SlideShare une entreprise Scribd logo
SÉCURITÉ DES SYSTÈMES
D’INFORMATION INDUSTRIELS
MARS 2014
Philippe PRESTIGIACOMO POLYTECH MARSEILLE
AGENDA
VOLET I : PROBLEMATIQUE GENERALE
Présentation des systèmes d’information industriels
Spécificités des systèmes industriels
VOLET II : ÉTAT DE L’ART DE LA SÉCURITÉ
Difficultés rencontrées pour appliquer les standards de sécurité
Menaces, vulnérabilités et impacts potentiels
VOLET III : MESURES DE PROTECTION ET DE PRÉVENTION
Bilan, approche et bonnes pratiques de sécurité
Référentiels et guides utiles - Contacts en cas d’incidents
DÉMONSTRATION
Prise de contrôle d’un drone
2 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
PROBLEMATIQUE GÉNÉRALE
VOLET I
3 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
SYSTÈME D’INFORMATION INDUSTRIEL
Les systèmes d’automatisme ou systèmes de contrôle
industriel sont utilisés pour de multiples applications
Usine classique : chimie, agro, automobile, pharma, production
d’énergie…
Sites plus vastes : traitement de l’eau, des réseaux de transport…
Gestion de bâtiment (aéroport, hôpitaux…)
Propulsion de navire
Santé : biomédicale, laboratoire d’analyse …
4 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Les systèmes industriels contrôlent les infrastructures critiques
depuis les réseaux électriques au traitement de l'eau, de
l'industrie chimique aux transports. Ils sont présents partout.
PROBLÉMATIQUE
Historiquement
Systèmes d’information industriels basées sur des technologies
propriétaires et isolées du monde extérieur
Protection des accès physiques jugée suffisante, la sécurité
logique n’étant pas une préoccupation majeure
Aujourd’hui
Systèmes basés sur des technologies répandues, ouvertes et
standardisées
Communication directe établie entre les systèmes d’information
industriels et les systèmes d’information de gestion de l’entreprise
5 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Cette évolution des techniques expose ces systèmes aux
menaces actuelles qui ciblent les systèmes d’information de
gestion
PROBLÉMATIQUE
Spécificités des systèmes d’information industriels
Disponibilité
Durée de vie des équipements
Multiples technologies et fournisseurs
Couvertures géographiques
Effets indésirables de la mise en œuvre de la sécurité
Interconnexion au système d’information de gestion de l’entreprise
Télémaintenance
6 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
La sécurisation des systèmes industriels passent par la
compréhension de leurs spécificités et de leurs contraintes
SYSTEME INDUSTRIEL
7 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Régulation et
automatisme
Capteur /
actionneur
Superviseur
Elaboration des
ordres - calculateur
de process -
Pilotage historisation
- gestion des
processus industriels
(MES)
Fonctions centrales
finance, compta, info
centre
DOMAINES D’EXPLOITATION
8 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Industrie Transports Energie Défense
DISPONIBILITE
9 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Au sein de ces installations, les automatismes assurent
Le bon fonctionnement / les délais de production
La sécurité des biens et personnes
La conformité avec les exigences réglementaires sur
l’environnement
La conformité avec les exigences réglementaires en terme qualité
(traçabilité notamment)
L’arrêt même momentané peut avoir des conséquences
graves sur la sécurité des personnes.
DURÉE DE VIE
10 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Entre 10 et 15 ans selon la machine
Fonctionne 24h/24 et 7j/7
Peu ou pas d’arrêt de maintenance
Difficultés pour le support et des pièces de rechange
Difficultés de mettre régulièrement à jour les équipements
MULTIPLES TECHNOLOGIES - FOURNISSEURS
11 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Installation hétérogène : cohabitation de technologies et de
générations différentes
Modification ou extension des installations
Fenêtre technologique entre 15 à 20 ans
Difficultés pour déployer une même solution de sécurité sur
l’ensemble des équipements
ENVIRONNEMENTS
12 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Des conditions environnementales extrêmes :
Atmosphère humide, poussiéreuse, explosive, corrosive
Température
Pression
Chocs et vibrations
Radiations
Difficulté de trouver des produits de sécurité répondant aux
critères
GÉOGRAPHIE
13 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Installation très étendue
Site industriel avec des superficies importantes : 15.000 à 20.000 m²
Réseaux nationaux avec des filiales disposant d’une grande
autonomie locale
Multiples sites interconnectés
Nécessité pour certains systèmes de disposer d’accès à distance
via Internet - Equipements connectés sur Internet afin de faciliter
leur exploitation
Difficulté de sécuriser chaque site
Besoin croissant en télémaintenance
INTERVENANTS
14 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Interlocuteurs avec des cultures et sensibilités différentes
Électroniciens, automaticiens, qualiticiens
Turn-over important du personnel en production
Intérimaire
Sous-traitant
Quid de la confidentialité des données sur les postes SCADA –
recette de fabrication….
Difficulté de maitriser l’ensemble des intervenants. Il faut
comprendre le métier et les problématiques, savoir dialoguer
avec l’ensemble des interlocuteurs
PROTOCOLES
15 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Protocoles ouvert ou propriétaires
Protocoles historiques non IP / non Ethernet (industrial ethernet,
modbus-tcp, profinet, DNP3)
Sans authentification, ni chiffrement des données transportées
Absence de gestion des transactions en mode connecté
Nécessité d’avoir des équipements de filtrage compatibles
