SlideShare une entreprise Scribd logo

Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente

BEIJAFLORE
BEIJAFLORE

Le volume des cyberattaques est en constante croissance depuis quelques années et, fait nouveau, des outils et virus ciblés SII (Systèmes d'Information Industriels) ont fait leur apparition. Quels sont les impacts sur vos systèmes de contrôle ? Au-delà des probables pertes de production, quels dégâts physiques et humains anticiper si ces modifications sont faîtes sur vos systèmes de sécurité ? La culture et les modes opératoires industriels très éloignés de ceux de l'informatique de gestion nécessitent une réponse adaptée. Fort de son expérience tant sur des projets industriels que sur des usines existantes, en Europe, Asie et USA, Beijaflore a souhaité partager avec vous quelques questions importantes et éléments concrets de solutions pour renforcer la protection de vos infrastructures industrielles. Pour + d'infos sur l'offre Risk & Security du cabinet : bit.ly/1N4bF8y

Services
1  sur  12
Télécharger pour lire hors ligne
Cybersécurité en milieu industriel un constat alarmant, une prise de conscience encore trop lente Mars 2015 Livre Blanc
Chers clients, Vos processus industriels s’appuient sur des automates électroniques et mécaniques, capteurs d’informations électroniques ou actionneurs, pilotés par des systèmes de contrôle et de sécurité/sûreté. Cet ensemble définit votre système d’information industriel (SII). Ce dernier repose sur les mêmes technologies que le système d’information d’entreprise (SIE) : communications réseau TCP/IP et systèmes Microsoft ou Unix. Votre SII regorge d’informations que le management de vos entreprises souhaite consulter parfois en temps quasi réel. Par ailleurs, la direction des opérations industrielles déploie de plus en plus des fonctions de pilotage à distance, interconnectées. Votre SII est et sera de moins en moins isolé du SIE et de fait plus exposé aux cybermenaces classiques. Le volume des cyberattaques est en constante croissance depuis quelques années et, fait nouveau, des outils et virus ciblés SII ont fait leur apparition. Modification de la logique, mise en place d’inhibiteurs… Quels sont les impacts sur vos systèmes de contrôle ? Au-delà des probables pertes de production, quels dégâts physiques et humains anticiper si ces modifications sont faites sur vos systèmes de sécurité ? La culture et les modes opératoires industriels très éloignés de ceux de l’informatique de gestion nécessitent une réponse adaptée. Forts de notre expérience tant sur des projets industriels que sur des usines existantes, en Europe, Asie et USA, nous avons souhaité partager avec vous quelques questions importantes et éléments concrets de solutions pour renforcer la protection de vos infrastructures industrielles. Je vous laisse parcourir ce livre blanc et me tiens à votre disposition pour enrichir nos réflexions mutuelles. Maxime de JABRUN, Security & Risk Management VP, Head of Risk & Security Le mot du responsable de la Practice Risque & Sécurité
Table des matières Attaques et incidents de cybersécurité en milieu industriel : mythe ou réalité ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 L’évolution des SII : standardisation technologique et multiplication des interconnexions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 De nouveaux risques mal pris en compte par les industriels. . . . . . . . . . . . . 7 Les processus opérationnels et la gestion du changement ne prennent pas en compte la cybersécurité . . . . . . . . . . . . . . . . . . . . . . . . 8 La culture industrielle face au défi de la cybersécurité . . . . . . . . . . . . . . . . . 9 Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Livre Blanc Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente 5 Depuis 2009, les cyberattaques ciblant les systèmes d’information industriels (SII) sont de plus en plus sophistiquées. Les virus tels que Stuxnet, Night Dragon, Duqu ou Flame démontrent que la menace se précise, qu’elle s’industrialise et que les cyber-attaquants sont capables de mobiliser des moyens importants pour arriver à leurs fins qu’elles soient concurrentielles, hacktivistes ou étatiques. Ces cyberattaques génèrent parfois pour les entreprises d’importantes pertes financières(1) souvent liées à l’arrêt de leur activité, mais il arrive également que ces attaques provoquent des dégâts (incendie, explosion, rejet de matière dangereuse,…). En effet, les SII ne sont pas uniquement le support de flux d’information, ils contrôlent des processus industriels supportés par des automates dont les actions peuvent avoir des conséquences physiques considérables si leur logique est modifiée. Face à l’explosion de la cybercriminalité, la cybersécurité est devenue un enjeu essentiel à intégrer dans les processus industriels critiques. Les menaces les plus récentes ciblent directement les composants des systèmes de contrôles (le malware Havex exploite directement le protocole de communication OPC largement utilisé dans l’industrie). Cependant, les cyberattaques ne sont pas les seules menaces qui pèsent sur les SII. Les erreurs humaines, en particulier les négligences des règles de sécurité peuvent avoir des impacts bien plus préjudiciables pour les entreprises, leurs salariés, l’environnement et les populations. En 2010, le contournement des règles de sécurité a provoqué une marée noire depuis la plateforme pétrolière exploitée