SlideShare une entreprise Scribd logo

Solucom lettre sécurité 36 janvier 2015 1201web

Wavestone
Wavestone

Numéro spécial de la Lettre Sécurité dédié intégralement au sujet de la sécurité des Systèmes d'Information Industriels. La récente multiplication des incidents nécessite de se mobiliser pour les sécuriser et d’amorcer une transformation en profondeur.

1  sur  8
Télécharger pour lire hors ligne
SI Industriel et sécurité :
comment démarrer la
transformation
Les Systèmes d’Information Industriels (SII)
sont intimement liés aux outils de production :
chaînes de montage, machines-outils, fours,
scanners médicaux, climatisations, aiguil-
lages, pipelines... De plus en plus ouverts, ils
deviennentunevraiepasserelleentrelesproces-
sus de production et le Système d’Information
de Gestion (SIG) de l’entreprise.
Un SII est souvent modélisé en différentes
couches. La première couche concerne le pro-
cédéphysiquelui-même.Ladeuxièmeregroupe
les capteurs, actuateurs, actionneurs et autres
composantsélectroniquesintelligents(IED)qui
interagissent physiquement avec le procédé.
La troisième couche assure la supervision et le
pilotage du procédé. Elle est composée d’élé-
ments tels que les SCADA (Supervisory Control
and Data Acquisition), des automates ou PLC
(Programmable Logic Controller) et des équipe-
mentsdistants,lesRTU(RemoteTerminalUnit).
La quatrième couche regroupe les fonctions et
outils de management des opérations de pro-
duction.Enfin,lacinquièmeetdernièrecouche
est tournée vers les fonctions avancées de pla-
nification,lalogistiqueoul’approvisionnement,
souvent interfacée avec les ERP.
Initialementdéveloppéspourl’industrie,lessys-
tèmes construits sur le même modèle se sont
largementrépandus.Systèmesembarquésdans
les voitures ou avions, imagerie médicale (scan-
ner, IRM, etc.), systèmes plus étendus comme
lessmartgrids,etc.:lesSIIsontdevenusomni-
présents !
Des menaces accrues qui touchent tous
les secteurs
À l’origine les SII étaient isolés au sein d’un site
ou d’une usine, mais aujourd’hui ils se doivent
d’être largement interconnectés pour accroître
productivité et compétitivité. Cette intercon-
nexion permet de nombreux nouveaux usages
mais augmente considérablement l’exposition
aux cyberattaques. La majorité de ces systèmes
n’a en effet pas été conçue pour une ouverture
sécurisée et est d’autant plus vulnérable.
Alors que les attaques d’États ou d’individus
malveillantssemultiplientcesdernièresannées,
les conséquences peuvent être considérables.
UneatteinteàlasécuritéduSId’uneentreprise
dusecteurdelachimiepourraitamenerledéver-
sement de produits toxiques dans des systèmes
degestiondeseauxouencore,dansletransport,
conduire à des accidents. Des risques pour la
confidentialité existent également : l’accès aux
chaînes de production autorise l’accès à des
secrets de fabrication industriels.
Suite en page 2
DÉCRYPTAGES
Sécurité des SI Industriels
La sécurité des Systèmes d’Information
Industriels (SII) est aujourd’hui au centre des
préoccupations de nombreux acteurs. Ces
systèmes qui permettent une action directe
dans le monde « physique » à l’aide d’ins-
tructions provenant du monde « logique »
pilotent les outils de production de nom-
breuses entreprises.
Au-delà des risques environnementaux et
humains, ils représentent également un
enjeu stratégique pour les États. La récente
multiplication des incidents, dont ceux révé-
lés récemment en Allemagne par le BSI, en
Corée du Sud sur les centrales nucléaires et
probablement en Turquie, nécessite donc de
se mobiliser pour les sécuriser et d’amorcer
une transformation en profondeur. Mais par
où commencer quand la sécurité a été laissée
de côté pendant de nombreuses années ?
Et que faire quand les équipements constitu-
tifs de ce réseau contiennent eux-mêmes de
nombreusesfaillesdifficilesvoireimpossibles
à corriger ?
C’est l’objet de ce numéro spécial de la Lettre
Sécurité dédié intégralement au sujet de la
sécurité des SII.
Solucom sera présent au Forum International
de la Cybersécurité (FIC) avec certains de ses
expertssurcessujetssensibles.N’hésitezpas
à nous rendre visite sur notre stand !
Gérôme Billois,
Senior manager au sein de la practice
Riskmanagement&sécuritédel’information
Édito
Architecture de sécurité des SI Indus-
triels : de la théorie à la pratique
P5
Niveau de sécurité des SI Industriels :
les vulnérabilités les plus courantes
P4
n° 36
La Lettre Sécurité
Numéro spécial
2 • La Lettre Sécurité N°36 • janvier 2015
Les États de plus en plus mobilisés
LesÉtatsréagissentpourfairefaceauxmenaces
sur ces systèmes. Sur le continent nord-amé-
ricain, la conformité au standard NERC-CIP
est devenue obligatoire pour les opérateurs de
réseaux électriques.
L’État Français, au travers de sa Loi de
Programmation Militaire, entend faire appli-
quer aux OIV (Opérateur d’Importance Vitale)
des mesures de cybersécurité, notamment sur
leur SI Industriel. Si un guide visant à proposer
un cadre de protection minimum pour les ins-
tallations a déjà été élaboré par l’ANSSI, des
décretsd’applicationsectorielssontattendus.Ils
définirontplusprécisémentlesrèglesdesécurité
obligatoires.Lesentreprisesdoiventsepréparer
pourêtreenmesurederépondreàcesnouvelles
exigences.
Penser la sécurité des SII différemment
La sécurisation des SII nécessite d’intégrer de
nouvelles contraintes pour définir des solutions
adaptées.Vouloirappliquerlesbonnespratiques
desécuritéconventionnellesseraituneerreurcar
lesSIIndustrielsprésententdescaractéristiques
différentes des SI de gestion.
L’échelle de temps est bien spécifique. Les lignes
de production sont souvent conçues pour une
durée de vie de l’ordre de 10 à 15 ans, parfois
même au-delà. Par exemple, dans certains sec-
teurs comme celui des réseaux électriques, les
équipementssontcensésêtreenplacependant
plusieurs dizaines d’années.
Ladisponibilitéetlasûretésontaucœurdesatten-
tions. Dans cet univers spécifique, le critère de
disponibilité est primordial. De plus, dans les
environnements à risques (SEVESO, nucléaire,
etc.) le maintien des fonctions de sûreté qui
assurent la protection des hommes et de l’envi-
ronnement est essentiel.
Lesfournisseursimposentdessolutionspackagées
de bout en bout. Et ils sont souvent réticents à
appliquer les bonnes pratiques de sécurité,
même lorsque leurs systèmes reposent sur
des solutions peu sécurisées issues des SI de
gestion…
Les contextes d’implantation sont particuliers et
rendentlemaintienenconditionopérationnellede
lasécuritécomplexe.Iln’estpasrared’avoirune
partie du système (voire le système entier) loca-
lisée sur des sites distants, parfois inoccupés,
difficiles d’accès et où les conditions peuvent
être « hostiles ». Cela concerne par exemple les
SII présents sur les plates-formes pétrolières,
les pipelines gaziers ou pétroliers, ou encore les
réseaux d’eau.
Initier la démarche de sécurisation
Avant d’entreprendre de grands chantiers de
sécurité, il est important de savoir d’où on part.
Le SII est-il vulnérable ? Dans quelle mesure
est-il ouvert sur l’extérieur ? Quel est son véri-
table niveau d’exposition face aux nouvelles
menaces ?
Trois approches différentes permettent de
répondre à ces questions. L’audit « flash », sur
les sites les plus sensibles ou ayant connu un
incident récent, permet d’identifier rapidement
les vulnérabilités et les zones non protégées.
L’analyse de risques d’un processus industriel
permet de son côté d’estimer les impacts
financiers, humains et environnementaux en
cas d’incident. Un bilan de conformité consiste
à demander à chaque site industriel d’évaluer
son niveau de sécurité sur la base d’un ques-
tionnaire. Si cette dernière approche est moins
concrèteetfiable,ellepermetd’avoirunevision
globale plus rapidement.
Il n’y a pas de chemin type : les trois approches
peuvent être utilisées ou combinées. Elles
doivent aussi être l’occasion de mobiliser la
direction générale et les directions métiers dont
l’engagementetl’implicationdansladuréesont
nécessaires.
Mettre en place une filière sécurité des
SI Industriels
La mise en place d’une gouvernance globale de
lasécuritédesSIIestessentiellepouraugmenter
le niveau de sécurité dans la durée. Cela passe
par la nomination d’un Responsable de la sécu-
rité des SII chargé de la définir, de la mettre en
œuvre et de l’animer.
Qu’il vienne du Métier, du monde de la DSI,
de la sécurité SI ou du monde industriel (auto-
matisme, sûreté, etc.), il doit être capable de
jouer le rôle de facilitateur entre ces différentes
sphères.Laconnaissancedumétierindustrielet
lesqualitéshumainessontdoncàprivilégierlors
de son identification plutôt qu’une expertise en
sécurité. Son rattachement peut être à étudier
en fonction du contexte de l’entreprise : s’il est
courant qu’il fasse partie des équipes sécurité
SI,ilestparfoisdirectementrattachéauxMétiers
concernés.
Le Responsable de la sécurité des SII pourra
s’appuyer sur un réseau de correspondants qui
se feront le relais de la stratégie et des actions
Dossier
La Lettre Sécurité N°36 • janvier 2015 • 3
sur les différents sites industriels. Il dévelop-
pera également des relations étroites avec des
acteurs incontournables du SII :
•	 les chefs de projets industriels, avec les-
quels il faudra s’assurer que la sécurité
est prise en compte dès la conception ;
•	 les responsables de la sûreté, avec les-
quels il mettra en œuvre une démarche
commune de gestion des risques indus-
triels ;
•	 les responsables de l’exploitation et de la
maintenance, pour s’assurer de la bonne
exécution des processus de maintien en
condition opérationnelle et de sécurité
du SII ;
•	 lesresponsablesdesachats,pourdiffuser
les bonnes pratiques en matière d’exi-
gences de sécurité dans toutes relations
