Zotero avancé - support de formation doctorants SHS 2024
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « faux-amis » ou vraies synergies ?
1. Positionnement de la Cybersécurité
entre Sécurité et Sûreté
« faux-amis » ou vraies synergies ?
Thierry PERTUS
Mars 2016
2. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
► Avant-propos
Entre abus de langage, erreurs de traduction anglais/français, spécificités sectoriels ou encore posture marketing,
la perception entre sécurité et sûreté a de quoi être altérée d’un individu à l’autre, selon sa fonction, sa discipline,
son secteur d’activité, sa culture personnelle, etc.
Concernant le domaine du numérique, remplaçant les désormais obsolètes « TIC » (Technologies de l’Information
et des Télécommunications), l’ambigüité est encore plus manifeste, en particulier lorsque des experts
cybersécurité sont amenés à échanger avec des experts automaticiens dans un contexte industriel. Une
clarification du vocabulaire, des concepts et des champs d’application s’impose alors pour éviter les quiproquos.
Qu’entend-t-on exactement par sécurité et sûreté ? Quelles sont les différences ? En quoi sont-elles liées ou se
recouvrent-elles ? Que couvre précisément la cybersécurité ? Comment se positionne-elle vis-à-vis des disciplines
voisines ? C’est à toutes ces questions que nous allons tenter de répondre en nous appuyant sur le cadre normatif
(tout en prenant quelque fois une certaine distance lorsque celui-ci porte en son sein quelques anomalies …).
Mars 2016
3. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
p 3
Sécurité
informatique
Sécurité des Systèmes d’Information (SSI)
1985 1990 1995 2000 2005 2010 2015
Considérations
organisationnelles
(gouvernance)
Considérations
techniques
(opérationnel)
Information
Technology
(IT) Security
Computer
Security
Sécurité de l’information
Cyber-
sécurité
Information
Security (IS)
Cyber-
Security
(Cyber-
défense)
Source : La sécurité numérique dans l'entreprise - Pierre-Luc Refalo (Eyrolles)
► De la « sécurité informatique » à la « cybersécurité »
Plus qu’une évolution sémantique, une prise de conscience des enjeux
liés à la convergence numérique et à la dépendance au cyberespace.
Mars 2016
4. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
p 4
Sécurité (safety) vs. Sûreté (security)
La sécurité consiste à prévenir contre les accidents (liés à des évènements fortuits ou des actes sans intention de nuire)
La sûreté consiste à prévenir contre les actes de malveillance (liés à des actes délibérés ou à la négligence avec intention de nuire)
Attention, en anglais, les termes « safety » et « security » sont de « faux amis » avec une traduction inversée
(excepté dans le nucléaire), puisque « safety » = sécurité et « security » = sûreté.
Sécurité des Systèmes d’Information (SSI)
Ensemble des mesures techniques et non techniques de protection permettant à un système d’information de résister
à des événements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées,
traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
Sécurité de l’information
Protection de la confidentialité, de l’intégrité et de la disponibilité de l’information. En outre, d’autres propriétés,
telles que l’authenticité, l’imputabilité, la non-répudiation et la fiabilité, peuvent également être concernées [ISO/IEC 27000:2014]
La sécurité de l’information dépasse la champ de la SSI en s’intéressant aux actifs informationnels selon une approche par le risque.
Cybersécurité
État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace
susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises
et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité
et sur la mise en place d’une cyberdéfense.