par British Petroleum (BP) au large du Golfe du Mexique. Bilan : 11 morts et quelque 16 milliards de dollars de dédommagements financiers ! En 2013, McAfee a estimé qu’au moins 375 milliards de dollars de pertes étaient attribuables aux attaques et incidents de cybersécurité. Ces incidents sont pour la plupart non divulgués publiquement et très rarement partagés entre industriels. Ces exemples montrent le besoin d’accélérer la prise de conscience des industriels face à l’ampleur de la cybercriminalité. Attaques et incidents de cybersécurité en milieu industriel : mythe ou réalité ? (1) 2,86 millions d’euros était le coût moyen par incident d’un défaut de cybersécurité en 2012, selon l’étude «Cost of data breach» de Symantec et du Ponemon Institute. Il faut accélérer la prise de conscience des industriels face à l’ampleur de la cybercriminalité
Livre Blanc Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente 6 Depuis une vingtaine d’années, afin de réduire leurs coûts de développement, les fournisseurs de systèmes industriels ont remplacé leurs systèmes propriétaires par des technologies standardisées et disponibles du grand public. Des composants informatiques standards sont désormais derrière chaque système de contrôle et équipement industriel ! Les interfaces Homme-Machine ? Microsoft Windows. L’automate programmable ? Un dérivé d’Unix. Quelle maîtrise en ont les industriels ? Bien faible, lorsque l’on compare SII et SIE. Par ailleurs, les industriels montrent un intérêt grandissant à pouvoir offrir à leurs utilisateurs la possibilité d’accéder aux données de leurs SII en temps réel et depuis n’importe quel point du globe. Les réseaux industriels ont multipliés les interconnexions avec les systèmes d’information d’entreprise (SIE). Ils sont par ailleurs de plus en plus ouverts sur le monde extérieur, vers les réseaux distants des fournisseurs, via internet, pour faciliter la maintenance et réduire significativement les délais et coûts d’intervention sur incidents. Enfin, les avancées techno- logiques en matière de mobilité (ex. tablette smartphone) sont fortement adoptées par les responsables de production dans de nombreuses industries. A quand le déport de console sur iPad ? L’évolution des SII : standardisation technologique et multiplication des interconnexions L’informatique grand public est désormais derrière chaque système de contrôle et chaque équipement industriel
Livre Blanc Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente 7 Toutes ces avancées ont apporté de la valeur aux industriels mais avec leur lot de nouveaux risques. Les acteurs de la chaîne industrielle sont désormais tous concernés par les vulnérabilités déjà connues des SIE. Et ils doivent être impliqués dans leur prévention : le client final, son sous-traitant du composant industriel, son sous- traitant de l’automate… et le sous-traitant qui a installé l’interface homme-machine de l’automate. Une complexité contractuelle qui, hélas, voit la responsabilisation si ce n’est la responsabilité des acteurs se diluer, faute de maturité. Les équipes opérant la chaîne de production et assurant la maintenance manquent de compétences IT. Bien souvent, les mécanismes de sécurité essentiels font ainsi défaut. De nombreuses pratiques à risque constatées en témoignent : • Les fournisseurs ne qualifient que très rarement la compatibilité des correctifs avec leurs systèmes. Les systèmes d’exploitation et les applications ne sont ainsi pas mis à jour ; • Des systèmes obsolètes (ex. Windows XP) sont parfois déployés durant les projets ; • Les politiques de gestion de mots de passe sont trop rares, cela se traduit systématiquement par des mots de passe usine que les fournisseurs laissent sur les systèmes de leurs clients, mots de passe parfois triviaux ; • Les services inutilisés et accessibles depuis le réseau ne sont pas désactivés ; les ports physiques (ex. USB) ne sont pas sécurisés. Les déploiements technologiques et les ouvertures de flux sont rarement intégrés dans une politique de sécurité globale augmentant ainsi l’exposition aux cyber risques. La volonté de bien faire est parfois mitigée par quelques controverses : • Les réseaux SIE et SII sont filtrés par des firewalls mais un équipement est connecté sur les deux réseaux contournant ainsi la protection mise en place ; • Des antivirus sont installés sur les postes de travail et serveurs Windows du SII, cependant ils ne sont que rarement mis à jour limitant ainsi leur efficacité face aux attaques virales ; • Des architectures avancées à base de firewall et DMZ sont définies mais les règles de filtrage sont trop permissives, ne permettant pas la maîtrise des échanges inter-réseaux. Des nouveaux risques mal pris en compte par les industriels On constate de nombreuses pratiques à risque : déploiement de systèmes obsolètes, mots de passe triviaux, ports USB non sécurisés…