Difficultés de trouver des produits de sécurité répondant aux
critères
ETAT DE L’ART DE LA SÉCURITÉ
VOLET II
16 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
SÉCURITÉ EMBARQUÉE ET SÉCURITÉ RÉSEAU
17 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Ressources limitées Versus fonctions de sécurité embarquées
dans les systèmes
Filtrage des flux : Pare-feu
Centralisation des journaux d’événements
Temps de réponse courts Versus équipements de filtrage
réseau
Sondes de détection d’intrusion (HIDS / HIPS)
Filtrage des flux : Pare-feu
Compatibilité protocolaire
Inspection des paquets en profondeur
Difficultés d’embarquer des fonctions de sécurité évoluées
L’équipement de filtrage doit être compatible avec les
protocoles en présence.
SÉCURITÉ RÉSEAU VERSUS MAILLAGE DU RÉSEAU
18 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Communication pair à pair et non client-serveur
Tous les équipements communiquent entre eux
Le dysfonctionnement d’un équipement peut entrainer un
dysfonctionnement du système entier - Tous sont critiques
Il est alors nécessaire de protéger chaque équipement. Ce
qui peut être long et coûteux
PATCH MANAGEMENT
19 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Durée de déploiement incompatible avec les contraintes de
productivité
Nombreux équipements à des distances variables
Durée de déploiement importante
Risque d’indisponibilité
Effets inattendus entrainant un disfonctionnement partiel ou total
Peu de possibilité de déploiement
Peu d’arrêts planifiés
Le contexte industriel laisse peu de créneaux temporels pour
déployer les patchs de sécurité.
CONTRÔLE D’ACCÈS LOGIQUE
20 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Temps de réaction
En situation de crise la contrainte du contrôle d’accès peut faire
perdre du temps
Ambiance peu propice à la biométrie
Graisse, port de gant, masques, …
Compatibilité sur l’ensemble de l’installation
Technologies et générations de machines différentes
Le contrôle d’accès pourrait être source de stress et de perte
de temps.
ANTIVIRUS
21 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Risque d’indisponibilité des processus , chaines de fabrication
Faux positif entrainant la suppression / Mise en quarantaine d’un fichier
essentiel
Conséquences multiples : perte de visualisation / contrôle du système
de contrôle-commande, arrêt de fonctionnement automatisé du
système
Difficulté pour mettre à jour la base virale
A cause du cloisonnement des réseaux de gestion et industriels, la
mise à jour peut être complexe
L’architecture antivirale à déployer doit prendre en compte
les ressources disponibles sur les automates et les postes
de pilotage.
SURVEILLANCE
22 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Difficultés pour se connecter à tous les équipements
Protocoles propriétaire
Technologies différentes
Traçabilités des informations
Absence de fonctionnalité de journalisation embarquée
Compétences
Analyse des événements dans le périmètre
Difficultés d’analyser les évènements provenant d’un
système industriel. Pour cela, il est nécessaire d’avoir des
compétences en sécurité et en automatisme industriel.
MENACES ET VULNÉRABILITÉS
23 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
ATTAQUE - Exploitation concrète d’une vulnérabilité d’un système qui conduit à des conséquences plus
ou moins grave sur la fonctionnalité ou les données du système.
Typologie des attaques
Attaques génériques
- 30 Millions de nouveaux malwares en
2012
› CONFICKER, 2009
Attaques ciblées
- Informatique conventionnelle
› FLAME, 2010
› ACAD, 2012
› SHAMOON, 2012
- Systèmes industriels
› STUXNET, 2010
› DUQU, 2011
CAS DE STUXNET : QUELLE ÉTAIT LA CIBLE ?
24 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Le Siemens Organization Block 35 (process
watchdog) est modifié par Stuxnet – Il gère
des opérations critiques qui requièrent des
temps de réponse inférieurs à 100 ms
La cible pourrait être la centrale
de Bushehr, en construction mais
aussi des centrifugeuses sur le
site de Natanz
Famille de PLC concernée :
6ES7-417 et 6ES7-315-2 -> cibles complexes !
* multiples ProfiBus * Puissance CPU
VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS
25 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Vulnérabilités intrinsèques aux systèmes industriels
Peu de prise en compte de la sécurité lors des phases de conception,
d’installation, d’exploitation et de maintenance
Automates et composants industriels en production avec des
configuration par défauts et mots de passe par défaut
Informations accessibles – les manuels techniques sont disponibles
assez facilement- avec les mots de passe par défaut.
Une culture et une expérience des opérationnels différentes du monde
informatique : Connexion à l’Internet et ignorance de la menace
extérieure
Des opérateurs non formés à la sécurité informatique
ORGANISATION DE LA SECURITE
Responsable sécurité rattaché
Production (le plus souvent)
Département technique
Hygiène Qualité Sécurité et Environnement (HQSE)
Maintenance
Services généraux
26 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Responsabilités variables et diffuses des systèmes
informatiques et de leur sécurité
ETUDE AREVA – EURIWARE 2010
27 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Un retour d’expérience sur
une cinquantaine d’industriels
français montre le manque de
maturité en sécurité des
systèmes d’information
industriels.
IMPACTS
28 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Dommages matériels et/ou corporels
Responsabilité civil ou pénale
Impact environnemental
Pollution du site de production et de l’environnement
Perte de chiffre d’affaire