avec les tiers et dans les contrats avec
les fournisseurs ;
•	 la DSI et le RSSI pour s’interfacer avec le
SIclassiqueetcapitalisersurlesbonnes
pratiques.
Intégrer la sécurité dès la conception
Concevoir une usine, un site industriel ou un
équipementembarqués’accompagnelaplupart
du temps d’études de sûreté. Il faut tirer parti
de cette culture déjà bien ancrée pour y insérer
lesétudesdesécuritéduSIIndustrielquiseront
centrées sur les risques de cybersécurité.
Attention toutefois à rester vigilant et ne pas se
focaliser uniquement sur le procédé industriel
lui-même. L’environnement proche ou éloigné
du SII est à étudier pour chaque projet : dans
quellesconditionslesinterventionsdetierspour
latélégestionetlatélémaintenanceseront-elles
réalisées ? Le fournisseur s’applique-t-il lui-
même des exigences de sécurité lorsqu’il déve-
loppe les solutions industrielles ?
Traiter les urgences sans négliger la sécu-
risation à moyen terme
Les particularités des SII poussent souvent les
entreprises à allier des solutions palliatives à
court terme et à saisir l’opportunité de faire des
modifications en profondeur quand elle se pré-
sente : arrêt de production, renouvellement de
l’outilindustriel,changementdefournisseur,etc.
C’est particulièrement vrai pour la mise en
œuvre du cloisonnement et de la segmentation
des réseaux : si on peut isoler le SI de gestion,
les changements sur les réseaux de production
sont plus complexes à organiser ! La refonte
des accès distants est également à intégrer
dans cette réflexion. Elle nécessite de revoir
les contrats établis sur plusieurs années, pour
lesquels la renégociation des modalités d’inter-
vention, de télégestion et de télémaintenance
est peu fréquente.
En parallèle, une fois les vulnérabilités sur le
système identifiées, il faut être en capacité de
lescorriger.Appliquerlescorrectifsn’estparfois
pas envisageable et remplacer les équipements
par d’autres plus récents offrant les dernières
fonctionsdesécuritéprésenteuncoûtnonnégli-
geable, tant en termes financiers qu’en perte
d’exploitation potentielle sur des systèmes où
la disponibilité est cruciale.
ConscientdesvulnérabilitésdesSII,ilestcrucial
demettreenplace,surl’installationindustrielle,
des dispositifs de surveillance afin de détecter
et de réagir face aux incidents.
L’intégration du SII au SOC ou au CERT de l’en-
treprise peut être envisagée dans une stratégie
de réaction globale.
Unedémarcheàconstruiredèsaujourd’hui
La mise en œuvre de la sécurité pour les SI
Industrielsnepourrasefairequ’ens’accommo-
dantdesspécificitésetdescontextesparticuliers
dans lesquels ils évoluent. Mobiliser les direc-
tionsMétiersetcombinerlessavoir-faireissusdu
monde industriel et de gestion sont assurément
des facteurs clés de succès.
En parallèle, les fonctions de responsable de la
sécurité du SI de gestion et de responsable de
la sécurité du SI Industriel doivent s’associer,
voire fusionner, pour assurer la cohérence de la
démarchedesécurisationdel’entreprisedebout
en bout dans une approche globale.
Anthony Di Prima, manager
anthony.diprima@solucom.fr
Quelques exemples d’attaques de SI Industriels
4 • La Lettre Sécurité N°36 • janvier 2015
Dossier
Le niveau de sécurité actuel des SI Industriels
est souvent remis en question par les spécia-
listes en sécurité. Alors, cri au loup ou réalité
encore méconnue ? Les audits et études réa-
lisés par Solucom ne font que confirmer les
défauts de sécurité sur ces infrastructures.
Une sécurisation insuffisante, voire
inexistante
Les automates programmables industriels
(API), en charge de l’interface avec le monde
physique, n’intègrent souvent que peu de
fonctions de sécurité et les failles de sécurité
publiques les concernant sont nombreuses.
L’ICS-CERT a ainsi publié près d’une centaine
de bulletins de vulnérabilités sur des compo-
sants industriels. Les protocoles de commu-
nication utilisés sont un des maillons faibles
de la chaîne. Ces protocoles, parmi lesquels
on peut citer Modbus, permettent l’échange
de consignes ou de valeurs en clair, sans
chiffrement.
De même, les possibilités d’authentification
des actions sont souvent limitées, permet-
tant à n’importe quel attaquant ayant accès
au réseau de modifier les consignes des auto-
mates et ainsi d’influer sur leur comportement.
Les interfaces d’administration des automates
sont par ailleurs souvent protégées par des
mots de passe par défaut, jamais changés,
et qui parfois ne peuvent pas l’être. Les sys-
tèmes plus intégrés appelés SNCC (Systèmes
Numériques de Contrôle-Commande) ne sont
pas garants d’une sécurité accrue, les proto-
coles propriétaires utilisés n’apportant pas
forcément une réelle couche de sécurité.
La situation est identique pour les PC de super-
vision ou de programmation qui sont souvent
des équipements reposant sur des technolo-
gies standard, tels que des systèmes d’exploi-
tation Microsoft Windows. Malheureusement,
l’expérience sécurité acquise sur le SI de ges-
tion pour ces équipements profite rarement à
leur sécurisation sur la partie industrielle. Les
étapes de durcissement sécurité sont rares,
de même que l’application de correctifs de
sécurité, ou encore la présence d’un antivirus.
Il est fréquent de pouvoir prendre le contrôle
de ces systèmes par l’exploitation d’une faille
de sécurité datant de près de 6 ans.
Un cloisonnement tout à fait relatif
De plus, les équipements du SI Industriel sont
trèslargementinterfacésaveclesSIdegestion.
Le cloisonnement entre ces deux mondes est
souventpermissif.Ilarrivemêmequelefiltrage
autorise l’accès à certains équipements indus-
trielsdepuisl’ensembleduréseauinterned’une
entreprise, ce qui peut représenter plusieurs
dizaines de milliers de machines.
Les postes de programmation et clés USB
constituent également des vecteurs d’attaques
puisqu’ils sont connectés à des réseaux de
niveau de sécurité hétérogène, voire à des envi-
ronnementsnon-maîtrisés(parexempledansle
cas de sous-traitants).
Pire encore, il arrive trop souvent que des équi-
pements industriels soient accessibles directe-
ment sur internet. Il existe même des moteurs
de recherche dédiés à la recherche d’équipe-
mentsexposéssurinternet,Shodanétantleplus
connu.Prèsde1500équipementsModbussont
ainsi recensés en France sur Shodan et plus de
20 000 dans le monde.
Un constat d’échec ?
Il ne s’agit néanmoins pas de se lamenter.
Bien que le niveau de sécurité actuellement
constaté soit faible, il est possible de mener
des actions d’amélioration. Au-delà des
concepts d’architecture qui permettent de
cloisonner ces équipements vulnérables, la
vraie, seule solution à long terme consiste à
développer de nouveaux produits, sécurisés by
design. Bien sûr, les fruits de ce travail ne se
verront que sur les nouvelles installations, et
pas avant plusieurs dizaines d’années. On peut
espérer que la prise de conscience globale des
parties prenantes, ainsi que l’implication des
instances gouvernementales accélèrent ce
changement.
En attendant il semble aujourd’hui nécessaire
de déporter les fonctions sécurité sur des
équipements dédiés, comme des passerelles
encapsulant le trafic réseau dans un tunnel
chiffré, ou bien des pare-feu ou IPS dispo-
sant de modules spécifiques aux protocoles
industriels.
Enfin, il faut également savoir tirer parti d’une
des faiblesses des SI Industriels : leur durée de
vie et la complexité de changements. En effet,
la mise en place d’une supervision sécurité
sera facilitée par le caractère figé des réseaux
industriels : il est rare que de nouveaux équi-
pements soient installés ou que la topologie
réseau soit modifiée. De même, l’emploi d’une
solution de contrôle d’exécution par liste
blanche sera plus facile sur un PC industriel
n’exécutant qu’un seul logiciel de supervision
que sur un poste de travail bureautique.
Niveau de sécurité des SI Industriels :
les vulnérabilités les plus courantes
Décryptage
Arnaud Soullie, consultant
arnaud.soullie@solucom.fr
Actuellement, les outils d’audit et tests d’intrusion dédiés aux SI Industriels sont encore assez
rares, bien que la tendance soit à la hausse. On peut notamment citer :
•	 PLCscan, qui permet d’identifier des automates sur un réseau.
•	 Mbtget, un client Modbus écrit en Perl.
Nos recherches nous ont également amenés à créer les outils suivants :
•	 Un module client Modbus pour Metasploit1
.
•	 Desmodificationsaumodule«modicon_stux_transfer»deMetasploitpermettantd’atta-
quer les automates Schneider2
, notamment pour copier, à distance et sans authentifica-
tion, le programme de l’automate via des requêtes Modbus spécifiques.
•	 Des scripts Python permettant de dialoguer avec les automates Siemens3
.
Quels outils pour auditer un SI Industriel ?
1 - http://www.rapid7.com/db/modules/auxiliary/scanner/scada/modbusclient
2 - https://github.com/arnaudsoullie/metasploit-framework/blob/modicon_stux_transfer/modules/auxiliary/admin/scada/modicon_stux_transfer.rb
3 - https://github.com/arnaudsoullie/scan7
La Lettre Sécurité N°36 • janvier 2015 • 5
Décryptage
Architecture de sécurité des SI
Industriels : de la théorie à la pratique
Les architectures des SI Industriels s’alignent
souvent sur le modèle ISA 95. Si cet aligne-
ment est surtout motivé par le besoin d’optimi-
ser en continu les procédés industriels, il n’est
pas sans risque du point de vue de la sécurité.
Alors que les installations industrielles doivent
faire face à de nombreux risques, en particulier
humains et environnementaux, orchestrer leur
ouverture au SI de l’entreprise voire à internet
les expose à des menaces plus nombreuses et
virulentes.
Cloisonnement et segmentation :
standards et réglementations se mettent
d’accord
Pour traiter ces risques, trois méthodologies
issues de l’IEC 62443, du NIST SP-800-82 et