Livre Blanc Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente 8 Appliquer à l’identique les mesures de sécurité du SIE sur les SII ne peut pas fonctionner. En effet, l’industrie possède de nombreuses spécificités qui nécessitent de définir la cybersécurité en prenant en compte les aspects ou contraintes liés à la chaîne de valeur et au cœur de métier des opérateurs. Tout en tenant compte de l’environnement industriel (cycle de production 24/7, mesures de sûreté, durée de vie étendue des installations, etc.), la sécurité doit s’intégrer de manière appropriée et mesurée, et rester en cohérence avec les nombreux enjeux métiers. Par exemple, la question de la mise à jour des systèmes d’exploitation et des applications illustre les problématiques que pose l’intégration de la cybersécurité au sein des processus opérationnels : • l’exposition grandissante des SII et le volume de correctifs en provenance des éditeurs la rendent nécessaire ; • du point de vue opérationnel, la règle du maintien en l’état des systèmes tant qu’aucun incident ne survient persiste, et est souvent confortée par de forts enjeux métiers, comme la production en flux tendu. Intégrer la cybersécurité comme activité opérationnelle est trop souvent perçu comme une contrainte, peu soutenue par les personnels et fournisseurs industriels. De plus la sécurité est souvent désactivée pour implémenter les modifications dans les systèmes, et n’est pas réactivée par la suite faute de maîtrise. Cette mauvaise pratique opérationnelle est parfois due au manque de définition du processus de gestion du changement sur les composants informatiques, qui ne prend pas en compte correctement la cybersécurité. Néanmoins les nouveaux projets commencent à intégrer une spécification cybersécurité. Les processus opérationnels et la gestion du changement ne prennent pas en compte la cybersécurité Appliquer à l’identique les mesures de sécurité du SIE sur les SII ne peut pas fonctionner
Livre Blanc Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente 9 La maturité de l’informatique industrielle semble suivre celle de l’informatique de gestion et de la supply chain avant elle. Les initiatives gouvernementales (OIV en France, protection des infrastructures critiques aux USA) et la standardisation des pratiques de cybersecurité des systèmes de contrôle telle IEC 62443 démontre la prise de conscience d’une nécessaire amélioration. Initialement les systèmes étaient basés sur Unix pour les stations opérateurs, avec des communications propriétaires vers les automates. Puis dans les années 90, les systèmes client-serveur ont basculé sur Microsoft, avec des protocoles de plus en plus ouverts et complexes (protocole OPC et réseaux TCP/IP). Et maintenant, les accès Internet, le Wifi, les terminaux mobiles investissent les usines. La gestion du risque est beaucoup plus prégnante dans l’industrie car elle est inhérente au métier. L’analyse de risques est un exercice courant et sera facilitée par le métier. La modélisation du périmètre est généralement plus aisée et change assez peu dans le temps. Les impacts des risques sont souvent très bien pris en compte par les personnels qui ont une bonne compréhension des procédés industriels sous-jacents. Cependant le métier est d’ordinaire habitué aux évènements quantifiables et non forcés, l’évaluation de la probabilité des risques de cybersecurité nécessitera de prendre des précautions particulières. De nombreux points d’appui faciliteront l’intégration de la cybersécurité et participeront à la réduction rapide des risques : • La culture risque historique des automaticiens favorisera les initiatives cybersécurité ; • Les technologies de sécurité – en pratique inutilisables dans les SIE – telles que le whitelisting applicatif sont parfaitement adaptées aux SII ; • La gestion rigoureuse du cycle de vie, des phases de recette et de maintenance permet une meilleure maîtrise des risques. L’intégration de la cybersécurité dans la gestion des risques sera un levier essentiel de la lutte de l’industrie face aux attaques et incidents. La culture industrielle face au défi de la cybersécurité L’intégration de la cybersécurité dans la gestion des risques sera un levier contre les attaques et les incidents
Livre Blanc Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente Les systèmes d’information d’entreprise (SIE) ont vu leur sécurité largement progresser au cours des 15 dernières années, avec une implication croissante des éditeurs tels que Microsoft pour améliorer la sécurité de leur système. L’évolution des attaques informatiques s’est ainsi confron- tée à une sophistication des solutions des éditeurs de sécurité. Par ailleurs, des efforts constants durant cette période ont permis une forte sensibilisation des profes- sionnels IT au sujet des problématiques sécurité. Historiquement, le monde industriel a été préservé de ces problématiques et donc peu sensibilisé aux notions de cybersécurité. Nous constatons aujourd’hui que la plupart des systèmes de contrôle industriels ne sont pas sécurisés. Pourtant, ce faible niveau de sécurité des systèmes indus- triels expose aujourd’hui les entreprises à des risques forts de perte financière et d’image en cas d’indisponibilité des systèmes, voire de sûreté en cas de perte d’intégrité d’un système assurant la sécurité des personnes (alarme incendie par exemple). Néanmoins, le pragmatisme des industriels, leur discipline dans le respect des processus, leur culture de la sûreté et de la qualité sont autant d’atouts différenciants pour ce secteur qui lui permettront de rapidement atteindre le niveau de maturité requis. Conclusion
Designimpression:Solution www.beijaflore.com Contact : mdejabrun410@beijaflore.com Beijaflore Management SI - Tel. 01 44 30 91 09 w Directeur d’étude : Maxime de JABRUN Paris - Siège social Pavillon Bourdan 11-13 avenue du Recteur Poincaré 75016 Paris Bruxelles IT Tower Avenue Louise / Louizalaan 480 1050 Brussels Zurich Dufourstrasse 179 8008 Zürich CSSIIS

