Cybersécurité industrielle
L’ISA (International Society of Automation) a entamé voilà déjà plusieurs années un travail visant à produire un ensemble de référentiels de cyber-sécurité, sous la numérotation générique ISA-99-xx, qui pourraient être les équivalents pour l’industrie de la série ISO 2700x. [...] Lire la suite
Après la connexion généralisée des intranets à l’Internet, on note une tendance forte à interconnecter également les réseaux de production et de gestion. Malgré les avantages, le conservatisme des responsables de production s’y oppose souvent.
Et on les comprend a priori [...] Lire la suite
Deux auteurs ont récemment publié des alertes concernant la possibilité d’utiliser le code de Stuxnet, ou plus exactement, sa méthode d’injection de code dans les automates, sans avoir besoin d’aucune connaissance technique SCADA ou automates.
Dillon Berresford a ainsi démontré [...] Lire la suite
Le concept du « test de l’opérateur » présenté dans cet article est particulier aux environnements industriels. Il s’apparente au test du « stagiaire » dans les environnements « bureautique », où il s’agit de tests d’intrusion à partir d’un poste déjà connecté au réseau, en [...] Lire la suite
Comme on l’a vu dans un précédent article, il y a un nombre réduit de référentiels industriels, dont un « international », et les autres états-uniens. Dans cet article je présente de manière synthétique ces quatre référentiels, puis je repasserai en [...] Lire la suite
Cet article fait suite à l’article d’introduction de ce blog, qui définissait la cyber-sécurité industrielle, et indiquait que l’approche classique de criticité de l’information (analyse centrée sur l’information) n’était pas appropriée à l’analyse de risques en environnement industriel.
Cet [...] Lire la suite
Cet article présente les différents référentiels relatifs à la sécurité des SIs : les français, les internationaux et les nord-américains. Il présente les différents types de référentiels (guides, normes, études faisant référence, capitalisation et bilans, et autres documents utiles), et [...] Lire la suite
Difficile d’imaginer un blog sur la cyber-sécurité industrielle sans son chapitre « Stuxnet », non pas seulement parce que c’est un sujet très à la mode en cyber-sécurité (ce qui est vrai), mais surtout parce que cela a de nombreux et importants [...] Lire la suite
Trois types d’organismes peuvent nous concerner en France : les organismes nationaux, internationaux, et nord-américains. On peut s’interroger sur la pertinence de la troisième catégorie : on verra dans un article ultérieur, que ceux-ci sont particulièrement utiles dans le domaine [...] Lire la suite
Il y a deux types d’approches des besoins de l’industrie, en caricaturant un peu :
- ceux qui parlent de sécurité des systèmes d’information industriels
- ceux qui parlent de la cyber-sécurité des installations critiques
Ce n’est pas qu’une différence de [...] Lire la suite