duguidedel’ANSSI,sontusuellementretenues.
L’IEC 62443 (ISA99) a établi les concepts de
« zones » et de « conduits » avec pour chacun
un niveau de sécurité (Security Level – SL) et
des règles bien spécifiques.
Ledécoupageenzonespeuts’établird’unpoint
de vue physique (bâtiment, atelier) ou logique
(répartition par processus industriel ou par
fonction).
Toutes les zones communiquent entres elles
par un conduit et peuvent également être
imbriquées, dans une logique de défense en
profondeur.
Selon le niveau de criticité des zones et des
conduits, des règles de sécurité sont définies et
peuvent être plus ou moins restrictives.
La détermination du niveau de sécurité d’une
zone (ou d’un conduit) s’effectue au travers
d’une analyse de risque. Concrètement, il cor-
respondauniveauderobustessedesmesuresde
sécuritéàimplémenterpermettantdefaireface
à des menaces plus ou moins évoluées.
Pour l’IEC, il s’agira de segmenter et d’isoler
physiquement les SI Industriels des SI de ges-
tionetaussidecloisonnerlessystèmescritiques
(systèmes de sûreté) des systèmes de conduite
des procédés.
Le NIST, au travers de sa publication spé-
ciale pour les systèmes industriels, expose
de bonnes pratiques d’architectures sécuri-
sées sans promouvoir un modèle en particu-
lier. Il consacre un chapitre entier au thème
de la sécurisation des architectures des SI
Industriels. Il met en avant le cloisonnement
entre SI de gestion et SI Industriels en propo-
sant des architectures type à base de DMZ, de
firewall voire de diode. De bonnes pratiques et
une matrice de flux type sont même proposées
avec un focus pour des flux plus spécifiques.
En France, l’ANSSI prévoit de catégoriser les
SI Industriels en 3 classes distinctes selon leur
criticité.
Trois niveaux sont définis ; la détermination
du niveau pour une installation s’effectue au
travers de critères tels que connectivité, fonc-
tionnalités,niveaud’exposition,attractivitépour
un attaquant, vraisemblance et impacts en cas
d’attaque.
Pour chacune des classes, des règles plus ou
moins strictes font émerger entre autres des
principes forts d’architectures sécurisées.
Cette démarche peut être itérative. Il est pos-
sible de découper l’installation industrielle en
plusieurszonesetd’établirpourchacuned’elles
son niveau de classe.
Celarejointl’approchedel’IEC62443audétail
près qu’ici, la méthodologie de l’ANSSI établit
les niveaux de classe en priorité au regard des
impacts pour la population, l’environnement et
l’économienationalesanssesoucierdel’impact
direct pour l’entreprise concernée.
Quelle que soit la méthodologie mise en œuvre,
le constat final reste le même : segmentation et
cloisonnement constituent des briques essen-
tiellesenvuedeprotégerlesSIIndustriels.Mais
l’expériencemontrequesegmenteretcloisonner
n’est pas toujours simple…
Besoin métier et sécurité : la quadrature
du cercle ?
Dans bien des cas, on observe un besoin élevé
de remonter vers le SI de gestion des données
« procédé » en vue de les analyser. Et ce pour
différentes raisons : calcul d’optimisation,
calcul financier, supply chain, Big data…
Selon la méthode de l’ANSSI, une installation
de classe 3 ne peut communiquer avec le SI
de gestion que de façon unidirectionnelle via
l’utilisation d’une diode. Mettre en œuvre ce
genredetechnologiepeutparfoisreleverdel’im-
possible : impossibilité d’avoir du temps réel,
incompatibilitédessolutionsd’historisationdes
données procédé… Dans ce cas, on découpera
l’installation en sous-systèmes de façon à pou-
voirluiattribuerdifférentsniveauxdeclasse.Un
sous-système de classe 2 peut communiquer
de façon bidirectionnelle avec le SI de gestion,
tandis que le sous-système le plus critique de
classe 3 n’est autorisé à communiquer uni-
directionnellement qu’avec ce sous-système
de classe 2. Cette approche peut notamment
être considérée pour les systèmes de sûreté.
Si dans certains cas cela peut sembler réa-
liste, c’est parfois beaucoup plus complexe.
L’exemple d’installations s’appuyant sur des
SNCC (Système Numérique de Contrôle
Commande)montrequelessystèmesdesûreté,
ou Systèmes instrumentés de sécurité (SIS),
peuventêtretotalementimbriquésaveclessys-
tèmesdeconduite:mutualisationdescapteurs
pour les automates de conduite et de sûreté,
automates assurant à la fois des fonctions de
conduite et de sûreté.
Deux solutions opposées sont possibles
Deux solutions extrêmes sont peut-être à
envisager.
La première consisterait à revoir un certain
nombre de process supports associés au pro-
cédé industriel pour permettre un cloisonne-
ment fort des SI Industriels vis-à-vis des SI de
gestion.
La deuxième serait de revenir à des solutions
« moins connectées » : désimbrication totale
du SIS, dédoublement des capteurs, auto-
mates / contrôleurs de sûreté dédiés et isolés,
recours à la logique « câblée », automates et
contrôleurs non « modifiables ».
Ces deux solutions peuvent sonner comme un
retour en arrière. Le meilleur compromis réside
sans doute dans une approche plus souple,
fondée sur le bon sens et une gestion réaliste
du risque.
Par Anthony Di Prima, manager
6 • La Lettre Sécurité N°36 • janvier 2015
La sécurité des SII n’est pas un problème
nouveau et diverses initiatives, provenant
d’agences gouvernementales, d’organismes
de standardisation ou d’organisations sec-
torielles, ont eu pour objectif d’établir des
documents de référence en la matière.
Une multitude de textes
La liste est longue, c’est pourquoi il convien-
dra de s’appuyer sur le (ou les) référentiel(s)
le(s) plus adapté(s) : secteur, niveau de cri-
ticité de son installation.
À ce titre, le CLUSIF, par l’intermédiaire du
groupe de travail sur la sécurité des systèmes
industriels, animé notamment par Solucom,
a publié un panorama des référentiels en la
matière.
Pas moins d’une cinquantaine de documents
ont été analysés et des fiches de lecture per-
mettent d’en avoir une vision synthétique.
Les documents ont été répertoriés et catégo-
risés : des plus introductifs aux plus exhaus-
tifs, allant de quelques pages à plus d’un
millier, le guide du CLUSIF précise à quels
lecteurs ils sont le plus adaptés (filières SSI
ou SII, concepteur/intégrateur/mainteneur).
Les objectifs de ces référentiels sont mul-
tiples. Ils peuvent être utilisés comme un
véritable outil pour réaliser des audits de sites,
définir sa stratégie et les actions associées ou
plus simplement évaluer son degré d’aligne-
ment et de conformité au standard retenu.
De tous, l’IEC 62443 est sans doute le réfé-
rentiel le plus connu du milieu et propose
de nombreux guides qui tentent d’adresser
l’ensemble des pans de la sécurité de ces SI.
L’ISO a également apporté sa pierre à l’édifice
avec la récente norme ISO 27019.
Les États publient également des guides natio-
naux. Au Royaume-Uni, le CPNI (Center for
the Protection of National Infrastructure) pro-
pose plusieurs guides thématiques autour de
la sécurité des SI industriels. Aux États-Unis,
plusieurs entités (DHS, DoE…) ont élaboré des
guides sectoriels. Enfin en France, l’ANSSI a
également publié ses propres guides.
Certains secteurs ont apporté une réponse
propre à leurs spécificités respectives comme
l’AIEA qui propose son guide pour les instal-
lations nucléaires ou encore le NERC CIP qui
oblige les différents opérateurs électriques à
être conformes à ses standards.
La réglementation : arme d’amélioration
massive de la sécurité ?
Cette abondance de littérature montre qu’il
n’y a pas de réel consensus en la matière
aujourd’hui. De plus, l’application des
bonnes pratiques édictées dans ces docu-
ments ne reste finalement qu’un acte de
volontariat de la part des entités concernées.
Comme cela est souvent le cas, l’adoption
de pratiques généralisées passe par la mise
en place d’une réglementation (SEVESO
par exemple). Et c’est bien ce qu’envisage
l’État français au travers de la LPM (Loi de
Programmation Militaire) : rendre obligatoire
l’adoption de certaines mesures de cybersé-
curité pour les OIV.
Mais ces avancées françaises ne doivent pas
faire oublier la nécessité d’une approche plus
globale, a minima européenne. En effet, au-
delà des mesures organisationnelles et tech-
niques, La LPM prévoit également le recours
à des produits labellisés. Il ne s’agit là que
d’un schéma franco-français. Les efforts
requis pour obtenir cette labélisation peuvent
apparaître comme un frein pour des construc-
teurs/éditeurs à portée internationale. Avoir
une reconnaissance européenne ou interna-
tionale de la sécurité de leur produit est donc
un élément déterminant et qui aboutira à un
réel retour sur investissement.
Dans ce domaine, des directives euro-
péennes sont également attendues, en par-
ticulier celle dédiée à la sécurité des réseaux
et des infrastructures (NIS). Elles légitime-
ront d’avantage les initiatives sur le terri-
toire français. L’ENISA a d’ailleurs publié
les bases d’un schéma de certification de la
sécurité des Smart Grid à portée européenne.
Avec une approche progressive, ce que tend
à faire l’État français, la réglementation
obtiendra l’adhésion des industriels. La ten-
dance va vers une adaptation des mesures
avec une personnalisation opérateur par
opérateur sans pour autant s’éloigner d’une
cible ambitieuse. La publication prochaine
des décrets d’application, puis des arrêtés
de la LPM, permettra de le vérifier.
Enfin, pour ceux qui ne sont pas immédia-
tement concernés en tant qu’opérateur cri-
tique, nul doute qu’ils bénéficieront de l’élan
global de ces démarches et pourront bien
évidement s’en inspirer en complément des
guides, normes et standards déjà existants.
Par Anthony Di Prima, manager
Normes, standards et réglementation :
de réels leviers pour enclencher une
démarche de sécurisation ?
Focus