Recommandé

Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !Henri d'AGRAIN
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...StHack
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpmeVanbreda Risk & Benefits
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieApec
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 

Recommandé

Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !Henri d'AGRAIN
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...StHack
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpmeVanbreda Risk & Benefits
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieApec
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Alain EJZYN
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéNaully Nicolas
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...OpinionWay
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsEY
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Eric DUPUIS
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Lisa Lombardi
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceSymantec
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017NRC
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéChristian Charreyre
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéEChristophe-Alexandre PAILLARD
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...echangeurba
 

Contenu connexe

Tendances

Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéNaully Nicolas
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...OpinionWay
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Kiwi Backup
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsEY
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Eric DUPUIS
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Télécom Paris
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Lisa Lombardi
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceSymantec
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017NRC
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéChristian Charreyre
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...NetSecure Day
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 

Tendances (20)

Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
 
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
CapGemini - La "cybersécurité" vue par les collaborateurs - Par OpinionWay - ...
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels?
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 

En vedette

Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...echangeurba
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Sogeti : cybersécurité - conserver l’avantage dans la partie
Sogeti : cybersécurité - conserver l’avantage dans la partieSogeti : cybersécurité - conserver l’avantage dans la partie
Sogeti : cybersécurité - conserver l’avantage dans la partiepolenumerique33
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
Consultant(e) en Stratégie Opérationnelle - Headlink Partners
Consultant(e) en Stratégie Opérationnelle - Headlink PartnersConsultant(e) en Stratégie Opérationnelle - Headlink Partners
Consultant(e) en Stratégie Opérationnelle - Headlink PartnersBEIJAFLORE
 
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger imsIMS NETWORKS
 
Cloud & Cybersécurité, le socle de toute activité ?
Cloud & Cybersécurité, le socle de toute activité ?Cloud & Cybersécurité, le socle de toute activité ?
Cloud & Cybersécurité, le socle de toute activité ?POST Telecom for Business
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritépolenumerique33
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesCyber Security Alliance
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéAntoine Vigneron
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Business Analyst / Financial services or Industry (Beijaflore - Brussels)
Business Analyst / Financial services or Industry (Beijaflore - Brussels)Business Analyst / Financial services or Industry (Beijaflore - Brussels)
Business Analyst / Financial services or Industry (Beijaflore - Brussels)BEIJAFLORE
 
Beijaflore - Conseil en management
Beijaflore - Conseil en managementBeijaflore - Conseil en management
Beijaflore - Conseil en managementBEIJAFLORE
 
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeCours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeFranck Franchin
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsPRONETIS
 
Formation sur-mesure
Formation sur-mesureFormation sur-mesure
Formation sur-mesureBEIJAFLORE
 

En vedette (19)

Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Sogeti : cybersécurité - conserver l’avantage dans la partie
Sogeti : cybersécurité - conserver l’avantage dans la partieSogeti : cybersécurité - conserver l’avantage dans la partie
Sogeti : cybersécurité - conserver l’avantage dans la partie
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
Consultant(e) en Stratégie Opérationnelle - Headlink Partners
Consultant(e) en Stratégie Opérationnelle - Headlink PartnersConsultant(e) en Stratégie Opérationnelle - Headlink Partners
Consultant(e) en Stratégie Opérationnelle - Headlink Partners
 
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
2015 12-02 prez cybersécurité 5 secrets pour mieux vous protéger ims
 
Cloud & Cybersécurité, le socle de toute activité ?
Cloud & Cybersécurité, le socle de toute activité ?Cloud & Cybersécurité, le socle de toute activité ?
Cloud & Cybersécurité, le socle de toute activité ?
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécurité
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Business Analyst / Financial services or Industry (Beijaflore - Brussels)
Business Analyst / Financial services or Industry (Beijaflore - Brussels)Business Analyst / Financial services or Industry (Beijaflore - Brussels)
Business Analyst / Financial services or Industry (Beijaflore - Brussels)
 
Beijaflore - Conseil en management
Beijaflore - Conseil en managementBeijaflore - Conseil en management
Beijaflore - Conseil en management
 
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeCours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
 
Formation sur-mesure
Formation sur-mesureFormation sur-mesure
Formation sur-mesure
 
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaquesCyber Sécurité : Connaître son adversaire pour mieux parer les attaques
Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques
 

Similaire à Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente

Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielfEngel
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecuritesidomanel
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webWavestone
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetExaprobe
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...OpinionWay
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoTJean-Luc Lemire
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsInfopole1
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SIJean-Michel Tyszka
 