Interruption de la production
Modification des paramètre de fabrication
Vol de données
Secret de fabrication, avantage pour la concurrence
MESURES DE PROTECTION ET DE
PRÉVENTION
VOLET III
29 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
CONSTAT
30 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Difficultés d’appliquer les standards de sécurité des systèmes
d’information de gestion
Une approche différente à construire pour les systèmes
d’information industriels « tout en adaptant les recettes
existantes de sécurité »
La gestion du risque, la maîtrise des techniques de
sécurisation deviennent des compétences indispensables
pour les entreprises dans les secteurs industriels.
APPROCHE STRUCTURÉE
Bonnes pratiques de sécurité – les classiques
Politiques de sécurité,
Veille de vulnérabilités,
Evaluation de la sécurité & audit,
Plan de continuité - gestion de crise et exercice de
simulation
31 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
APPROCHE STRUCTURÉE
32 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Organisation de la sécurité
Identification d’un responsable sécurité industriel
Analyse de risques
Sensibiliser le personnel
Mise à niveau par paliers successifs
Inventaires - Projet de remplacement des équipements
obsolètes
Dispositif contractuel pour les fournisseurs
Maintenance
Plan de maintenance des composants sensibles
Sécurité physique, protection des locaux techniques et des
armoires
ET ENSUITE LA TECHNIQUE
33 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Mesures techniques
Patch management : Antivirus et correctifs
Cloisonnement et contrôle des flux entre les SI industriel et de gestion
Whitelisting : liste des blanches des applications autorisées
Télémaintenance et télégestion limitées et contrôlées avec une
traçabilité renforcée
Accès à internet limité ou interdit
Déploiement de moyens de surveillance et de détection
GUIDES PRATIQUES
34 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
ANSSI
Guide d’hygiène informatique
• Connaitre son SI et ses utilisateurs
• Maîtriser le réseau
• Mettre à niveau les logiciels
• Authentifier l’utilisateur
• Sécuriser les équipements terminaux
• Sécuriser l’intérieur du réseau
• Protéger le réseau interne de l’Internet
• Surveiller les systèmes
• Sécuriser l’administration du réseau
• Contrôler l’accès aux locaux et la sécurité physique
• Organiser la réaction en cas d’incident
• Sensibiliser
• Faire auditer la sécurité
• Guide SSI des systèmes industriels
CONTACTS
35 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
La DPSD
La police
DCPJ/OCLCTIC, DCRI, PP/BEFTI,
La gendarmerie
IRCGN, STRJD, NTECH
La justice
En cas d’incident :
Office Central de Lutte contre la Criminalité liées aux
Technologies de l’Information et de la
Communication (OCLCTIC)
101 Rue des 3 Fontanot - 92000
NANTERRE
Tel : 01.49.27.49.27
"info-escroqueries"
08 11 02 02 17
QUELQUES SITES
Sites gouvernementaux
ANSSI
- http://www.ssi.gouv.fr/
Portail de la sécurité informatique
- http://www.securite-informatique.gouv.fr
Rapport du Sénateur Bockel sur la Cyberdéfense
- http://www.senat.fr/rap/r11-681_mono.html
Sites d’information
www.clusif.fr
Magazine sur la sécurité
- http://www.mag-securs.com
- http://boutique.ed-diamond.com/ (revue MISC)
Séminaires
- http://www.forum-fic.com/2014/fr/
- http://www.gsdays.fr/
- https://www.lesassisesdelasecurite.com/
36 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
DÉMONSTRATION
37 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
Prise de contrôle d’un drone
Remerciements à la DCNS pour leur aide
dans l’élaboration de la démonstration
PRESENTATION
Cette démonstration est réalisée dans le cadre de la journée
OZSSI afin d’illustrer le besoin de prendre en compte la
sécurité en amont dans les projets de développement de
produits industriels
Ecole POLYECH GENIE INDUSTRIEL & INFORMATIQUE 4A
Equipe POLYHACK-Drone
Sébastien MONNERY
Sébastien MINEO
Sébastien OHANIAN
Equipe encadrée par Philippe PRESTIGIACOMO
38 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
DEMONSTRATION
Scénario
Objectif :
- Récupérer le contrôle d’un drone en exploitant l’absence d’authen. Robuste
Contexte :
- Le drone est allumé, et son propriétaire est connecté au réseau wifi de l’appareil.
Méthode d’attaque :
- Passage de la carte wifi en mode écoute
- Identification des réseaux wifi
- Identification des appareils connectés au wifi ciblé (propriétaire du drone)
- Désauthentification du propriétaire légitime par le pirate
- Connexion du pirate au drone
Technologies utilisées
- Ordinateur doté de l’Operating System KALI – Plateforme d’audit de sécurité
- Suite logicielle utilisée dans KALI : AirCrack
- Application AR FreeFlight pour le contrôle du DRONE (sur tablette/téléphone Androïd)
39 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
DEMONSTRATION
Wifi
Propriétaire Pirate
40 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
DEMONSTRATION
Wifi
PiratePropriétaire
41 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
DEMONSTRATION
Wifi
PiratePropriétaire
42 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
CAPTURE DES FLUX RÉSEAUX
Commandes envoyées au DRONE
43 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
CONCLUSION
Voici les vulnérabilités identifiées lors de la conception du
drone:
- Absence d’authentification robuste entre le
pilote et le drone
- Absence de chiffrement des communications
- Absence de gestion des privilèges
Défauts de sécurité dans de nombreux automates industriels et militaires !
44 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
FIN DE LA DEMONSTRATION
MERCI POUR VOTRE ATTENTION
45 | Mars 2014 | Sécurité des Systèmes d’Information Industriels