Recommandé

Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014  scada panorama des referentiels sécurité système information ind...Clusif 2014  scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...echangeurba
 
Clusif 2014 Annexes référentiels de sécurité système information industriel /...
Clusif 2014 Annexes référentiels de sécurité système information industriel /...Clusif 2014 Annexes référentiels de sécurité système information industriel /...
Clusif 2014 Annexes référentiels de sécurité système information industriel /...echangeurba
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesCyber Security Alliance
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 

Contenu connexe

Tendances

Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieApec
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesThierry Pertus
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiSamy Ntumba Tshunza
 
Sécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleSécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleThierry Pertus
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
Tranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruptionTranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruptionThierry Pertus
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...StHack
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsPRONETIS
 
Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatiqueNRC
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetExaprobe
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Eric DUPUIS
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésThierry Pertus
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesFranck Franchin
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015polenumerique33
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielfEngel
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 

Tendances (20)

Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Sécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité SociétaleSécurité Positive : L'élévation par la Responsabilité Sociétale
Sécurité Positive : L'élévation par la Responsabilité Sociétale
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 
Tranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruptionTranformation digitale : de la digitalisation à la disruption
Tranformation digitale : de la digitalisation à la disruption
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
 
Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatique
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & Fortinet
 
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
Cyberdéfense-Eldorado-Emplois-Reconversion-v2r0
 
Cybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunitésCybersurveillance : Risques & opportunités
Cybersurveillance : Risques & opportunités
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industriel
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 

En vedette

Productividad inmobiliaria de nueva generacion
Productividad inmobiliaria de nueva generacionProductividad inmobiliaria de nueva generacion
Productividad inmobiliaria de nueva generacionR-A-H Realty/Rent-a-House
 
Realidad Virtual y Aumentada en Asia y Europa
Realidad Virtual y Aumentada en Asia y EuropaRealidad Virtual y Aumentada en Asia y Europa
Realidad Virtual y Aumentada en Asia y EuropaPrizni
 
Hoja blanca
Hoja blancaHoja blanca
Hoja blancaAnaisle
 
Preguntas de investigacion prof
Preguntas de investigacion              profPreguntas de investigacion              prof
Preguntas de investigacion profjpvg
 
Abre Tus Cielos
Abre Tus CielosAbre Tus Cielos
Abre Tus Cielosformula
 
Lenguajesdeprogramacion c nivel1-unidad4
Lenguajesdeprogramacion c nivel1-unidad4Lenguajesdeprogramacion c nivel1-unidad4
Lenguajesdeprogramacion c nivel1-unidad4camnav
 
Internet[2]
Internet[2]Internet[2]
Internet[2]karen
 
PresentacióN2
PresentacióN2PresentacióN2
PresentacióN2yishel
 
As[1][1] Gerencia Y Liderazgo
As[1][1]  Gerencia Y LiderazgoAs[1][1]  Gerencia Y Liderazgo
As[1][1] Gerencia Y Liderazgowilsonorlando
 
Redes3
Redes3Redes3
Redes3Erick
 
Nadando en nuevas aguas
Nadando en nuevas aguasNadando en nuevas aguas
Nadando en nuevas aguasZoila Ibarra
 
Emprendimientos 110817081400-phpapp02
Emprendimientos 110817081400-phpapp02Emprendimientos 110817081400-phpapp02
Emprendimientos 110817081400-phpapp02Carla Melisa Nicolato
 
unidad 1 - recuperacion
unidad 1 - recuperacionunidad 1 - recuperacion
unidad 1 - recuperacionjsaltos
 
El chuchímovil
El chuchímovilEl chuchímovil
El chuchímovileduardo
 

En vedette (20)

Productividad inmobiliaria de nueva generacion
Productividad inmobiliaria de nueva generacionProductividad inmobiliaria de nueva generacion
Productividad inmobiliaria de nueva generacion
 
Realidad Virtual y Aumentada en Asia y Europa
Realidad Virtual y Aumentada en Asia y EuropaRealidad Virtual y Aumentada en Asia y Europa
Realidad Virtual y Aumentada en Asia y Europa
 
La presentecion de la prehistoria
La presentecion de la prehistoriaLa presentecion de la prehistoria
La presentecion de la prehistoria
 
Hoja blanca
Hoja blancaHoja blanca
Hoja blanca
 
Preguntas de investigacion prof
Preguntas de investigacion              profPreguntas de investigacion              prof
Preguntas de investigacion prof
 
Hechos con-mazapan
Hechos con-mazapanHechos con-mazapan
Hechos con-mazapan
 
Abre Tus Cielos
Abre Tus CielosAbre Tus Cielos
Abre Tus Cielos
 
Lenguajesdeprogramacion c nivel1-unidad4
Lenguajesdeprogramacion c nivel1-unidad4Lenguajesdeprogramacion c nivel1-unidad4
Lenguajesdeprogramacion c nivel1-unidad4
 
Internet[2]
Internet[2]Internet[2]
Internet[2]
 
Presentación del 25 de mayo
Presentación del 25 de mayoPresentación del 25 de mayo
Presentación del 25 de mayo
 
PresentacióN2
PresentacióN2PresentacióN2
PresentacióN2
 
Los sacramentos 2010
Los sacramentos 2010Los sacramentos 2010
Los sacramentos 2010
 
Exploradores web
Exploradores webExploradores web
Exploradores web
 
As[1][1] Gerencia Y Liderazgo
As[1][1]  Gerencia Y LiderazgoAs[1][1]  Gerencia Y Liderazgo
As[1][1] Gerencia Y Liderazgo
 
Redes3
Redes3Redes3
Redes3
 
Nadando en nuevas aguas
Nadando en nuevas aguasNadando en nuevas aguas
Nadando en nuevas aguas
 
Emprendimientos 110817081400-phpapp02
Emprendimientos 110817081400-phpapp02Emprendimientos 110817081400-phpapp02
Emprendimientos 110817081400-phpapp02
 
unidad 1 - recuperacion
unidad 1 - recuperacionunidad 1 - recuperacion
unidad 1 - recuperacion
 
El chuchímovil
El chuchímovilEl chuchímovil
El chuchímovil
 
Niños
NiñosNiños
Niños
 

Similaire à Solucom lettre sécurité 36 janvier 2015 1201web

Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignThierry RAMARD
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets siASIP Santé
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfkhalid el hatmi
 
Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecuritesidomanel
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssiGaudefroy Ariane
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique AnssiAgathe Mercante
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 polenumerique33
 
Innovations digitales au service de la prevention dans le BTP
Innovations digitales au service de la prevention dans le BTPInnovations digitales au service de la prevention dans le BTP
Innovations digitales au service de la prevention dans le BTPstephanie bigeon-bienvenu
 
Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMEAvignon Delta Numérique
 
Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)
Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)
Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)Gimélec
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéNaully Nicolas
 
ACPR enquête sur la sécurité des systèmes informatiques des assureurs
ACPR enquête sur la sécurité des systèmes informatiques des assureursACPR enquête sur la sécurité des systèmes informatiques des assureurs
ACPR enquête sur la sécurité des systèmes informatiques des assureursLéo Guittet
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 

Similaire à Solucom lettre sécurité 36 janvier 2015 1201web (20)

Comment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By DesignComment appliquer le principe du Privacy By Design
Comment appliquer le principe du Privacy By Design
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
IEC 62443
IEC 62443IEC 62443
IEC 62443
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
guide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdfguide_hygiene_informatique_anssi.pdf
guide_hygiene_informatique_anssi.pdf
 
Mehari
MehariMehari
Mehari
 
Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecurite
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Guide hygiene informatique Anssi
Guide hygiene informatique AnssiGuide hygiene informatique Anssi
Guide hygiene informatique Anssi
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
Innovations digitales au service de la prevention dans le BTP
Innovations digitales au service de la prevention dans le BTPInnovations digitales au service de la prevention dans le BTP
Innovations digitales au service de la prevention dans le BTP
 
Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PME
 
Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)
Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)
Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)
 
Repenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécuritéRepenser votre stratégie de cybersécurité
Repenser votre stratégie de cybersécurité
 
ACPR enquête sur la sécurité des systèmes informatiques des assureurs
ACPR enquête sur la sécurité des systèmes informatiques des assureursACPR enquête sur la sécurité des systèmes informatiques des assureurs
ACPR enquête sur la sécurité des systèmes informatiques des assureurs
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & Continuité
 

Plus de Wavestone

Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Wavestone
 
Bank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeBank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeWavestone
 
Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Wavestone
 
Bank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeBank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeWavestone
 
Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Wavestone
 
Solucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseSolucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseWavestone
 
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Wavestone
 
Physical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or diePhysical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or dieWavestone
 
Bank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientBank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientWavestone
 
BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101Wavestone
 
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceSynthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceWavestone
 
The Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesThe Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesWavestone
 
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Wavestone
 
Réseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirRéseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirWavestone
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Wavestone
 
Carrefour des organisations n°77
Carrefour des organisations n°77Carrefour des organisations n°77
Carrefour des organisations n°77Wavestone
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Wavestone
 
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Wavestone
 
Solucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerSolucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerWavestone
 
Les Français et la banque : bouleversements en vue !
Les Français et la banque : bouleversements en vue !Les Français et la banque : bouleversements en vue !
Les Français et la banque : bouleversements en vue !Wavestone
 

Plus de Wavestone (20)

Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
 
Bank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeBank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnée
 
Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !
 