UCC Magazine Wildix - Numéro 01 Septembre 2017
UCC Magazine Wildix - Numéro 01 Septembre 2017UCC Magazine Wildix - Numéro 01 Septembre 2017
UCC Magazine Wildix - Numéro 01 Septembre 2017Sophia Chikh Sfioui
 
Risque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siRisque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siPROJECT SI
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Radouane Mrabet
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésNRC
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...Symantec
 

Similaire à Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente (20)

Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industriel
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecurite
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201web
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & Fortinet
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoT
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
 
UCC Magazine Wildix - Numéro 01 Septembre 2017
UCC Magazine Wildix - Numéro 01 Septembre 2017UCC Magazine Wildix - Numéro 01 Septembre 2017
UCC Magazine Wildix - Numéro 01 Septembre 2017
 
Risque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project siRisque informatique avec Kaspersky et Project si
Risque informatique avec Kaspersky et Project si
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?
 
cyberun #27
cyberun #27cyberun #27
cyberun #27
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
 

Plus de BEIJAFLORE

Accompagner votre Transformation Digitale
Accompagner votre Transformation DigitaleAccompagner votre Transformation Digitale
Accompagner votre Transformation DigitaleBEIJAFLORE
 
Consultant(e) AMOA BancAssurance
Consultant(e) AMOA BancAssuranceConsultant(e) AMOA BancAssurance
Consultant(e) AMOA BancAssuranceBEIJAFLORE
 
Objets connectés : entre mythe et réalité
Objets connectés : entre mythe et réalitéObjets connectés : entre mythe et réalité
Objets connectés : entre mythe et réalitéBEIJAFLORE
 
CRM : quelle stratégie de communication adopter sur les réseaux sociaux ?
CRM : quelle stratégie de communication adopter sur les réseaux sociaux ?CRM : quelle stratégie de communication adopter sur les réseaux sociaux ?
CRM : quelle stratégie de communication adopter sur les réseaux sociaux ?BEIJAFLORE
 
Applications Mobiles - Bonnes pratiques de conception et de développement de ...
Applications Mobiles - Bonnes pratiques de conception et de développement de ...Applications Mobiles - Bonnes pratiques de conception et de développement de ...
Applications Mobiles - Bonnes pratiques de conception et de développement de ...BEIJAFLORE
 
Panorama et enjeux de la publicité digitale mars 2012 partie 2
Panorama et enjeux de la publicité digitale mars 2012 partie 2Panorama et enjeux de la publicité digitale mars 2012 partie 2
Panorama et enjeux de la publicité digitale mars 2012 partie 2BEIJAFLORE
 
Panorama et enjeux de la publicité digitale mars 2012 partie 1
Panorama et enjeux de la publicité digitale mars 2012 partie 1Panorama et enjeux de la publicité digitale mars 2012 partie 1
Panorama et enjeux de la publicité digitale mars 2012 partie 1BEIJAFLORE
 
Panorama et enjeux de la publicité digitale mars 2012 partie 1
Panorama et enjeux de la publicité digitale mars 2012 partie 1Panorama et enjeux de la publicité digitale mars 2012 partie 1
Panorama et enjeux de la publicité digitale mars 2012 partie 1BEIJAFLORE
 

Plus de BEIJAFLORE (8)

Accompagner votre Transformation Digitale
Accompagner votre Transformation DigitaleAccompagner votre Transformation Digitale
Accompagner votre Transformation Digitale
 
Consultant(e) AMOA BancAssurance
Consultant(e) AMOA BancAssuranceConsultant(e) AMOA BancAssurance
Consultant(e) AMOA BancAssurance
 
Objets connectés : entre mythe et réalité
Objets connectés : entre mythe et réalitéObjets connectés : entre mythe et réalité
Objets connectés : entre mythe et réalité
 
CRM : quelle stratégie de communication adopter sur les réseaux sociaux ?
CRM : quelle stratégie de communication adopter sur les réseaux sociaux ?CRM : quelle stratégie de communication adopter sur les réseaux sociaux ?
CRM : quelle stratégie de communication adopter sur les réseaux sociaux ?
 
Applications Mobiles - Bonnes pratiques de conception et de développement de ...
Applications Mobiles - Bonnes pratiques de conception et de développement de ...Applications Mobiles - Bonnes pratiques de conception et de développement de ...
Applications Mobiles - Bonnes pratiques de conception et de développement de ...
 