Contenu connexe

Tendances

Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
PRONETIS
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
Franck Franchin
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Saadaoui Marwen
 
ISO 27001
ISO 27001ISO 27001
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
Annick Franck Monyie Fouda
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
DIALLO Boubacar
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
Maxime ALAY-EDDINE
 
Administration Reseau
Administration ReseauAdministration Reseau
Administration Reseau
denischef1
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
Franck Franchin
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sakka Mustapha
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 

Tendances (20)

Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Cours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures CritiquesCours CyberSécurité - Infrastructures Critiques
Cours CyberSécurité - Infrastructures Critiques
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Administration Reseau
Administration ReseauAdministration Reseau
Administration Reseau
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 

En vedette

Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 
GAZ DE SCHISTE : LE TRÉSOR EMPOISONNÉ DU SOUS-SOL FRANÇAIS
GAZ DE SCHISTE : LE TRÉSOR EMPOISONNÉ DU SOUS-SOL FRANÇAISGAZ DE SCHISTE : LE TRÉSOR EMPOISONNÉ DU SOUS-SOL FRANÇAIS
GAZ DE SCHISTE : LE TRÉSOR EMPOISONNÉ DU SOUS-SOL FRANÇAIS
lyago
 
Carte sous sol AD GB
Carte sous sol AD GBCarte sous sol AD GB
Carte sous sol AD GB
guest5ad23fe8
 
Un�Un�Un�Facebook Aparece A Comprar fotovoltaica Drone Empresa (Reemplazar)
Un�Un�Un�Facebook Aparece A Comprar fotovoltaica Drone Empresa (Reemplazar) Un�Un�Un�Facebook Aparece A Comprar fotovoltaica Drone Empresa (Reemplazar)
Un�Un�Un�Facebook Aparece A Comprar fotovoltaica Drone Empresa (Reemplazar)
hovertweet4
 
MobCamp 2014 :: Android em Tablets - Neto Marin
MobCamp 2014 :: Android em Tablets - Neto MarinMobCamp 2014 :: Android em Tablets - Neto Marin
MobCamp 2014 :: Android em Tablets - Neto Marin
Dextra
 
6151 capteur-et-chaine-dacquisition-ens
6151 capteur-et-chaine-dacquisition-ens6151 capteur-et-chaine-dacquisition-ens
6151 capteur-et-chaine-dacquisition-ens
Outazkrit Mbarek
 
The Role of the "Capteur Logement" to Improve Access to Housing and Housing R...
The Role of the "Capteur Logement" to Improve Access to Housing and Housing R...The Role of the "Capteur Logement" to Improve Access to Housing and Housing R...
The Role of the "Capteur Logement" to Improve Access to Housing and Housing R...
FEANTSA
 
