 2008), avec quelques questions principales et pistes pour démarrer une démarche.

Plaquette du ministère de l’Economie, des Finances et de l’Emploi (Minefi), « Protégez votre informatique industrielle » (mars 2008) : points clés concernant les idées fausses et l’approche à utiliser avec, naturellement, une analyse de risques comme point de départ.

Une présentation de RTE dans le cadre du CLUSIF : « Enjeux de sécurité des infrastructures SCADA pour le transport de l’électricité » (avril 2007) : notamment principe de séparation et cloisonnement du réseau industriel (N.B. point largement remis en cause  depuis lors, voir l’article « interconnexion des Réseaux » dans ce même blog)

Revue ABB « Sécurité des systèmes informatiques industriels » (2005) : datée forcément, mais la troisième partie consacrée aux normes permet d’avoir un aperçu de l’historique d’ISA 99 et de IEC 62443. Ce volet est disponible en téléchargement sur internet (rechercher par google), les précédents peuvent être commandés, mais au vu de l’ancienneté, ne sont probablement plus pertinents.

Tags: France, Industriel, Menaces, Réseau, Risques, SCADA