► Quelques définitions et éléments de sémantique
Source : allchemi.eu - Centre des Hautes Etudes du Ministère de l'Intérieur (CHEMI)
Mars 2016
5. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
p 5
Threat
(Menace)
Hazard
(Danger)
Safety
(Sécurité)
adresses adresses
Security
(Sûreté)
Source : Common Concepts Underlying Safety, Security, and Survivability Engineering - Donald G. Firesmith (Carnegie Mellon University)
Malveillance
Tromperie délibérée
Négligence
Facilitation d'activités frauduleuses
Source : ISO/DIS 34001 (projet de norme)
(préjudice)
(actif)
Mars 2016
► Positionnement Sécurité / Sûreté
Accidents vs. Attacks
6. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
Confinement
Logique
Physique
Résilience
Physique
Logique
E>S
Résistance
Robustesse
S>S
Intégrité
Fiabilité
S>E
► Positionnement Sécurité / Sûreté
malveillance[M]
(délibéré)
accident[A]
(fortuit/involontaire)
Originedudangeroudelamenace
Sécurité
(Safety)
Sûreté
(Security)
(intrinsèque)
Logique
Physique
Physique
Logique
Domaines
[ > = incidence]
Domainesinversés
danslenucléaire
>
Modèle SE-MA (revisité) : Système / Ecosystème (Environnement) - Malveillant / Accidentel
>
Mars 2016
Cause
externe
Conséquence
externe
(Compromission)
(Défaillance)
7. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
Confinement
Logique
Physique
Résilience
Physique
Logique
E>S
Résistance
Robustesse
S>S
Intégrité
Fiabilité
S>E
► Positionnement Sécurité / Sûreté
Sécurité
(Safety)
Sûreté
(Security)
(intrinsèque)
Logique
Physique
Physique
Logique
Domaines
[ > = incidence]
>
>
Sécurité des Systèmes d’Information (SSI) - Information Technology Security (IT Security)
Sécurité informatique (désuet)
Mars 2016
malveillance[M]
(délibéré)
accident[A]
(fortuit/involontaire)
Originedudangeroudelamenace
8. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
Confinement
Logique
Physique
Résilience
Physique
Logique
E>S
Résistance
Robustesse
S>S
Intégrité
Fiabilité
S>E
► Positionnement Sécurité / Sûreté
Sécurité
(Safety)
Sûreté
(Security)
(intrinsèque)
Logique
Physique
Physique
Logique
Domaines
[ > = incidence]
>
>
Sécurité de l’Information - Information Security (InfoSec)
Sécurité sociétale
Sécurité globale de l’information et de l’activité (orienté organisationnel)
Mars 2016
malveillance[M]
(délibéré)
accident[A]
(fortuit/involontaire)
Originedudangeroudelamenace
9. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
Confinement
Logique
Physique
Résilience
Physique
Logique
E>S
Résistance
Robustesse
S>S
Intégrité
Fiabilité
S>E
► Positionnement Sécurité / Sûreté
Sécurité fonctionnelle ou industrielle (ex : ferroviaire) / « Sûreté de Fonctionnement » (SdF) / FDMS (ferroviaire)
« Cybersécurité » (Sécurité liée à la sûreté numérique)
Sécurité
(Safety)
Sûreté
(Security)
(intrinsèque)
Logique
Physique
Physique
Logique
Domaines
[ > = incidence]
>
>
Sécurité globale liée au numérique (orienté opérationnel)
Sûreté physique
Sécurité physique
Interfaces
Mars 2016
malveillance[M]
(délibéré)
accident[A]
(fortuit/involontaire)
Originedudangeroudelamenace
10. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
► Parallèles entre Cybersécurité et Sûreté de Fonctionnement (SdF)
Cybersécurité / Sécurité de l’information/ SSI (DIC[x])
Disponibilité
Intégrité
Confidentialité
[autres critères : imputabilité (Preuve) / Traçabilité, Authenticité / Non-Répudiation, etc.]
Management du risque basée sur une approche essentiellement qualitative, plutôt subjective
(estimation d’expert selon le contexte, retours d’expérience, base d’incidents, etc.)
Niveau de sûreté (résistance aux attaques) : Security Level [SL 0 à SL 4] - IEC 62443-3-3
Sécurité fonctionnelle / Sûreté de fonctionnement (FDMS)
Fiabilité
Disponibilité
Maintenabilité
Sécurité (intégrité physique des personnes et des biens, et par extension, de l’environnement)
Management du risque basée sur une approche essentiellement quantitative, plutôt déterministe avec gestion de l’incertitude
(calcul de probabilités, recours aux statistiques, etc.)
Niveau de fiabilité (« intégrité de sécurité ») : Safety Integrity Level [SIL 0 à SIL 4] - IEC 61508-1
Indices de fiabilité :
MTTF (mean time to first failure = durée moyenne de bon fonctionnement avant la première défaillance)
MTBF (mean time between failures = durée moyenne de bon fonctionnement entre deux défaillances)
= (Somme des durées de fonctionnement – Somme des durées de défaillance) / Nombre de défaillances
Indice de maintenance :
MTTR (mean time to repair = durée moyenne de réparation suite à une défaillance)
Indice de disponibilité :
TDM (taux de disponibilité) = MTBF / (MTBF + MTTR)
Mars 2016
11. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
► Conclusion
A l’instar de la sûreté physique vis-à-vis de la sécurité physique, la cybersécurité - composante numérique
de la sûreté - contribue indirectement à garantir la sécurité fonctionnelle au regard des actes de malveillance
qui ne sont généralement pas pris en compte par l’ingénierie systèmes, car considérés légitimement en dehors
du champ de l’étude.
