L’ISA (International Society of Automation) a entamé voilà déjà plusieurs années un travail visant à produire un ensemble de référentiels de cyber-sécurité, sous la numérotation générique ISA-99-xx, qui pourraient être les équivalents pour l’industrie de la série ISO 2700x.
Malheureusement, ce travail (très intéressant sur le fond) est aujourd’hui non seulement interrompu dans un état inachevé, mais aussi dans une forme ne permettant pas une utilisation pratique… Lire la suite »
Après la connexion généralisée des intranets à l’Internet, on note une tendance forte à interconnecter également les réseaux de production et de gestion. Malgré les avantages, le conservatisme des responsables de production s’y oppose souvent.
Et on les comprend a priori : de nombreux accidents industriels répertoriés sont le fait d’une interconnexion mal pensée du réseau de production à fins de monitoring ou de contrôle distant, de remontée automatique de données, ou simplement d’accès internet en production… (voir les références données en bas de cet article) Lire la suite »
Deux auteurs ont récemment publié des alertes concernant la possibilité d’utiliser le code de Stuxnet, ou plus exactement, sa méthode d’injection de code dans les automates, sans avoir besoin d’aucune connaissance technique SCADA ou automates.
Dillon Berresford a ainsi démontré ce printemps la possibilité d’utiliser des attaques de type « Replay » sur des automates Siemens S7, et, pour sa part, Ralph Langer a détaillé le code pouvant être ainsi injecté, pour programmer une « bombe logique ». Lire la suite »
Le concept du « test de l’opérateur » présenté dans cet article est particulier aux environnements industriels. Il s’apparente au test du « stagiaire » dans les environnements « bureautique », où il s’agit de tests d’intrusion à partir d’un poste déjà connecté au réseau, en principe avec des droits limités. Lire la suite »
Comme on l’a vu dans un précédent article, il y a un nombre réduit de référentiels industriels, dont un « international », et les autres états-uniens. Dans cet article je présente de manière synthétique ces quatre référentiels, puis je repasserai en revue chaque norme dans de futurs articles, avec des commentaires concernant leur intérêt, basés sur à la fois sur leur étude théorique, et sur la mise en pratique.
Note rajoutée en Juillet 2014 : cet article commence à dater, et si le sujet vous intéresse, je vous invite à consulter le document du CLUSIF qui vient juste de paraître, et qui a le même objectif d’analyse critique des référentiels de cybersécurité industrielle ! Lire la suite »
Cet article fait suite à l’article d’introduction de ce blog, qui définissait la cyber-sécurité industrielle, et indiquait que l’approche classique de criticité de l’information (analyse centrée sur l’information) n’était pas appropriée à l’analyse de risques en environnement industriel.
Cet article donne des éléments sur les approches à utiliser pour une analyse de risques en environnement « contrôle-commande ». Dans un prochain article, je décrirai une méthode pragmatique que j’ai utilisée sur des cas concrets. Lire la suite »
Cet article présente les différents référentiels relatifs à la sécurité des SIs : les français, les internationaux et les nord-américains. Il présente les différents types de référentiels (guides, normes, études faisant référence, capitalisation et bilans, et autres documents utiles), et pour chaque type indique les principaux documents et donne des exemples.
Un tableau présente synthétiquement ces principaux référentiels – il sera mis à jour en fonction des évolutions (et de vos éventuels et bienvenus commentaires). Lire la suite »
Difficile d’imaginer un blog sur la cyber-sécurité industrielle sans son chapitre « Stuxnet », non pas seulement parce que c’est un sujet très à la mode en cyber-sécurité (ce qui est vrai), mais surtout parce que cela a de nombreux et importants impacts dans le domaine de la protection des installations industrielles.
Stuxnet sera décrit en détails plus bas, mais rappelons déjà en quelques lignes qu’il s’agit d’un logiciel malveillant particulièrement impressionnant à plusieurs points de vue Lire la suite »
Trois types d’organismes peuvent nous concerner en France : les organismes nationaux, internationaux, et nord-américains. On peut s’interroger sur la pertinence de la troisième catégorie : on verra dans un article ultérieur, que ceux-ci sont particulièrement utiles dans le domaine industriel. Lire la suite »
Il y a deux types d’approches des besoins de l’industrie, en caricaturant un peu :
- ceux qui parlent de sécurité des systèmes d’information industriels
- ceux qui parlent de la cyber-sécurité des installations critiques
Ce n’est pas qu’une différence de termes, cela se traduit par deux approches différentes, que je développe ci-dessous. Lire la suite »