Positionnement de la Cybersécurité
entre Sécurité et Sûreté
« faux-amis » ou vraies synergies ?
Thierry PERTUS
Mars 2016
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
► Avant-propos
Entre abu...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
p 3
Sécurité
informatiqu...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
p 4
Sécurité (safety) vs...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
p 5
Threat
(Menace)
Haza...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
Confinement
Logique
Phys...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
Confinement
Logique
Phys...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
Confinement
Logique
Phys...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
Confinement
Logique
Phys...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
► Parallèles entre Cyber...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
► Conclusion
A l’instar ...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
Mars 2016 p 12
Annexes
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
► Cadre normatif relatif...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
► Cadre normatif relatif...
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
p 15
Source* : Le 100e S...
Thierry PERTUS
Consultant senior
CISM, ISO/IEC 27001:2013 LI, ISO/IEC 27005:2011 RM
Cybersécurité
Powered by
securite@coni...
Prochain SlideShare
Chargement dans…5
×

Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » ou vraies synergies ?

614 vues

Publié le

Positionnement de la Cybersécurité entre Sécurité et Sûreté - Thierry PERTUS - Conix

Publié dans : Formation
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
614
Sur SlideShare
0
Issues des intégrations
0
Intégrations
11
Actions
Partages
0
Téléchargements
23
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » ou vraies synergies ?