De fait, même si chaque discipline s’en remettra à son expert tout comme « à chaque pied son soulier »,
la complémentarité entre sûreté et sécurité apparait comme une évidence dans l’optique de prémunir
un périmètre ou un système donné aussi bien contre les accidents que la malveillance,
avec certains « évènements redoutés* » bien souvent communs en matière de gestion du risque.
Fort de ce constat, l’intégration d’un volet cybersécurité au sein des cahiers des charges / CCTP s’avère
dorénavant incontournable dès lors que des systèmes numériques connectés en réseau se trouvent inclus
dans la déclinaison technique de la solution (c’est-à-dire bien souvent dans un monde « hyperconnecté »),
tout comme un plan d’assurance cybersécurité, au même titre que le plan d’assurance qualité, sera idéalement
à prévoir dans le cadre de la contractualisation entre les parties en vue de garantir le maintien en condition
de cybersécurité.
Mars 2016
* ex. : méthode EBIOS pour la cybersécurité ; méthode AMDEC pour la sécurité fonctionnelle
12. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
Mars 2016 p 12
Annexes
13. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
► Cadre normatif relatif au management de la sécurité (safety management)
Domaine Référentiels
Sécurité sociétale - Continuité d’activité ISO 22301 (SMCA)
Sécurité sociétale - Gestion des urgences (opérations de secours en réponse à incident) ISO 22320
Sûreté de fonctionnement (FDMS) IEC 60300 [série]
Sécurité fonctionnelle IEC 61508 [série], normes sectorielles dérivées
Sécurité fonctionnelle des machines électroniques IEC 62061, IEC 62513, ISO 13849-1, ISO 12100
Sécurité fonctionnelle des système instrumentés de sécurité des procédés industriels
(sécurité industrielle)
IEC 61511 [série]
Sécurité fonctionnelle des systèmes instrumentés de sécurité des centrales nucléaires
(sécurité nucléaire)
IEC 61513, normes spécifiques à certaines systèmes
Sécurité fonctionnelle des systèmes de détection de gaz (sécurité anti-explosions) IEC 60079 [série]
Sécurité fonctionnelle des systèmes ferroviaires (sécurité ferroviaire - FDMS) CENELEC 50126-1, 50128, 50129, 50159, IEC 62278, IEC
62279, IEC 62267, IEC 62290, IEC 62425 [séries]
Sécurité fonctionnelle des véhicules routiers (sécurité automobile) ISO 26262 [série]
Sécurité fonctionnelle des équipements médicaux (sécurité automobile) CENEL 60601-2 [série]
Sécurité fonctionnelle des jouets électroniques IEC 62115, ISO 8124-1
Sécurité électrique et CEM des matériels électriques IEC 61857 [série], IEC 61326 [série]
Sécurité incendie ISO 8421, ISO 23932, CNPP APSAD |FR}
Sécurité des denrées alimentaires (sécurité sanitaire) ISO 22000 (SMSDA), ISO 7218
Santé et de la sécurité au travail (sécurité du personnel dans le cadre professionnel) OHSAS 18001 (SMS/ST)
… …
Mars 2016
14. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
► Cadre normatif relatif au management de la sûreté (security management)
Domaine Référentiels
Sûreté (globale) ISO/DIS 34001 (SMS), CNPP 1302 [FR]
Systèmes d'alarme et de sécurité électroniques, supervision des alarmes
(sûreté physique)
CENELEC 50131-1, 50133-1, 50134-1, 50136-1, 50518-1,
IEC 60839-11 [séries]
Systèmes de vidéosurveillance ISO 22311
Sûreté de la chaîne d'approvisionnement (supply chain security) ISO 28000 (SMSCA)
Sûreté du cadre privé (privacy safeguarding framework) ISO/IEC 29100
Sécurité de l’information (information security) ISO/IEC 27001 (SMSI)
Cybersécurité (sûreté numérique) ISO/IEC 27032
Cybersécurité des systèmes d’automatisation et de commande industrielles
(cyber security for IACS)
IEC 62443-2-1 (SMCS)
Sûreté des systèmes ouverts (open systems security) ISO/IEC 10181 [série]
Sûreté des technologies de l'information et des communications (sécurité informatique) ISO/IEC 13335-1 (obsolète)
… …
Mars 2016
15. Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
p 15
Source* : Le 100e Schtroumpf - Peyo (Editions Dupuis)
* Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle)
Schtroumpf alors !
La foudre a donné vie
à mon avatar …
Dnarg fpmuorthcs !
Il em tid euq l’OSI
a tiudart « Safety »
rap « Sûreté »
ua ueil ed « Sécurité » …
Grand schtroumpf !
Il me dit que l’ISO
a traduit « Security »
par « Sécurité »
au lieu de « Sûreté » …
Mars 2016