Panorama et enjeux de la publicité digitale mars 2012 partie 2
Panorama et enjeux de la publicité digitale mars 2012 partie 2Panorama et enjeux de la publicité digitale mars 2012 partie 2
Panorama et enjeux de la publicité digitale mars 2012 partie 2
 
Panorama et enjeux de la publicité digitale mars 2012 partie 1
Panorama et enjeux de la publicité digitale mars 2012 partie 1Panorama et enjeux de la publicité digitale mars 2012 partie 1
Panorama et enjeux de la publicité digitale mars 2012 partie 1
 
Panorama et enjeux de la publicité digitale mars 2012 partie 1
Panorama et enjeux de la publicité digitale mars 2012 partie 1Panorama et enjeux de la publicité digitale mars 2012 partie 1
Panorama et enjeux de la publicité digitale mars 2012 partie 1
 

Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente

  • 1. Cybersécurité en milieu industriel un constat alarmant, une prise de conscience encore trop lente Mars 2015 Livre Blanc
  • 2.
  • 3. Chers clients, Vos processus industriels s’appuient sur des automates électroniques et mécaniques, capteurs d’informations électroniques ou actionneurs, pilotés par des systèmes de contrôle et de sécurité/sûreté. Cet ensemble définit votre système d’information industriel (SII). Ce dernier repose sur les mêmes technologies que le système d’information d’entreprise (SIE) : communications réseau TCP/IP et systèmes Microsoft ou Unix. Votre SII regorge d’informations que le management de vos entreprises souhaite consulter parfois en temps quasi réel. Par ailleurs, la direction des opérations industrielles déploie de plus en plus des fonctions de pilotage à distance, interconnectées. Votre SII est et sera de moins en moins isolé du SIE et de fait plus exposé aux cybermenaces classiques. Le volume des cyberattaques est en constante croissance depuis quelques années et, fait nouveau, des outils et virus ciblés SII ont fait leur apparition. Modification de la logique, mise en place d’inhibiteurs… Quels sont les impacts sur vos systèmes de contrôle ? Au-delà des probables pertes de production, quels dégâts physiques et humains anticiper si ces modifications sont faites sur vos systèmes de sécurité ? La culture et les modes opératoires industriels très éloignés de ceux de l’informatique de gestion nécessitent une réponse adaptée. Forts de notre expérience tant sur des projets industriels que sur des usines existantes, en Europe, Asie et USA, nous avons souhaité partager avec vous quelques questions importantes et éléments concrets de solutions pour renforcer la protection de vos infrastructures industrielles. Je vous laisse parcourir ce livre blanc et me tiens à votre disposition pour enrichir nos réflexions mutuelles. Maxime de JABRUN, Security & Risk Management VP, Head of Risk & Security Le mot du responsable de la Practice Risque & Sécurité
  • 4. Table des matières Attaques et incidents de cybersécurité en milieu industriel : mythe ou réalité ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 L’évolution des SII : standardisation technologique et multiplication des interconnexions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 De nouveaux risques mal pris en compte par les industriels. . . . . . . . . . . . . 7 Les processus opérationnels et la gestion du changement ne prennent pas en compte la cybersécurité . . . . . . . . . . . . . . . . . . . . . . . . 8 La culture industrielle face au défi de la cybersécurité . . . . . . . . . . . . . . . . . 9 Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
  • 5. Livre Blanc Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente 5 Depuis 2009, les cyberattaques ciblant les systèmes d’information industriels (SII) sont de plus en plus sophistiquées. Les virus tels que Stuxnet, Night Dragon, Duqu ou Flame démontrent que la menace se précise, qu’elle s’industrialise et que les cyber-attaquants sont capables de mobiliser des moyens importants pour arriver à leurs fins qu’elles soient concurrentielles, hacktivistes ou étatiques. Ces cyberattaques génèrent parfois pour les entreprises d’importantes pertes financières(1) souvent liées à l’arrêt de leur activité, mais il arrive également que ces attaques provoquent des dégâts (incendie, explosion, rejet de matière dangereuse,…). En effet, les SII ne sont pas uniquement le support de flux d’information, ils contrôlent des processus industriels supportés par des automates dont les actions peuvent avoir des conséquences physiques considérables si leur logique est modifiée. Face à l’explosion de la cybercriminalité, la cybersécurité est devenue un enjeu essentiel à intégrer dans les processus industriels critiques. Les menaces les plus récentes ciblent directement les composants des systèmes de contrôles (le malware Havex exploite directement le protocole de communication OPC largement utilisé dans l’industrie). Cependant, les cyberattaques ne sont pas les seules menaces qui pèsent sur les SII. Les erreurs humaines, en particulier les négligences des règles de sécurité peuvent avoir des impacts bien plus préjudiciables pour les entreprises, leurs salariés, l’environnement et les populations. En 2010, le contournement des règles de sécurité a provoqué une marée noire depuis la plateforme pétrolière exploitée par British Petroleum (BP) au large du Golfe du Mexique. Bilan : 11 morts et quelque 16 milliards de dollars de dédommagements financiers ! En 2013, McAfee a estimé qu’au moins 375 milliards de dollars de pertes étaient attribuables aux attaques et incidents de cybersécurité. Ces incidents sont pour la plupart non divulgués publiquement et très rarement partagés entre industriels. Ces exemples montrent le besoin d’accélérer la prise de conscience des industriels face à l’ampleur de la cybercriminalité. Attaques et incidents de cybersécurité en milieu industriel : mythe ou réalité ? (1) 2,86 millions d’euros était le coût moyen par incident d’un défaut de cybersécurité en 2012, selon l’étude «Cost of data breach» de Symantec et du Ponemon Institute. Il faut accélérer la prise de conscience des industriels face à l’ampleur de la cybercriminalité