Bank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeBank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigme
 
Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”
 
Solucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseSolucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presse
 
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
 
Physical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or diePhysical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or die
 
Bank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientBank Insight - Piloter la relation client
Bank Insight - Piloter la relation client
 
BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101
 
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceSynthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
 
The Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesThe Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devices
 
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
 
Réseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirRéseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourir
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
 
Carrefour des organisations n°77
Carrefour des organisations n°77Carrefour des organisations n°77
Carrefour des organisations n°77
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
 
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
 
Solucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerSolucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance Speaker
 
Les Français et la banque : bouleversements en vue !
Les Français et la banque : bouleversements en vue !Les Français et la banque : bouleversements en vue !
Les Français et la banque : bouleversements en vue !
 

Solucom lettre sécurité 36 janvier 2015 1201web

  • 1. SI Industriel et sécurité : comment démarrer la transformation Les Systèmes d’Information Industriels (SII) sont intimement liés aux outils de production : chaînes de montage, machines-outils, fours, scanners médicaux, climatisations, aiguil- lages, pipelines... De plus en plus ouverts, ils deviennentunevraiepasserelleentrelesproces- sus de production et le Système d’Information de Gestion (SIG) de l’entreprise. Un SII est souvent modélisé en différentes couches. La première couche concerne le pro- cédéphysiquelui-même.Ladeuxièmeregroupe les capteurs, actuateurs, actionneurs et autres composantsélectroniquesintelligents(IED)qui interagissent physiquement avec le procédé. La troisième couche assure la supervision et le pilotage du procédé. Elle est composée d’élé- ments tels que les SCADA (Supervisory Control and Data Acquisition), des automates ou PLC (Programmable Logic Controller) et des équipe- mentsdistants,lesRTU(RemoteTerminalUnit). La quatrième couche regroupe les fonctions et outils de management des opérations de pro- duction.Enfin,lacinquièmeetdernièrecouche est tournée vers les fonctions avancées de pla- nification,lalogistiqueoul’approvisionnement, souvent interfacée avec les ERP. Initialementdéveloppéspourl’industrie,lessys- tèmes construits sur le même modèle se sont largementrépandus.Systèmesembarquésdans les voitures ou avions, imagerie médicale (scan- ner, IRM, etc.), systèmes plus étendus comme lessmartgrids,etc.:lesSIIsontdevenusomni- présents ! Des menaces accrues qui touchent tous les secteurs À l’origine les SII étaient isolés au sein d’un site ou d’une usine, mais aujourd’hui ils se doivent d’être largement interconnectés pour accroître productivité et compétitivité. Cette intercon- nexion permet de nombreux nouveaux usages mais augmente considérablement l’exposition aux cyberattaques. La majorité de ces systèmes n’a en effet pas été conçue pour une ouverture sécurisée et est d’autant plus vulnérable. Alors que les attaques d’États ou d’individus malveillantssemultiplientcesdernièresannées, les conséquences peuvent être considérables. UneatteinteàlasécuritéduSId’uneentreprise dusecteurdelachimiepourraitamenerledéver- sement de produits toxiques dans des systèmes degestiondeseauxouencore,dansletransport, conduire à des accidents. Des risques pour la confidentialité existent également : l’accès aux chaînes de production autorise l’accès à des secrets de fabrication industriels. Suite en page 2 DÉCRYPTAGES Sécurité des SI Industriels La sécurité des Systèmes d’Information Industriels (SII) est aujourd’hui au centre des préoccupations de nombreux acteurs. Ces systèmes qui permettent une action directe dans le monde « physique » à l’aide d’ins- tructions provenant du monde « logique » pilotent les outils de production de nom- breuses entreprises. Au-delà des risques environnementaux et humains, ils représentent également un enjeu stratégique pour les États. La récente multiplication des incidents, dont ceux révé- lés récemment en Allemagne par le BSI, en Corée du Sud sur les centrales nucléaires et probablement en Turquie, nécessite donc de se mobiliser pour les sécuriser et d’amorcer une transformation en profondeur. Mais par où commencer quand la sécurité a été laissée de côté pendant de nombreuses années ? Et que faire quand les équipements constitu- tifs de ce réseau contiennent eux-mêmes de nombreusesfaillesdifficilesvoireimpossibles à corriger ? C’est l’objet de ce numéro spécial de la Lettre Sécurité dédié intégralement au sujet de la sécurité des SII. Solucom sera présent au Forum International de la Cybersécurité (FIC) avec certains de ses expertssurcessujetssensibles.N’hésitezpas à nous rendre visite sur notre stand ! Gérôme Billois, Senior manager au sein de la practice Riskmanagement&sécuritédel’information Édito Architecture de sécurité des SI Indus- triels : de la théorie à la pratique P5 Niveau de sécurité des SI Industriels : les vulnérabilités les plus courantes P4 n° 36 La Lettre Sécurité Numéro spécial
  • 2. 2 • La Lettre Sécurité N°36 • janvier 2015 Les États de plus en plus mobilisés LesÉtatsréagissentpourfairefaceauxmenaces sur ces systèmes. Sur le continent nord-amé- ricain, la conformité au standard NERC-CIP est devenue obligatoire pour les opérateurs de réseaux électriques. L’État Français, au travers de sa Loi de Programmation Militaire, entend faire appli- quer aux OIV (Opérateur d’Importance Vitale) des mesures de cybersécurité, notamment sur leur SI Industriel. Si un guide visant à proposer un cadre de protection minimum pour les ins- tallations a déjà été élaboré par l’ANSSI, des décretsd’applicationsectorielssontattendus.Ils définirontplusprécisémentlesrèglesdesécurité obligatoires.Lesentreprisesdoiventsepréparer pourêtreenmesurederépondreàcesnouvelles exigences. Penser la sécurité des SII différemment La sécurisation des SII nécessite d’intégrer de nouvelles contraintes pour définir des solutions adaptées.Vouloirappliquerlesbonnespratiques desécuritéconventionnellesseraituneerreurcar lesSIIndustrielsprésententdescaractéristiques différentes des SI de gestion. L’échelle de temps est bien spécifique. Les lignes de production sont souvent conçues pour une durée de vie de l’ordre de 10 à 15 ans, parfois même au-delà. Par exemple, dans certains sec- teurs comme celui des réseaux électriques, les équipementssontcensésêtreenplacependant plusieurs dizaines d’années. Ladisponibilitéetlasûretésontaucœurdesatten- tions. Dans cet univers spécifique, le critère de disponibilité est primordial. De plus, dans les environnements à risques (SEVESO, nucléaire, etc.) le maintien des fonctions de sûreté qui assurent la protection des hommes et de l’envi- ronnement est essentiel. Lesfournisseursimposentdessolutionspackagées de bout en bout. Et ils sont souvent réticents à appliquer les bonnes pratiques de sécurité, même lorsque leurs systèmes reposent sur des solutions peu sécurisées issues des SI de gestion… Les contextes d’implantation sont particuliers et rendentlemaintienenconditionopérationnellede lasécuritécomplexe.Iln’estpasrared’avoirune partie du système (voire le système entier) loca- lisée sur des sites distants, parfois inoccupés, difficiles d’accès et où les conditions peuvent être « hostiles ». Cela concerne par exemple les SII présents sur les plates-formes pétrolières, les pipelines gaziers ou pétroliers, ou encore les réseaux d’eau. Initier la démarche de sécurisation Avant d’entreprendre de grands chantiers de sécurité, il est important de savoir d’où on part. Le SII est-il vulnérable ? Dans quelle mesure est-il ouvert sur l’extérieur ? Quel est son véri- table niveau d’exposition face aux nouvelles menaces ? Trois approches différentes permettent de répondre à ces questions. L’audit « flash », sur les sites les plus sensibles ou ayant connu un incident récent, permet d’identifier rapidement les vulnérabilités et les zones non protégées. L’analyse de risques d’un processus industriel permet de son côté d’estimer les impacts financiers, humains et environnementaux en cas d’incident. Un bilan de conformité consiste à demander à chaque site industriel d’évaluer son niveau de sécurité sur la base d’un ques- tionnaire. Si cette dernière approche est moins concrèteetfiable,ellepermetd’avoirunevision globale plus rapidement. Il n’y a pas de chemin type : les trois approches peuvent être utilisées ou combinées. Elles doivent aussi être l’occasion de mobiliser la direction générale et les directions métiers dont l’engagementetl’implicationdansladuréesont nécessaires. Mettre en place une filière sécurité des SI Industriels La mise en place d’une gouvernance globale de lasécuritédesSIIestessentiellepouraugmenter le niveau de sécurité dans la durée. Cela passe par la nomination d’un Responsable de la sécu- rité des SII chargé de la définir, de la mettre en œuvre et de l’animer. Qu’il vienne du Métier, du monde de la DSI, de la sécurité SI ou du monde industriel (auto- matisme, sûreté, etc.), il doit être capable de jouer le rôle de facilitateur entre ces différentes sphères.Laconnaissancedumétierindustrielet lesqualitéshumainessontdoncàprivilégierlors de son identification plutôt qu’une expertise en sécurité. Son rattachement peut être à étudier en fonction du contexte de l’entreprise : s’il est courant qu’il fasse partie des équipes sécurité SI,ilestparfoisdirectementrattachéauxMétiers concernés. Le Responsable de la sécurité des SII pourra s’appuyer sur un réseau de correspondants qui se feront le relais de la stratégie et des actions Dossier