  1. 1. Positionnement de la Cybersécurité entre Sécurité et Sûreté « faux-amis » ou vraies synergies ? Thierry PERTUS Mars 2016
  2. 2. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ? ► Avant-propos Entre abus de langage, erreurs de traduction anglais/français, spécificités sectoriels ou encore posture marketing, la perception entre sécurité et sûreté a de quoi être altérée d’un individu à l’autre, selon sa fonction, sa discipline, son secteur d’activité, sa culture personnelle, etc. Concernant le domaine du numérique, remplaçant les désormais obsolètes « TIC » (Technologies de l’Information et des Télécommunications), l’ambigüité est encore plus manifeste, en particulier lorsque des experts cybersécurité sont amenés à échanger avec des experts automaticiens dans un contexte industriel. Une clarification du vocabulaire, des concepts et des champs d’application s’impose alors pour éviter les quiproquos. Qu’entend-t-on exactement par sécurité et sûreté ? Quelles sont les différences ? En quoi sont-elles liées ou se recouvrent-elles ? Que couvre précisément la cybersécurité ? Comment se positionne-elle vis-à-vis des disciplines voisines ? C’est à toutes ces questions que nous allons tenter de répondre en nous appuyant sur le cadre normatif (tout en prenant quelque fois une certaine distance lorsque celui-ci porte en son sein quelques anomalies …). Mars 2016
  3. 3. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ? p 3 Sécurité informatique Sécurité des Systèmes d’Information (SSI) 1985 1990 1995 2000 2005 2010 2015 Considérations organisationnelles (gouvernance) Considérations techniques (opérationnel) Information Technology (IT) Security Computer Security Sécurité de l’information Cyber- sécurité Information Security (IS) Cyber- Security (Cyber- défense) Source : La sécurité numérique dans l'entreprise - Pierre-Luc Refalo (Eyrolles) ► De la « sécurité informatique » à la « cybersécurité » Plus qu’une évolution sémantique, une prise de conscience des enjeux liés à la convergence numérique et à la dépendance au cyberespace. Mars 2016
  4. 4. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ? p 4 Sécurité (safety) vs. Sûreté (security) La sécurité consiste à prévenir contre les accidents (liés à des évènements fortuits ou des actes sans intention de nuire) La sûreté consiste à prévenir contre les actes de malveillance (liés à des actes délibérés ou à la négligence avec intention de nuire) Attention, en anglais, les termes « safety » et « security » sont de « faux amis » avec une traduction inversée (excepté dans le nucléaire), puisque « safety » = sécurité et « security » = sûreté. Sécurité des Systèmes d’Information (SSI) Ensemble des mesures techniques et non techniques de protection permettant à un système d’information de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. Sécurité de l’information Protection de la confidentialité, de l’intégrité et de la disponibilité de l’information. En outre, d’autres propriétés, telles que l’authenticité, l’imputabilité, la non-répudiation et la fiabilité, peuvent également être concernées [ISO/IEC 27000:2014] La sécurité de l’information dépasse la champ de la SSI en s’intéressant aux actifs informationnels selon une approche par le risque. Cybersécurité État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense. ► Quelques définitions et éléments de sémantique Source : allchemi.eu - Centre des Hautes Etudes du Ministère de l'Intérieur (CHEMI) Mars 2016
  5. 5. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ? p 5 Threat (Menace) Hazard (Danger) Safety (Sécurité) adresses adresses Security (Sûreté) Source : Common Concepts Underlying Safety, Security, and Survivability Engineering - Donald G. Firesmith (Carnegie Mellon University)  Malveillance  Tromperie délibérée  Négligence  Facilitation d'activités frauduleuses Source : ISO/DIS 34001 (projet de norme) (préjudice) (actif) Mars 2016 ► Positionnement Sécurité / Sûreté Accidents vs. Attacks
  6. 6. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ? Confinement Logique Physique Résilience Physique Logique E>S Résistance Robustesse S>S Intégrité Fiabilité S>E ► Positionnement Sécurité / Sûreté malveillance[M] (délibéré) accident[A] (fortuit/involontaire) Originedudangeroudelamenace Sécurité (Safety) Sûreté (Security) (intrinsèque) Logique Physique Physique Logique Domaines [ > = incidence] Domainesinversés danslenucléaire > Modèle SE-MA (revisité) : Système / Ecosystème (Environnement) - Malveillant / Accidentel > Mars 2016 Cause externe Conséquence externe (Compromission) (Défaillance)
  7. 7. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ? Confinement Logique Physique Résilience Physique Logique E>S Résistance Robustesse S>S Intégrité Fiabilité S>E ► Positionnement Sécurité / Sûreté Sécurité (Safety) Sûreté (Security) (intrinsèque) Logique Physique Physique Logique Domaines [ > = incidence] > > Sécurité des Systèmes d’Information (SSI) - Information Technology Security (IT Security) Sécurité informatique (désuet) Mars 2016 malveillance[M] (délibéré) accident[A] (fortuit/involontaire) Originedudangeroudelamenace
  8. 8. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ? Confinement Logique Physique Résilience Physique Logique E>S Résistance Robustesse S>S Intégrité Fiabilité S>E ► Positionnement Sécurité / Sûreté Sécurité (Safety) Sûreté (Security) (intrinsèque) Logique Physique Physique Logique Domaines [ > = incidence] > > Sécurité de l’Information - Information Security (InfoSec) Sécurité sociétale Sécurité globale de l’information et de l’activité (orienté organisationnel) Mars 2016 malveillance[M] (délibéré) accident[A] (fortuit/involontaire) Originedudangeroudelamenace
  9. 9. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ? Confinement Logique Physique Résilience Physique Logique E>S Résistance Robustesse S>S Intégrité Fiabilité S>E ► Positionnement Sécurité / Sûreté Sécurité fonctionnelle ou industrielle (ex : ferroviaire) / « Sûreté de Fonctionnement » (SdF) / FDMS (ferroviaire) « Cybersécurité » (Sécurité liée à la sûreté numérique) Sécurité (Safety) Sûreté (Security) (intrinsèque) Logique Physique Physique Logique Domaines [ > = incidence] > > Sécurité globale liée au numérique (orienté opérationnel) Sûreté physique Sécurité physique Interfaces Mars 2016 malveillance[M] (délibéré) accident[A] (fortuit/involontaire) Originedudangeroudelamenace