  • 6. Livre Blanc Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente 6 Depuis une vingtaine d’années, afin de réduire leurs coûts de développement, les fournisseurs de systèmes industriels ont remplacé leurs systèmes propriétaires par des technologies standardisées et disponibles du grand public. Des composants informatiques standards sont désormais derrière chaque système de contrôle et équipement industriel ! Les interfaces Homme-Machine ? Microsoft Windows. L’automate programmable ? Un dérivé d’Unix. Quelle maîtrise en ont les industriels ? Bien faible, lorsque l’on compare SII et SIE. Par ailleurs, les industriels montrent un intérêt grandissant à pouvoir offrir à leurs utilisateurs la possibilité d’accéder aux données de leurs SII en temps réel et depuis n’importe quel point du globe. Les réseaux industriels ont multipliés les interconnexions avec les systèmes d’information d’entreprise (SIE). Ils sont par ailleurs de plus en plus ouverts sur le monde extérieur, vers les réseaux distants des fournisseurs, via internet, pour faciliter la maintenance et réduire significativement les délais et coûts d’intervention sur incidents. Enfin, les avancées techno- logiques en matière de mobilité (ex. tablette smartphone) sont fortement adoptées par les responsables de production dans de nombreuses industries. A quand le déport de console sur iPad ? L’évolution des SII : standardisation technologique et multiplication des interconnexions L’informatique grand public est désormais derrière chaque système de contrôle et chaque équipement industriel
  • 7. Livre Blanc Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente 7 Toutes ces avancées ont apporté de la valeur aux industriels mais avec leur lot de nouveaux risques. Les acteurs de la chaîne industrielle sont désormais tous concernés par les vulnérabilités déjà connues des SIE. Et ils doivent être impliqués dans leur prévention : le client final, son sous-traitant du composant industriel, son sous- traitant de l’automate… et le sous-traitant qui a installé l’interface homme-machine de l’automate. Une complexité contractuelle qui, hélas, voit la responsabilisation si ce n’est la responsabilité des acteurs se diluer, faute de maturité. Les équipes opérant la chaîne de production et assurant la maintenance manquent de compétences IT. Bien souvent, les mécanismes de sécurité essentiels font ainsi défaut. De nombreuses pratiques à risque constatées en témoignent : • Les fournisseurs ne qualifient que très rarement la compatibilité des correctifs avec leurs systèmes. Les systèmes d’exploitation et les applications ne sont ainsi pas mis à jour ; • Des systèmes obsolètes (ex. Windows XP) sont parfois déployés durant les projets ; • Les politiques de gestion de mots de passe sont trop rares, cela se traduit systématiquement par des mots de passe usine que les fournisseurs laissent sur les systèmes de leurs clients, mots de passe parfois triviaux ; • Les services inutilisés et accessibles depuis le réseau ne sont pas désactivés ; les ports physiques (ex. USB) ne sont pas sécurisés. Les déploiements technologiques et les ouvertures de flux sont rarement intégrés dans une politique de sécurité globale augmentant ainsi l’exposition aux cyber risques. La volonté de bien faire est parfois mitigée par quelques controverses : • Les réseaux SIE et SII sont filtrés par des firewalls mais un équipement est connecté sur les deux réseaux contournant ainsi la protection mise en place ; • Des antivirus sont installés sur les postes de travail et serveurs Windows du SII, cependant ils ne sont que rarement mis à jour limitant ainsi leur efficacité face aux attaques virales ; • Des architectures avancées à base de firewall et DMZ sont définies mais les règles de filtrage sont trop permissives, ne permettant pas la maîtrise des échanges inter-réseaux. Des nouveaux risques mal pris en compte par les industriels On constate de nombreuses pratiques à risque : déploiement de systèmes obsolètes, mots de passe triviaux, ports USB non sécurisés…
