Les spécificités de la sécurité des SI Industriels (SII)

Il y a deux types d’approches des besoins de l’industrie, en caricaturant un peu :

  • ceux qui parlent de sécurité des systèmes d’information industriels
  • ceux qui parlent de la cyber-sécurité des installations critiques

Ce n’est pas qu’une différence de termes, cela se traduit par deux approches différentes, que je développe ci-dessous.

La sécurité des SI Industriels, ou SII

Les acteurs de la sécurité du système d’information qui se penchent sur les besoins industriels, appliquent leur grille d’analyse standard sur l’information gérée, et arrivent rapidement à la conclusion suivante :

  • en SI de Gestion, si on considère le triptyque DIC [1], C est généralement le plus critique, puis I ou D : c’est la confidentialité, la protection du patrimoine intellectuel, qui prime,
  • en SI Industriel, D est en premier : il s’agit avant tout d’assurer la Disponibilité, en second l’Intégrité, et la Confidentialité est moins critique

Cette analyse est correcte, et permet dans une certaine mesure d’adapter les approches SSI à des problèmes industriels. J’ai d’ailleurs vu des analyses de risques réalisés à partir de cette grille. Néanmoins on constate rapidement les limites de l’approche comme on va le voir.

La cyber-sécurité industrielle

Les « références » en terme de cyber-sécurité industriels, les individus tels Joe Weiss ([2]), Eric Byres ([3]) ou Ralph Langer ([4]), et les organisations telles le DHS (US Dept. of Homeland Security) ou le NIST (National Institute for Standards an Technology), développent une approche spécifique de la cyber-sécurité des installations critiques, en se détachant dans un premier temps des besoin en termes de DIC des informations gérées par le système.

D’ailleurs, parce que les références sont en Anglais, ce blog utilisera souvent les termes anglo-saxons. D’autres articles de ce blog présenteront ces référentiels en indiquant leur utilité pratique, y compris chez nous !

Les différents acteurs cités plus haut viennent plutôt de l’environnement industriel, et au lieu d’adapter les concepts de la SSI, utilisent plutôt les concepts bien maîtrisés par les automaticiens, à savoir la sûreté de fonctionnement, avec des évaluations de criticité prenant en compte les impacts sur l’information (quand même), mais également sur les biens, sur la capacité de production, sur les personnes (accidents…), et sur l’environnement. La bannière du site web de Ralph Langer me semble parfaitement illustrer le sujet : « When there is more at risk than just data » (Quand le risque ne porte pas seulement sur les données)

Il s’agit donc de changer de « paradigme » comme on dit : oublier la « sécurité du système d’information », et penser « sûreté de fonctionnement du système industriel ». D’ailleurs, l’aspect cybersécurité est abordé, quoique à la marge, dans la norme de sécurité fonctionnelle IEC-61508 et ses dérivés (61511…). En effet on y trouve 4 critères de sécurité, dont le 4e est l’analyse de la résistance aux agressions. Parmi les agressions, on trouve également 4 types d’attaques dont la 4e est la cybercriminalité.

Les différences entre les approches « sécurité SI industriels » et « cybersécurité industrielle » concernent avant tout l’analyse de risques, préalable à tout travail sur la sécurité que ce soit SII ou cybersécurité. En particulier, les méthodologies de type EBIOS ou Mehari, qui respectent le référentiel ISO 27005, sont le plus souvent très peu adaptés à des systèmes industriels. Ce point est développé dans un autre article de ce blog.

En termes d’analyse de risque, dans la mesure où les pannes, fausses manipulations, erreurs etc… sont déjà prises en compte dans des analyses de risques de sécurité, les analyses de cyber-sécurité se focalisent en général sur la résistance aux attaques (volontaires). Il arriver de déroger à ce principe pour prendre en compte des situations particulières, mais c’est également un différenciant fort des analyse de risques sur les systèmes d’information, où on vérifie, pour faire ce peu, d’un disque dur qui tombe en panne, ou l’effacement accidentel d’un fichier, ne cause pas de pertes significative à l’entreprise.

 


[1] DIC - les trois critères souvent utilisés pour définir la criticité d’une information sont : sa Disponibilité, sa Confidentialité, et son Intégrité. A cela se rajoute quelquefois un quatrième : la Preuve, ou non-répudiation, i.e. l’assurance de pouvoir identifier la personne ayant créé ou modifié une information. (note: un article postérieur à celui-ci a été publié sur ce blog pour détailler ces critères)

[2] Voir son Blog en Anglais : http://community.controlglobal.com/unfettered

[3] Directeur de Byres Security, produisant notamment les produits de sécurité industriels Tofino

[4] Directeur de Langner Communications GmbH, s’est illustré en étant l’un des premiers à décortiquer le virus Stuxnet et en produisant étape par étape, sur son blog, une analyse brillante

Article révisé en 2016 pour mise en cohérence avec les autres articles plus récents de ce blog, intégrant l’expérience de 5 ans de pratique!

Tags: , ,

1 commentaire sur “Les spécificités de la sécurité des SI Industriels (SII)”

  1. [...] article fait suite à l’article d’introduction de ce blog, qui définissait la cyber-sécurité industrielle, et indiquait que l’approche classique de [...]

Ajouter un commentaire

Note: Vous êtes responsable de vos commentaires, veillez à rester courtois et factuel. En postant votre commentaire, vous accordez de fait un droit de diffusion à Secur'id.