  • 3. La Lettre Sécurité N°36 • janvier 2015 • 3 sur les différents sites industriels. Il dévelop- pera également des relations étroites avec des acteurs incontournables du SII : • les chefs de projets industriels, avec les- quels il faudra s’assurer que la sécurité est prise en compte dès la conception ; • les responsables de la sûreté, avec les- quels il mettra en œuvre une démarche commune de gestion des risques indus- triels ; • les responsables de l’exploitation et de la maintenance, pour s’assurer de la bonne exécution des processus de maintien en condition opérationnelle et de sécurité du SII ; • lesresponsablesdesachats,pourdiffuser les bonnes pratiques en matière d’exi- gences de sécurité dans toutes relations avec les tiers et dans les contrats avec les fournisseurs ; • la DSI et le RSSI pour s’interfacer avec le SIclassiqueetcapitalisersurlesbonnes pratiques. Intégrer la sécurité dès la conception Concevoir une usine, un site industriel ou un équipementembarqués’accompagnelaplupart du temps d’études de sûreté. Il faut tirer parti de cette culture déjà bien ancrée pour y insérer lesétudesdesécuritéduSIIndustrielquiseront centrées sur les risques de cybersécurité. Attention toutefois à rester vigilant et ne pas se focaliser uniquement sur le procédé industriel lui-même. L’environnement proche ou éloigné du SII est à étudier pour chaque projet : dans quellesconditionslesinterventionsdetierspour latélégestionetlatélémaintenanceseront-elles réalisées ? Le fournisseur s’applique-t-il lui- même des exigences de sécurité lorsqu’il déve- loppe les solutions industrielles ? Traiter les urgences sans négliger la sécu- risation à moyen terme Les particularités des SII poussent souvent les entreprises à allier des solutions palliatives à court terme et à saisir l’opportunité de faire des modifications en profondeur quand elle se pré- sente : arrêt de production, renouvellement de l’outilindustriel,changementdefournisseur,etc. C’est particulièrement vrai pour la mise en œuvre du cloisonnement et de la segmentation des réseaux : si on peut isoler le SI de gestion, les changements sur les réseaux de production sont plus complexes à organiser ! La refonte des accès distants est également à intégrer dans cette réflexion. Elle nécessite de revoir les contrats établis sur plusieurs années, pour lesquels la renégociation des modalités d’inter- vention, de télégestion et de télémaintenance est peu fréquente. En parallèle, une fois les vulnérabilités sur le système identifiées, il faut être en capacité de lescorriger.Appliquerlescorrectifsn’estparfois pas envisageable et remplacer les équipements par d’autres plus récents offrant les dernières fonctionsdesécuritéprésenteuncoûtnonnégli- geable, tant en termes financiers qu’en perte d’exploitation potentielle sur des systèmes où la disponibilité est cruciale. ConscientdesvulnérabilitésdesSII,ilestcrucial demettreenplace,surl’installationindustrielle, des dispositifs de surveillance afin de détecter et de réagir face aux incidents. L’intégration du SII au SOC ou au CERT de l’en- treprise peut être envisagée dans une stratégie de réaction globale. Unedémarcheàconstruiredèsaujourd’hui La mise en œuvre de la sécurité pour les SI Industrielsnepourrasefairequ’ens’accommo- dantdesspécificitésetdescontextesparticuliers dans lesquels ils évoluent. Mobiliser les direc- tionsMétiersetcombinerlessavoir-faireissusdu monde industriel et de gestion sont assurément des facteurs clés de succès. En parallèle, les fonctions de responsable de la sécurité du SI de gestion et de responsable de la sécurité du SI Industriel doivent s’associer, voire fusionner, pour assurer la cohérence de la démarchedesécurisationdel’entreprisedebout en bout dans une approche globale. Anthony Di Prima, manager anthony.diprima@solucom.fr Quelques exemples d’attaques de SI Industriels
  • 4. 4 • La Lettre Sécurité N°36 • janvier 2015 Dossier Le niveau de sécurité actuel des SI Industriels est souvent remis en question par les spécia- listes en sécurité. Alors, cri au loup ou réalité encore méconnue ? Les audits et études réa- lisés par Solucom ne font que confirmer les défauts de sécurité sur ces infrastructures. Une sécurisation insuffisante, voire inexistante Les automates programmables industriels (API), en charge de l’interface avec le monde physique, n’intègrent souvent que peu de fonctions de sécurité et les failles de sécurité publiques les concernant sont nombreuses. L’ICS-CERT a ainsi publié près d’une centaine de bulletins de vulnérabilités sur des compo- sants industriels. Les protocoles de commu- nication utilisés sont un des maillons faibles de la chaîne. Ces protocoles, parmi lesquels on peut citer Modbus, permettent l’échange de consignes ou de valeurs en clair, sans chiffrement. De même, les possibilités d’authentification des actions sont souvent limitées, permet- tant à n’importe quel attaquant ayant accès au réseau de modifier les consignes des auto- mates et ainsi d’influer sur leur comportement. Les interfaces d’administration des automates sont par ailleurs souvent protégées par des mots de passe par défaut, jamais changés, et qui parfois ne peuvent pas l’être. Les sys- tèmes plus intégrés appelés SNCC (Systèmes Numériques de Contrôle-Commande) ne sont pas garants d’une sécurité accrue, les proto- coles propriétaires utilisés n’apportant pas forcément une réelle couche de sécurité. La situation est identique pour les PC de super- vision ou de programmation qui sont souvent des équipements reposant sur des technolo- gies standard, tels que des systèmes d’exploi- tation Microsoft Windows. Malheureusement, l’expérience sécurité acquise sur le SI de ges- tion pour ces équipements profite rarement à leur sécurisation sur la partie industrielle. Les étapes de durcissement sécurité sont rares, de même que l’application de correctifs de sécurité, ou encore la présence d’un antivirus. Il est fréquent de pouvoir prendre le contrôle de ces systèmes par l’exploitation d’une faille de sécurité datant de près de 6 ans. Un cloisonnement tout à fait relatif De plus, les équipements du SI Industriel sont trèslargementinterfacésaveclesSIdegestion. Le cloisonnement entre ces deux mondes est souventpermissif.Ilarrivemêmequelefiltrage autorise l’accès à certains équipements indus- trielsdepuisl’ensembleduréseauinterned’une entreprise, ce qui peut représenter plusieurs dizaines de milliers de machines. Les postes de programmation et clés USB constituent également des vecteurs d’attaques puisqu’ils sont connectés à des réseaux de niveau de sécurité hétérogène, voire à des envi- ronnementsnon-maîtrisés(parexempledansle cas de sous-traitants). Pire encore, il arrive trop souvent que des équi- pements industriels soient accessibles directe- ment sur internet. Il existe même des moteurs de recherche dédiés à la recherche d’équipe- mentsexposéssurinternet,Shodanétantleplus connu.Prèsde1500équipementsModbussont ainsi recensés en France sur Shodan et plus de 20 000 dans le monde. Un constat d’échec ? Il ne s’agit néanmoins pas de se lamenter. Bien que le niveau de sécurité actuellement constaté soit faible, il est possible de mener des actions d’amélioration. Au-delà des concepts d’architecture qui permettent de cloisonner ces équipements vulnérables, la vraie, seule solution à long terme consiste à développer de nouveaux produits, sécurisés by design. Bien sûr, les fruits de ce travail ne se verront que sur les nouvelles installations, et pas avant plusieurs dizaines d’années. On peut espérer que la prise de conscience globale des parties prenantes, ainsi que l’implication des instances gouvernementales accélèrent ce changement. En attendant il semble aujourd’hui nécessaire de déporter les fonctions sécurité sur des équipements dédiés, comme des passerelles encapsulant le trafic réseau dans un tunnel chiffré, ou bien des pare-feu ou IPS dispo- sant de modules spécifiques aux protocoles industriels. Enfin, il faut également savoir tirer parti d’une des faiblesses des SI Industriels : leur durée de vie et la complexité de changements. En effet, la mise en place d’une supervision sécurité sera facilitée par le caractère figé des réseaux industriels : il est rare que de nouveaux équi- pements soient installés ou que la topologie réseau soit modifiée. De même, l’emploi d’une solution de contrôle d’exécution par liste blanche sera plus facile sur un PC industriel n’exécutant qu’un seul logiciel de supervision que sur un poste de travail bureautique. Niveau de sécurité des SI Industriels : les vulnérabilités les plus courantes Décryptage Arnaud Soullie, consultant arnaud.soullie@solucom.fr Actuellement, les outils d’audit et tests d’intrusion dédiés aux SI Industriels sont encore assez rares, bien que la tendance soit à la hausse. On peut notamment citer : • PLCscan, qui permet d’identifier des automates sur un réseau. • Mbtget, un client Modbus écrit en Perl. Nos recherches nous ont également amenés à créer les outils suivants : • Un module client Modbus pour Metasploit1 . • Desmodificationsaumodule«modicon_stux_transfer»deMetasploitpermettantd’atta- quer les automates Schneider2 , notamment pour copier, à distance et sans authentifica- tion, le programme de l’automate via des requêtes Modbus spécifiques. • Des scripts Python permettant de dialoguer avec les automates Siemens3 . Quels outils pour auditer un SI Industriel ? 1 - http://www.rapid7.com/db/modules/auxiliary/scanner/scada/modbusclient 2 - https://github.com/arnaudsoullie/metasploit-framework/blob/modicon_stux_transfer/modules/auxiliary/admin/scada/modicon_stux_transfer.rb 3 - https://github.com/arnaudsoullie/scan7