Rastreamento de objetos utilizando ar drone
Rastreamento de objetos utilizando ar droneRastreamento de objetos utilizando ar drone
Rastreamento de objetos utilizando ar drone
PET Computação
 
Categorie de travaux eligibles à l'eco-ptz
Categorie de travaux eligibles à l'eco-ptzCategorie de travaux eligibles à l'eco-ptz
Categorie de travaux eligibles à l'eco-ptz
Ludovic Clerima
 
Capteur de-vitesse-de-rotation-de-roue-131201143430-phpapp01
Capteur de-vitesse-de-rotation-de-roue-131201143430-phpapp01Capteur de-vitesse-de-rotation-de-roue-131201143430-phpapp01
Capteur de-vitesse-de-rotation-de-roue-131201143430-phpapp01
Kader Bouafia
 
Document de présentation relios
Document de présentation reliosDocument de présentation relios
Document de présentation relios
RELIOS
 
Stéréo-signes : Extraire/traiter/générer un fossile de données
Stéréo-signes : Extraire/traiter/générer un fossile de donnéesStéréo-signes : Extraire/traiter/générer un fossile de données
Stéréo-signes : Extraire/traiter/générer un fossile de données
stereolux
 
Act 00033 traitement efficace des projets photogrammétriques par drones
Act 00033 traitement efficace des projets photogrammétriques par dronesAct 00033 traitement efficace des projets photogrammétriques par drones
Act 00033 traitement efficace des projets photogrammétriques par drones
ACSG - Section Montréal
 
Classes du solaire thermique
Classes du solaire thermiqueClasses du solaire thermique
Classes du solaire thermique
Nidhal Ammar
 
Petit guide des possibilités d'utilisation du logiciel scratch en technologie
Petit guide des possibilités d'utilisation du logiciel scratch en technologiePetit guide des possibilités d'utilisation du logiciel scratch en technologie
Petit guide des possibilités d'utilisation du logiciel scratch en technologie
خالد المشكوري
 
9 grafcet à séquences simultanées 1 et 2
9  grafcet à séquences simultanées 1 et 29  grafcet à séquences simultanées 1 et 2
9 grafcet à séquences simultanées 1 et 2
omar bllaouhamou
 
Introdução ao Mundo do Drone Racing
Introdução ao Mundo do Drone RacingIntrodução ao Mundo do Drone Racing
Introdução ao Mundo do Drone Racing
Afonso Coutinho
 
Jornada de Educação Especial na perspectiva da Educação Inclusiva: Construind...
Jornada de Educação Especial na perspectiva da Educação Inclusiva: Construind...Jornada de Educação Especial na perspectiva da Educação Inclusiva: Construind...
Jornada de Educação Especial na perspectiva da Educação Inclusiva: Construind...
Grupo Educação, Mídias e Comunidade Surda
 
Microcontroleur arduino uno
Microcontroleur arduino unoMicrocontroleur arduino uno
Microcontroleur arduino uno
byorn TANDU
 
Conception et réalisation d’un robot de supervision : acquisition et échange ...
Conception et réalisation d’un robot de supervision : acquisition et échange ...Conception et réalisation d’un robot de supervision : acquisition et échange ...
Conception et réalisation d’un robot de supervision : acquisition et échange ...
BADDOU mohamed
 

En vedette (20)

Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
GAZ DE SCHISTE : LE TRÉSOR EMPOISONNÉ DU SOUS-SOL FRANÇAIS
GAZ DE SCHISTE : LE TRÉSOR EMPOISONNÉ DU SOUS-SOL FRANÇAISGAZ DE SCHISTE : LE TRÉSOR EMPOISONNÉ DU SOUS-SOL FRANÇAIS
GAZ DE SCHISTE : LE TRÉSOR EMPOISONNÉ DU SOUS-SOL FRANÇAIS
 
Carte sous sol AD GB
Carte sous sol AD GBCarte sous sol AD GB
Carte sous sol AD GB
 
Un�Un�Un�Facebook Aparece A Comprar fotovoltaica Drone Empresa (Reemplazar)
Un�Un�Un�Facebook Aparece A Comprar fotovoltaica Drone Empresa (Reemplazar) Un�Un�Un�Facebook Aparece A Comprar fotovoltaica Drone Empresa (Reemplazar)
Un�Un�Un�Facebook Aparece A Comprar fotovoltaica Drone Empresa (Reemplazar)
 
MobCamp 2014 :: Android em Tablets - Neto Marin
MobCamp 2014 :: Android em Tablets - Neto MarinMobCamp 2014 :: Android em Tablets - Neto Marin
MobCamp 2014 :: Android em Tablets - Neto Marin
 
6151 capteur-et-chaine-dacquisition-ens
6151 capteur-et-chaine-dacquisition-ens6151 capteur-et-chaine-dacquisition-ens
6151 capteur-et-chaine-dacquisition-ens
 
The Role of the "Capteur Logement" to Improve Access to Housing and Housing R...
The Role of the "Capteur Logement" to Improve Access to Housing and Housing R...The Role of the "Capteur Logement" to Improve Access to Housing and Housing R...
The Role of the "Capteur Logement" to Improve Access to Housing and Housing R...
 