  10. 10. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ? ► Parallèles entre Cybersécurité et Sûreté de Fonctionnement (SdF) Cybersécurité / Sécurité de l’information/ SSI (DIC[x])  Disponibilité  Intégrité  Confidentialité  [autres critères : imputabilité (Preuve) / Traçabilité, Authenticité / Non-Répudiation, etc.] Management du risque basée sur une approche essentiellement qualitative, plutôt subjective (estimation d’expert selon le contexte, retours d’expérience, base d’incidents, etc.) Niveau de sûreté (résistance aux attaques) : Security Level [SL 0 à SL 4] - IEC 62443-3-3 Sécurité fonctionnelle / Sûreté de fonctionnement (FDMS)  Fiabilité  Disponibilité  Maintenabilité  Sécurité (intégrité physique des personnes et des biens, et par extension, de l’environnement) Management du risque basée sur une approche essentiellement quantitative, plutôt déterministe avec gestion de l’incertitude (calcul de probabilités, recours aux statistiques, etc.) Niveau de fiabilité (« intégrité de sécurité ») : Safety Integrity Level [SIL 0 à SIL 4] - IEC 61508-1 Indices de fiabilité : MTTF (mean time to first failure = durée moyenne de bon fonctionnement avant la première défaillance) MTBF (mean time between failures = durée moyenne de bon fonctionnement entre deux défaillances) = (Somme des durées de fonctionnement – Somme des durées de défaillance) / Nombre de défaillances Indice de maintenance : MTTR (mean time to repair = durée moyenne de réparation suite à une défaillance) Indice de disponibilité : TDM (taux de disponibilité) = MTBF / (MTBF + MTTR) Mars 2016
  11. 11. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ? ► Conclusion A l’instar de la sûreté physique vis-à-vis de la sécurité physique, la cybersécurité - composante numérique de la sûreté - contribue indirectement à garantir la sécurité fonctionnelle au regard des actes de malveillance qui ne sont généralement pas pris en compte par l’ingénierie systèmes, car considérés légitimement en dehors du champ de l’étude. De fait, même si chaque discipline s’en remettra à son expert tout comme « à chaque pied son soulier », la complémentarité entre sûreté et sécurité apparait comme une évidence dans l’optique de prémunir un périmètre ou un système donné aussi bien contre les accidents que la malveillance, avec certains « évènements redoutés* » bien souvent communs en matière de gestion du risque. Fort de ce constat, l’intégration d’un volet cybersécurité au sein des cahiers des charges / CCTP s’avère dorénavant incontournable dès lors que des systèmes numériques connectés en réseau se trouvent inclus dans la déclinaison technique de la solution (c’est-à-dire bien souvent dans un monde « hyperconnecté »), tout comme un plan d’assurance cybersécurité, au même titre que le plan d’assurance qualité, sera idéalement à prévoir dans le cadre de la contractualisation entre les parties en vue de garantir le maintien en condition de cybersécurité. Mars 2016 * ex. : méthode EBIOS pour la cybersécurité ; méthode AMDEC pour la sécurité fonctionnelle
  12. 12. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ? Mars 2016 p 12 Annexes
  13. 13. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ? ► Cadre normatif relatif au management de la sécurité (safety management) Domaine Référentiels Sécurité sociétale - Continuité d’activité ISO 22301 (SMCA) Sécurité sociétale - Gestion des urgences (opérations de secours en réponse à incident) ISO 22320 Sûreté de fonctionnement (FDMS) IEC 60300 [série] Sécurité fonctionnelle IEC 61508 [série], normes sectorielles dérivées Sécurité fonctionnelle des machines électroniques IEC 62061, IEC 62513, ISO 13849-1, ISO 12100 Sécurité fonctionnelle des système instrumentés de sécurité des procédés industriels (sécurité industrielle) IEC 61511 [série] Sécurité fonctionnelle des systèmes instrumentés de sécurité des centrales nucléaires (sécurité nucléaire) IEC 61513, normes spécifiques à certaines systèmes Sécurité fonctionnelle des systèmes de détection de gaz (sécurité anti-explosions) IEC 60079 [série] Sécurité fonctionnelle des systèmes ferroviaires (sécurité ferroviaire - FDMS) CENELEC 50126-1, 50128, 50129, 50159, IEC 62278, IEC 62279, IEC 62267, IEC 62290, IEC 62425 [séries] Sécurité fonctionnelle des véhicules routiers (sécurité automobile) ISO 26262 [série] Sécurité fonctionnelle des équipements médicaux (sécurité automobile) CENEL 60601-2 [série] Sécurité fonctionnelle des jouets électroniques IEC 62115, ISO 8124-1 Sécurité électrique et CEM des matériels électriques IEC 61857 [série], IEC 61326 [série] Sécurité incendie ISO 8421, ISO 23932, CNPP APSAD |FR} Sécurité des denrées alimentaires (sécurité sanitaire) ISO 22000 (SMSDA), ISO 7218 Santé et de la sécurité au travail (sécurité du personnel dans le cadre professionnel) OHSAS 18001 (SMS/ST) … … Mars 2016
  14. 14. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ? ► Cadre normatif relatif au management de la sûreté (security management) Domaine Référentiels Sûreté (globale) ISO/DIS 34001 (SMS), CNPP 1302 [FR] Systèmes d'alarme et de sécurité électroniques, supervision des alarmes (sûreté physique) CENELEC 50131-1, 50133-1, 50134-1, 50136-1, 50518-1, IEC 60839-11 [séries] Systèmes de vidéosurveillance ISO 22311 Sûreté de la chaîne d'approvisionnement (supply chain security) ISO 28000 (SMSCA) Sûreté du cadre privé (privacy safeguarding framework) ISO/IEC 29100 Sécurité de l’information (information security) ISO/IEC 27001 (SMSI) Cybersécurité (sûreté numérique) ISO/IEC 27032 Cybersécurité des systèmes d’automatisation et de commande industrielles (cyber security for IACS) IEC 62443-2-1 (SMCS) Sûreté des systèmes ouverts (open systems security) ISO/IEC 10181 [série] Sûreté des technologies de l'information et des communications (sécurité informatique) ISO/IEC 13335-1 (obsolète) … … Mars 2016
  15. 15. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ? p 15 Source* : Le 100e Schtroumpf - Peyo (Editions Dupuis) * Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle) Schtroumpf alors ! La foudre a donné vie à mon avatar … Dnarg fpmuorthcs ! Il em tid euq l’OSI a tiudart « Safety » rap « Sûreté » ua ueil ed « Sécurité » … Grand schtroumpf ! Il me dit que l’ISO a traduit « Security » par « Sécurité » au lieu de « Sûreté » … Mars 2016
  16. 16. Thierry PERTUS Consultant senior CISM, ISO/IEC 27001:2013 LI, ISO/IEC 27005:2011 RM Cybersécurité Powered by securite@conix.fr www.conix.fr Keep control.

×