  • 5. La Lettre Sécurité N°36 • janvier 2015 • 5 Décryptage Architecture de sécurité des SI Industriels : de la théorie à la pratique Les architectures des SI Industriels s’alignent souvent sur le modèle ISA 95. Si cet aligne- ment est surtout motivé par le besoin d’optimi- ser en continu les procédés industriels, il n’est pas sans risque du point de vue de la sécurité. Alors que les installations industrielles doivent faire face à de nombreux risques, en particulier humains et environnementaux, orchestrer leur ouverture au SI de l’entreprise voire à internet les expose à des menaces plus nombreuses et virulentes. Cloisonnement et segmentation : standards et réglementations se mettent d’accord Pour traiter ces risques, trois méthodologies issues de l’IEC 62443, du NIST SP-800-82 et duguidedel’ANSSI,sontusuellementretenues. L’IEC 62443 (ISA99) a établi les concepts de « zones » et de « conduits » avec pour chacun un niveau de sécurité (Security Level – SL) et des règles bien spécifiques. Ledécoupageenzonespeuts’établird’unpoint de vue physique (bâtiment, atelier) ou logique (répartition par processus industriel ou par fonction). Toutes les zones communiquent entres elles par un conduit et peuvent également être imbriquées, dans une logique de défense en profondeur. Selon le niveau de criticité des zones et des conduits, des règles de sécurité sont définies et peuvent être plus ou moins restrictives. La détermination du niveau de sécurité d’une zone (ou d’un conduit) s’effectue au travers d’une analyse de risque. Concrètement, il cor- respondauniveauderobustessedesmesuresde sécuritéàimplémenterpermettantdefaireface à des menaces plus ou moins évoluées. Pour l’IEC, il s’agira de segmenter et d’isoler physiquement les SI Industriels des SI de ges- tionetaussidecloisonnerlessystèmescritiques (systèmes de sûreté) des systèmes de conduite des procédés. Le NIST, au travers de sa publication spé- ciale pour les systèmes industriels, expose de bonnes pratiques d’architectures sécuri- sées sans promouvoir un modèle en particu- lier. Il consacre un chapitre entier au thème de la sécurisation des architectures des SI Industriels. Il met en avant le cloisonnement entre SI de gestion et SI Industriels en propo- sant des architectures type à base de DMZ, de firewall voire de diode. De bonnes pratiques et une matrice de flux type sont même proposées avec un focus pour des flux plus spécifiques. En France, l’ANSSI prévoit de catégoriser les SI Industriels en 3 classes distinctes selon leur criticité. Trois niveaux sont définis ; la détermination du niveau pour une installation s’effectue au travers de critères tels que connectivité, fonc- tionnalités,niveaud’exposition,attractivitépour un attaquant, vraisemblance et impacts en cas d’attaque. Pour chacune des classes, des règles plus ou moins strictes font émerger entre autres des principes forts d’architectures sécurisées. Cette démarche peut être itérative. Il est pos- sible de découper l’installation industrielle en plusieurszonesetd’établirpourchacuned’elles son niveau de classe. Celarejointl’approchedel’IEC62443audétail près qu’ici, la méthodologie de l’ANSSI établit les niveaux de classe en priorité au regard des impacts pour la population, l’environnement et l’économienationalesanssesoucierdel’impact direct pour l’entreprise concernée. Quelle que soit la méthodologie mise en œuvre, le constat final reste le même : segmentation et cloisonnement constituent des briques essen- tiellesenvuedeprotégerlesSIIndustriels.Mais l’expériencemontrequesegmenteretcloisonner n’est pas toujours simple… Besoin métier et sécurité : la quadrature du cercle ? Dans bien des cas, on observe un besoin élevé de remonter vers le SI de gestion des données « procédé » en vue de les analyser. Et ce pour différentes raisons : calcul d’optimisation, calcul financier, supply chain, Big data… Selon la méthode de l’ANSSI, une installation de classe 3 ne peut communiquer avec le SI de gestion que de façon unidirectionnelle via l’utilisation d’une diode. Mettre en œuvre ce genredetechnologiepeutparfoisreleverdel’im- possible : impossibilité d’avoir du temps réel, incompatibilitédessolutionsd’historisationdes données procédé… Dans ce cas, on découpera l’installation en sous-systèmes de façon à pou- voirluiattribuerdifférentsniveauxdeclasse.Un sous-système de classe 2 peut communiquer de façon bidirectionnelle avec le SI de gestion, tandis que le sous-système le plus critique de classe 3 n’est autorisé à communiquer uni- directionnellement qu’avec ce sous-système de classe 2. Cette approche peut notamment être considérée pour les systèmes de sûreté. Si dans certains cas cela peut sembler réa- liste, c’est parfois beaucoup plus complexe. L’exemple d’installations s’appuyant sur des SNCC (Système Numérique de Contrôle Commande)montrequelessystèmesdesûreté, ou Systèmes instrumentés de sécurité (SIS), peuventêtretotalementimbriquésaveclessys- tèmesdeconduite:mutualisationdescapteurs pour les automates de conduite et de sûreté, automates assurant à la fois des fonctions de conduite et de sûreté. Deux solutions opposées sont possibles Deux solutions extrêmes sont peut-être à envisager. La première consisterait à revoir un certain nombre de process supports associés au pro- cédé industriel pour permettre un cloisonne- ment fort des SI Industriels vis-à-vis des SI de gestion. La deuxième serait de revenir à des solutions « moins connectées » : désimbrication totale du SIS, dédoublement des capteurs, auto- mates / contrôleurs de sûreté dédiés et isolés, recours à la logique « câblée », automates et contrôleurs non « modifiables ». Ces deux solutions peuvent sonner comme un retour en arrière. Le meilleur compromis réside sans doute dans une approche plus souple, fondée sur le bon sens et une gestion réaliste du risque. Par Anthony Di Prima, manager
  • 6. 6 • La Lettre Sécurité N°36 • janvier 2015 La sécurité des SII n’est pas un problème nouveau et diverses initiatives, provenant d’agences gouvernementales, d’organismes de standardisation ou d’organisations sec- torielles, ont eu pour objectif d’établir des documents de référence en la matière. Une multitude de textes La liste est longue, c’est pourquoi il convien- dra de s’appuyer sur le (ou les) référentiel(s) le(s) plus adapté(s) : secteur, niveau de cri- ticité de son installation. À ce titre, le CLUSIF, par l’intermédiaire du groupe de travail sur la sécurité des systèmes industriels, animé notamment par Solucom, a publié un panorama des référentiels en la matière. Pas moins d’une cinquantaine de documents ont été analysés et des fiches de lecture per- mettent d’en avoir une vision synthétique. Les documents ont été répertoriés et catégo- risés : des plus introductifs aux plus exhaus- tifs, allant de quelques pages à plus d’un millier, le guide du CLUSIF précise à quels lecteurs ils sont le plus adaptés (filières SSI ou SII, concepteur/intégrateur/mainteneur). Les objectifs de ces référentiels sont mul- tiples. Ils peuvent être utilisés comme un véritable outil pour réaliser des audits de sites, définir sa stratégie et les actions associées ou plus simplement évaluer son degré d’aligne- ment et de conformité au standard retenu. De tous, l’IEC 62443 est sans doute le réfé- rentiel le plus connu du milieu et propose de nombreux guides qui tentent d’adresser l’ensemble des pans de la sécurité de ces SI. L’ISO a également apporté sa pierre à l’édifice avec la récente norme ISO 27019. Les États publient également des guides natio- naux. Au Royaume-Uni, le CPNI (Center for the Protection of National Infrastructure) pro- pose plusieurs guides thématiques autour de la sécurité des SI industriels. Aux États-Unis, plusieurs entités (DHS, DoE…) ont élaboré des guides sectoriels. Enfin en France, l’ANSSI a également publié ses propres guides. Certains secteurs ont apporté une réponse propre à leurs spécificités respectives comme l’AIEA qui propose son guide pour les instal- lations nucléaires ou encore le NERC CIP qui oblige les différents opérateurs électriques à être conformes à ses standards. La réglementation : arme d’amélioration massive de la sécurité ? Cette abondance de littérature montre qu’il n’y a pas de réel consensus en la matière aujourd’hui. De plus, l’application des bonnes pratiques édictées dans ces docu- ments ne reste finalement qu’un acte de volontariat de la part des entités concernées. Comme cela est souvent le cas, l’adoption de pratiques généralisées passe par la mise en place d’une réglementation (SEVESO par exemple). Et c’est bien ce qu’envisage l’État français au travers de la LPM (Loi de Programmation Militaire) : rendre obligatoire l’adoption de certaines mesures de cybersé- curité pour les OIV. Mais ces avancées françaises ne doivent pas faire oublier la nécessité d’une approche plus globale, a minima européenne. En effet, au- delà des mesures organisationnelles et tech- niques, La LPM prévoit également le recours