  • 8. Livre Blanc Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente 8 Appliquer à l’identique les mesures de sécurité du SIE sur les SII ne peut pas fonctionner. En effet, l’industrie possède de nombreuses spécificités qui nécessitent de définir la cybersécurité en prenant en compte les aspects ou contraintes liés à la chaîne de valeur et au cœur de métier des opérateurs. Tout en tenant compte de l’environnement industriel (cycle de production 24/7, mesures de sûreté, durée de vie étendue des installations, etc.), la sécurité doit s’intégrer de manière appropriée et mesurée, et rester en cohérence avec les nombreux enjeux métiers. Par exemple, la question de la mise à jour des systèmes d’exploitation et des applications illustre les problématiques que pose l’intégration de la cybersécurité au sein des processus opérationnels : • l’exposition grandissante des SII et le volume de correctifs en provenance des éditeurs la rendent nécessaire ; • du point de vue opérationnel, la règle du maintien en l’état des systèmes tant qu’aucun incident ne survient persiste, et est souvent confortée par de forts enjeux métiers, comme la production en flux tendu. Intégrer la cybersécurité comme activité opérationnelle est trop souvent perçu comme une contrainte, peu soutenue par les personnels et fournisseurs industriels. De plus la sécurité est souvent désactivée pour implémenter les modifications dans les systèmes, et n’est pas réactivée par la suite faute de maîtrise. Cette mauvaise pratique opérationnelle est parfois due au manque de définition du processus de gestion du changement sur les composants informatiques, qui ne prend pas en compte correctement la cybersécurité. Néanmoins les nouveaux projets commencent à intégrer une spécification cybersécurité. Les processus opérationnels et la gestion du changement ne prennent pas en compte la cybersécurité Appliquer à l’identique les mesures de sécurité du SIE sur les SII ne peut pas fonctionner
  • 9. Livre Blanc Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente 9 La maturité de l’informatique industrielle semble suivre celle de l’informatique de gestion et de la supply chain avant elle. Les initiatives gouvernementales (OIV en France, protection des infrastructures critiques aux USA) et la standardisation des pratiques de cybersecurité des systèmes de contrôle telle IEC 62443 démontre la prise de conscience d’une nécessaire amélioration. Initialement les systèmes étaient basés sur Unix pour les stations opérateurs, avec des communications propriétaires vers les automates. Puis dans les années 90, les systèmes client-serveur ont basculé sur Microsoft, avec des protocoles de plus en plus ouverts et complexes (protocole OPC et réseaux TCP/IP). Et maintenant, les accès Internet, le Wifi, les terminaux mobiles investissent les usines. La gestion du risque est beaucoup plus prégnante dans l’industrie car elle est inhérente au métier. L’analyse de risques est un exercice courant et sera facilitée par le métier. La modélisation du périmètre est généralement plus aisée et change assez peu dans le temps. Les impacts des risques sont souvent très bien pris en compte par les personnels qui ont une bonne compréhension des procédés industriels sous-jacents. Cependant le métier est d’ordinaire habitué aux évènements quantifiables et non forcés, l’évaluation de la probabilité des risques de cybersecurité nécessitera de prendre des précautions particulières. De nombreux points d’appui faciliteront l’intégration de la cybersécurité et participeront à la réduction rapide des risques : • La culture risque historique des automaticiens favorisera les initiatives cybersécurité ; • Les technologies de sécurité – en pratique inutilisables dans les SIE – telles que le whitelisting applicatif sont parfaitement adaptées aux SII ; • La gestion rigoureuse du cycle de vie, des phases de recette et de maintenance permet une meilleure maîtrise des risques. L’intégration de la cybersécurité dans la gestion des risques sera un levier essentiel de la lutte de l’industrie face aux attaques et incidents. La culture industrielle face au défi de la cybersécurité L’intégration de la cybersécurité dans la gestion des risques sera un levier contre les attaques et les incidents
  • 10. Livre Blanc Cybersécurité en milieu industriel : un constat alarmant, une prise de conscience encore trop lente Les systèmes d’information d’entreprise (SIE) ont vu leur sécurité largement progresser au cours des 15 dernières années, avec une implication croissante des éditeurs tels que Microsoft pour améliorer la sécurité de leur système. L’évolution des attaques informatiques s’est ainsi confron- tée à une sophistication des solutions des éditeurs de sécurité. Par ailleurs, des efforts constants durant cette période ont permis une forte sensibilisation des profes- sionnels IT au sujet des problématiques sécurité. Historiquement, le monde industriel a été préservé de ces problématiques et donc peu sensibilisé aux notions de cybersécurité. Nous constatons aujourd’hui que la plupart des systèmes de contrôle industriels ne sont pas sécurisés. Pourtant, ce faible niveau de sécurité des systèmes indus- triels expose aujourd’hui les entreprises à des risques forts de perte financière et d’image en cas d’indisponibilité des systèmes, voire de sûreté en cas de perte d’intégrité d’un système assurant la sécurité des personnes (alarme incendie par exemple). Néanmoins, le pragmatisme des industriels, leur discipline dans le respect des processus, leur culture de la sûreté et de la qualité sont autant d’atouts différenciants pour ce secteur qui lui permettront de rapidement atteindre le niveau de maturité requis. Conclusion
  • 11.
  • 12. Designimpression:Solution www.beijaflore.com Contact : mdejabrun410@beijaflore.com Beijaflore Management SI - Tel. 01 44 30 91 09 w Directeur d’étude : Maxime de JABRUN Paris - Siège social Pavillon Bourdan 11-13 avenue du Recteur Poincaré 75016 Paris Bruxelles IT Tower Avenue Louise / Louizalaan 480 1050 Brussels Zurich Dufourstrasse 179 8008 Zürich CSSIIS