Rastreamento de objetos utilizando ar drone
Rastreamento de objetos utilizando ar droneRastreamento de objetos utilizando ar drone
Rastreamento de objetos utilizando ar drone
 
Categorie de travaux eligibles à l'eco-ptz
Categorie de travaux eligibles à l'eco-ptzCategorie de travaux eligibles à l'eco-ptz
Categorie de travaux eligibles à l'eco-ptz
 
Capteur de-vitesse-de-rotation-de-roue-131201143430-phpapp01
Capteur de-vitesse-de-rotation-de-roue-131201143430-phpapp01Capteur de-vitesse-de-rotation-de-roue-131201143430-phpapp01
Capteur de-vitesse-de-rotation-de-roue-131201143430-phpapp01
 
Document de présentation relios
Document de présentation reliosDocument de présentation relios
Document de présentation relios
 
Stéréo-signes : Extraire/traiter/générer un fossile de données
Stéréo-signes : Extraire/traiter/générer un fossile de donnéesStéréo-signes : Extraire/traiter/générer un fossile de données
Stéréo-signes : Extraire/traiter/générer un fossile de données
 
Act 00033 traitement efficace des projets photogrammétriques par drones
Act 00033 traitement efficace des projets photogrammétriques par dronesAct 00033 traitement efficace des projets photogrammétriques par drones
Act 00033 traitement efficace des projets photogrammétriques par drones
 
Classes du solaire thermique
Classes du solaire thermiqueClasses du solaire thermique
Classes du solaire thermique
 
Petit guide des possibilités d'utilisation du logiciel scratch en technologie
Petit guide des possibilités d'utilisation du logiciel scratch en technologiePetit guide des possibilités d'utilisation du logiciel scratch en technologie
Petit guide des possibilités d'utilisation du logiciel scratch en technologie
 
9 grafcet à séquences simultanées 1 et 2
9  grafcet à séquences simultanées 1 et 29  grafcet à séquences simultanées 1 et 2
9 grafcet à séquences simultanées 1 et 2
 
Introdução ao Mundo do Drone Racing
Introdução ao Mundo do Drone RacingIntrodução ao Mundo do Drone Racing
Introdução ao Mundo do Drone Racing
 
Jornada de Educação Especial na perspectiva da Educação Inclusiva: Construind...
Jornada de Educação Especial na perspectiva da Educação Inclusiva: Construind...Jornada de Educação Especial na perspectiva da Educação Inclusiva: Construind...
Jornada de Educação Especial na perspectiva da Educação Inclusiva: Construind...
 
Microcontroleur arduino uno
Microcontroleur arduino unoMicrocontroleur arduino uno
Microcontroleur arduino uno
 
Conception et réalisation d’un robot de supervision : acquisition et échange ...
Conception et réalisation d’un robot de supervision : acquisition et échange ...Conception et réalisation d’un robot de supervision : acquisition et échange ...
Conception et réalisation d’un robot de supervision : acquisition et échange ...
 

Similaire à Sécurité des systèmes d’information industriels

Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecurite
sidomanel
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & Fortinet
Exaprobe
 
IEC 62443
IEC 62443IEC 62443
IEC 62443
Eric917831
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201web
Wavestone
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
Infopole1
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
StHack
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
Samy Ntumba Tshunza
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Apec
 
sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes
Orange Business Services
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014  scada panorama des referentiels sécurité système information ind...Clusif 2014  scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...
echangeurba
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
Bee_Ware
 
Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatique
NRC
 
Keynote corona prez_episode_2
Keynote corona prez_episode_2Keynote corona prez_episode_2
Keynote corona prez_episode_2
Simon Colas
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
polenumerique33
 
Les infrastructures de réseaux de communication dans le bâtiment de demain
Les infrastructures de réseaux de communication dans le bâtiment de demainLes infrastructures de réseaux de communication dans le bâtiment de demain
Les infrastructures de réseaux de communication dans le bâtiment de demain
Gimélec
 
Industries2020 First : Pitch 5 festo nicolas vareillas
Industries2020 First : Pitch 5 festo nicolas vareillasIndustries2020 First : Pitch 5 festo nicolas vareillas
Industries2020 First : Pitch 5 festo nicolas vareillas
ARDIRhoneAlpes
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
BEIJAFLORE
 
Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)
ColloqueRISQ
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
Hamza Ben Marzouk
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
ASIP Santé
 

Similaire à Sécurité des systèmes d’information industriels (20)

Ree cybersecurite
Ree cybersecuriteRee cybersecurite
Ree cybersecurite
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & Fortinet
 
IEC 62443
IEC 62443IEC 62443
IEC 62443
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201web
 
Extr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenantsExtr4.0rdinaire cybersécurité : présentation des intervenants
Extr4.0rdinaire cybersécurité : présentation des intervenants
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
 
sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014  scada panorama des referentiels sécurité système information ind...Clusif 2014  scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatique
 
Keynote corona prez_episode_2
Keynote corona prez_episode_2Keynote corona prez_episode_2
Keynote corona prez_episode_2
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
Les infrastructures de réseaux de communication dans le bâtiment de demain
Les infrastructures de réseaux de communication dans le bâtiment de demainLes infrastructures de réseaux de communication dans le bâtiment de demain
Les infrastructures de réseaux de communication dans le bâtiment de demain
 
Industries2020 First : Pitch 5 festo nicolas vareillas
Industries2020 First : Pitch 5 festo nicolas vareillasIndustries2020 First : Pitch 5 festo nicolas vareillas
Industries2020 First : Pitch 5 festo nicolas vareillas
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
 
Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
 

Plus de PRONETIS

Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3
PRONETIS
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
PRONETIS
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
PRONETIS
 
C8 Réseaux : Couche applicative
C8 Réseaux : Couche applicativeC8 Réseaux : Couche applicative
C8 Réseaux : Couche applicative
PRONETIS
 
C7 Réseaux : couche transport
C7 Réseaux : couche transportC7 Réseaux : couche transport
C7 Réseaux : couche transport
PRONETIS
 
C6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routageC6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routage
PRONETIS
 
C5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-natC5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-nat
PRONETIS
 
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseau
PRONETIS
 
C3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifiC3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifi
PRONETIS
 
C2 Réseaux : medias - equipements
C2 Réseaux : medias - equipementsC2 Réseaux : medias - equipements
C2 Réseaux : medias - equipements
PRONETIS
 
C1 Réseaux : introduction et concepts
C1 Réseaux : introduction et conceptsC1 Réseaux : introduction et concepts
C1 Réseaux : introduction et concepts
PRONETIS
 
Demonstration injection de code
Demonstration injection de codeDemonstration injection de code
Demonstration injection de code
PRONETIS
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
PRONETIS
 
Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013
PRONETIS
 
Sécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils NomadeSécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils Nomade
PRONETIS
 
Sonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_bSonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_b
PRONETIS
 
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2
PRONETIS
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
PRONETIS
 
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
PRONETIS
 

Plus de PRONETIS (19)

Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
 
Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3Sécurite opérationnelle des Système d'Information Volet-3
Sécurite opérationnelle des Système d'Information Volet-3
 
C8 Réseaux : Couche applicative
C8 Réseaux : Couche applicativeC8 Réseaux : Couche applicative
C8 Réseaux : Couche applicative
 
C7 Réseaux : couche transport
C7 Réseaux : couche transportC7 Réseaux : couche transport
C7 Réseaux : couche transport
 
C6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routageC6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routage
 
C5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-natC5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-nat
 
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseau
 
C3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifiC3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifi
 
C2 Réseaux : medias - equipements
C2 Réseaux : medias - equipementsC2 Réseaux : medias - equipements
C2 Réseaux : medias - equipements
 
C1 Réseaux : introduction et concepts
C1 Réseaux : introduction et conceptsC1 Réseaux : introduction et concepts
C1 Réseaux : introduction et concepts
 
Demonstration injection de code
Demonstration injection de codeDemonstration injection de code
Demonstration injection de code
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
 
Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013
 
Sécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils NomadeSécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils Nomade
 
Sonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_bSonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_b
 
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
 
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
 

Dernier

GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGESGUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
DjibrilToure5
 
A1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdfA1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdf
lebaobabbleu
 
1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif
NadineHG
 
Compréhension orale La famille de Sophie (12).pdf
Compréhension orale  La famille de Sophie (12).pdfCompréhension orale  La famille de Sophie (12).pdf
Compréhension orale La famille de Sophie (12).pdf
lebaobabbleu
 
1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x
NadineHG
 
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdfMÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
lebaobabbleu
 
Bonnard, Pierre et Marthe.pptx
Bonnard,     Pierre     et    Marthe.pptxBonnard,     Pierre     et    Marthe.pptx
Bonnard, Pierre et Marthe.pptx
Txaruka
 
Auguste Herbin.pptx Peintre français
Auguste   Herbin.pptx Peintre   françaisAuguste   Herbin.pptx Peintre   français
Auguste Herbin.pptx Peintre français
Txaruka
 