à des produits labellisés. Il ne s’agit là que d’un schéma franco-français. Les efforts requis pour obtenir cette labélisation peuvent apparaître comme un frein pour des construc- teurs/éditeurs à portée internationale. Avoir une reconnaissance européenne ou interna- tionale de la sécurité de leur produit est donc un élément déterminant et qui aboutira à un réel retour sur investissement. Dans ce domaine, des directives euro- péennes sont également attendues, en par- ticulier celle dédiée à la sécurité des réseaux et des infrastructures (NIS). Elles légitime- ront d’avantage les initiatives sur le terri- toire français. L’ENISA a d’ailleurs publié les bases d’un schéma de certification de la sécurité des Smart Grid à portée européenne. Avec une approche progressive, ce que tend à faire l’État français, la réglementation obtiendra l’adhésion des industriels. La ten- dance va vers une adaptation des mesures avec une personnalisation opérateur par opérateur sans pour autant s’éloigner d’une cible ambitieuse. La publication prochaine des décrets d’application, puis des arrêtés de la LPM, permettra de le vérifier. Enfin, pour ceux qui ne sont pas immédia- tement concernés en tant qu’opérateur cri- tique, nul doute qu’ils bénéficieront de l’élan global de ces démarches et pourront bien évidement s’en inspirer en complément des guides, normes et standards déjà existants. Par Anthony Di Prima, manager Normes, standards et réglementation : de réels leviers pour enclencher une démarche de sécurisation ? Focus
  • 7. La Lettre Sécurité N°36 • janvier 2015 • 7 Décryptage Le facteur humain dans l’accident de la raffinerie de Texas City, 2005 Pendant la nuit, les équipes de la raffinerie se préparèrent à un redémarrage de la colonne de distillation.Aumatin,l’équipedejourredémarra l’installation. Tout semblait bien se dérouler et le cadre supervisant l’opération passa la suite à l’un de ses collègues. Mais soudain, une énorme explosion se produisit dans la torchère, causant la mort d’une quinzaine de personnes installées dans des bureaux préfabriqués situés àquelquesmètresdelatorchère,surunespace libre. Personne ne comprit ce qui se passait et on crût à un attentat. Les erreurs commises et leurs leçons L’enquête a montré que cet accident était la conséquence d’erreurs simples et multiples qui auraient pu être évitées. Toutd’abord,lesprocéduresdedémarragen’ont pas été respectées car elles étaient contrai- gnantes. Les opérateurs avaient pris l’habitude de les court-circuiter. Par ailleurs, le manage- ment de la raffinerie avait fermé les yeux sur plus de 13 cas de non-respect de la procédure de redémarrage recensés par les enquêteurs. Expliquer le bien-fondé des procédures et les dangers auxquels les opérateurs sont exposés incite le personnel à les respecter. Cela aug- mente à peu de frais la sécurité d’ensemble. De plus, une structure de traitement du retour d’expérienceauraitsansdoutepermisdedéceler l’anomalie et d’y remédier de façon pratique en prenant en compte les contraintes de terrain et les propositions des opérateurs. Le non-respect de la procédure consistait à dépasser le niveau d’hydrocarbure à distil- ler dans la tour. Mais les opérateurs étaient confiants dans le fait que s’ils dépassaient le niveau prescrit par la procédure, une alarme de « rattrapage » s’activerait. Ils pensaient aussi que la régulation de niveau automatique main- tiendraitleniveaudansdeslimitesacceptables. Ce qu’ils ne savaient pas, et que personne n’a contrôlé, c’est que l’alarme de « rattrapage » étaitdéfaillanteetquelarégulationautomatique n’avait pas été mise en marche. Nous relevons là plusieurs erreurs de transmis- sion d’informations, de maintenance et de non- vérification de fonctionnalités importantes pour la sécurité. Organiser les passations de suite entre équipes, entre opérateurs et superviseurs, formaliser les communications, mettre en place des tableaux de situations et un système de bons de travaux opérationnel aurait permis d’alerter les opéra- teurs et de corriger largement à temps la défail- lance, même si les procédures étaient court-cir- cuitées ce jour-là. Par ailleurs, les informations présentées à l’opérateur de jour et à son superviseur étaient biaisées et les ont conduit tous deux à se faire une représentation erronée de la situation. Par manque de formation et d’expérience, ils n’ont pas identifié d’incohérences et n’ont pas consi- déré lesdites informations d’un œil critique. Sensibiliser opérateurs et superviseurs à croiser lesinformationset,pourcesderniers,àprendre du recul, aurait sans doute permis de déceler une anomalie. Ne perdons pas de vue qu’une formation défail- lante doit être au moins compensée par une supervision plus attentive parce qu’expérimen- tée. La formation se fait alors naturellement in situ.Constitueruneéquiped’unopérateurinsuf- fisamment formé (il ne savait pas que le liquide devait sortir de la tour) et d’un superviseur inexpérimenté (il ne regardait pas les bonnes indicationsetfaisaitconfianceàl’opérateur)est une erreur de management. Vis-à-vis des impacts de l’accident, pourquoi y avait-il des bureaux préfabriqués à proximité de la torchère ? Vraisemblablement à cause de l’absence d’analyse de risques. Créer et entretenir une culture de sécurité au sein d’une entreprise encourage le personnel à s’interroger(«quesepasserait-ilsi…»)etamène à considérer les opérations en cours d’un œil critique, bénéfique pour la sécurité de tous. Danslecontextedel’accident,ilfautmentionner lespressionsdelahiérarchiesurlemanagement de la raffinerie. Outre le fait que cette raffinerie avaitétérachetéedepuispeuparuneautrecom- pagnieetquelestensionsétaientencorevivesà causedeculturesd’entreprisesdifférentesetde craintes légitimes, une réduction des coûts de 25% avait été décidée. Cela a nécessairement euunimpactsurlasécurité,secteurhabituelle- ment considéré comme coûteux pour un retour sur investissement impossible à chiffrer. Inviter les cadres à résister aux sirènes du low cost et à ne pas transiger sur la sécurité aurait permis de prévenir bien en amont ce désastre. Il n’est pas question ici de décider à qui revient la responsabilité de cette explosion et des 15 victimes : trop de personnes, à tous les niveaux, portent une petite part de responsa- bilité. L’accident s’explique en effet par cette accumulationd’erreurs.Maisimaginonsqu’une seuledespersonnesimpliquéesaitcorrigél’une des défaillances, il est certain que l’accident n’aurait pas eu lieu. Par conséquent, en aidant les entreprises à travailler leur organisation, améliorer les com- munications entre personnes et entre groupes, en sensibilisant sous de multiples formes les opérateursetleursmanagersauxrisquespris,il estpossibleàpeudefraisd’améliorerlasécurité dans de grandes proportions. Ceci vaut égale- ment pour la sécurité de l’information dans les SI Industriels ! Jean Magne, manager jean.magne@solucom.fr
  • 8. Panorama de la cybercriminalité - Conférence CLUSIF le 14 janvier 2015 à 15h30 Le CERT-Solucom interviendra dans le cadre du panorama annuel de la cybercriminalité réalisé par le CLUSIF. Les sujets suivants seront abordés : • Accueil et introduction - Lazaro PEJSACHOWICZ, Président du CLUSIF • Polémique/FUD/Exagérations - Gérôme BILLOIS, Solucom • Objets connectés – L’Actualité et le Juridique - Fabien COZIC, Enquête et Conseils & Garance MATHIAS, ME Garance Mathias • Chantage et rançon - Gérôme BILLOIS, Solucom • L’année des vulnérabilités - Hervé SCHAUER, Directeur Général Hervé Schauer Consultants • Les Nouveaux Pickpockets - Loïc GUEZO, Trend Micro & Christophe JOLIVET, Prosica • L’évolution de la menace - Philippe BOURGEOIS, CERT-IST & Eric FREYSSINET, Gendarmerie Nationale • Le cybercrime, des deux côtés de la rivière - Eric FREYSSINET, Gendarmerie Nationale • Conclusion, mise en Perspective - François PAGET, Intel Security Pour en savoir plus : http://clusif.asso.fr/fr/infos/event/ Prochains événements : • 19 janvier CORI&IN – Présentation de l’outil CERTITUDE, outil d’investigation numérique distribué, réalisé par le CERT-Solucom. Intervention de Vincent Nguyen et Jean Marsault. • 20 & 21 janvier – Forum International de la Cybersécurité (FIC). Solucom sera présent lors de cette 7ème édition du salon et animera la table-ronde « Smart city et cybersécurité » Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Gérôme Billois, Anthony Di Prima, Sarah Lamigeon, Jean Magne, Arnaud Soullie Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : Les enfants gâtés Impression : Axiom Graphics ISSN 1995-1975 La Lettre Sécurité Revue de la practice risk management et sécurité de l’information du cabinet Solucom Tour Franklin, 100-101 terrasse Boieldieu La Défense 8 92042 Paris - La Défense solucom@solucom.fr http://www.solucom.fr abonnement : lettresecurite@solucom.fr L’actualité Solucom Solucom se renforce dans le domaine du tertiaire financier et de l’industrie Courant octobre, Solucom annonçait son rapprochement avec Audisoft-Oxéa. Ce cabinet de conseil d’une trentaine de consultants accompagne les grands acteurs du secteur financier sur l’en- semble de leurs enjeux en matière de performance, réglementation, conformité, contrôle interne et gestion des risques. L’expertise d’Audisoft-Oxéa est largement reconnue par la place financière, notam- ment par les autorités de tutelle et les régulateurs (ACPR, AMF). À noter également que Solucom vient de reprendre la branche Industrie de PEA consulting, comprenant une douzaine de collaborateurs, renforçant ainsi sa connaissance des activités industrielles de ses clients, notamment en matière de supply chain. Pour en savoir plus : http://www.solucom.fr/finance/