Dernier (8)

GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGESGUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
GUIDE POUR L’EVRAS BALISES ET APPRENTISSAGES
 
A1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdfA1- Compréhension orale - présentations.pdf
A1- Compréhension orale - présentations.pdf
 
1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif1e Espaces productifs 2024.Espaces productif
1e Espaces productifs 2024.Espaces productif
 
Compréhension orale La famille de Sophie (12).pdf
Compréhension orale  La famille de Sophie (12).pdfCompréhension orale  La famille de Sophie (12).pdf
Compréhension orale La famille de Sophie (12).pdf
 
1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x1e geo metropolisation metropolisation x
1e geo metropolisation metropolisation x
 
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdfMÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
MÉDIATION ORALE - MON NOUVEL APPARTEMENT.pdf
 
Bonnard, Pierre et Marthe.pptx
Bonnard,     Pierre     et    Marthe.pptxBonnard,     Pierre     et    Marthe.pptx
Bonnard, Pierre et Marthe.pptx
 
Auguste Herbin.pptx Peintre français
Auguste   Herbin.pptx Peintre   françaisAuguste   Herbin.pptx Peintre   français
Auguste Herbin.pptx Peintre français
 

Sécurité des systèmes d’information industriels

  • 1. SÉCURITÉ DES SYSTÈMES D’INFORMATION INDUSTRIELS MARS 2014 Philippe PRESTIGIACOMO POLYTECH MARSEILLE
  • 2. AGENDA VOLET I : PROBLEMATIQUE GENERALE Présentation des systèmes d’information industriels Spécificités des systèmes industriels VOLET II : ÉTAT DE L’ART DE LA SÉCURITÉ Difficultés rencontrées pour appliquer les standards de sécurité Menaces, vulnérabilités et impacts potentiels VOLET III : MESURES DE PROTECTION ET DE PRÉVENTION Bilan, approche et bonnes pratiques de sécurité Référentiels et guides utiles - Contacts en cas d’incidents DÉMONSTRATION Prise de contrôle d’un drone 2 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
  • 3. PROBLEMATIQUE GÉNÉRALE VOLET I 3 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
  • 4. SYSTÈME D’INFORMATION INDUSTRIEL Les systèmes d’automatisme ou systèmes de contrôle industriel sont utilisés pour de multiples applications Usine classique : chimie, agro, automobile, pharma, production d’énergie… Sites plus vastes : traitement de l’eau, des réseaux de transport… Gestion de bâtiment (aéroport, hôpitaux…) Propulsion de navire Santé : biomédicale, laboratoire d’analyse … 4 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Les systèmes industriels contrôlent les infrastructures critiques depuis les réseaux électriques au traitement de l'eau, de l'industrie chimique aux transports. Ils sont présents partout.
  • 5. PROBLÉMATIQUE Historiquement Systèmes d’information industriels basées sur des technologies propriétaires et isolées du monde extérieur Protection des accès physiques jugée suffisante, la sécurité logique n’étant pas une préoccupation majeure Aujourd’hui Systèmes basés sur des technologies répandues, ouvertes et standardisées Communication directe établie entre les systèmes d’information industriels et les systèmes d’information de gestion de l’entreprise 5 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Cette évolution des techniques expose ces systèmes aux menaces actuelles qui ciblent les systèmes d’information de gestion
  • 6. PROBLÉMATIQUE Spécificités des systèmes d’information industriels Disponibilité Durée de vie des équipements Multiples technologies et fournisseurs Couvertures géographiques Effets indésirables de la mise en œuvre de la sécurité Interconnexion au système d’information de gestion de l’entreprise Télémaintenance 6 | Mars 2014 | Sécurité des Systèmes d’Information Industriels La sécurisation des systèmes industriels passent par la compréhension de leurs spécificités et de leurs contraintes
  • 7. SYSTEME INDUSTRIEL 7 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Régulation et automatisme Capteur / actionneur Superviseur Elaboration des ordres - calculateur de process - Pilotage historisation - gestion des processus industriels (MES) Fonctions centrales finance, compta, info centre
  • 8. DOMAINES D’EXPLOITATION 8 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Industrie Transports Energie Défense
  • 9. DISPONIBILITE 9 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Au sein de ces installations, les automatismes assurent Le bon fonctionnement / les délais de production La sécurité des biens et personnes La conformité avec les exigences réglementaires sur l’environnement La conformité avec les exigences réglementaires en terme qualité (traçabilité notamment) L’arrêt même momentané peut avoir des conséquences graves sur la sécurité des personnes.
  • 10. DURÉE DE VIE 10 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Entre 10 et 15 ans selon la machine Fonctionne 24h/24 et 7j/7 Peu ou pas d’arrêt de maintenance Difficultés pour le support et des pièces de rechange Difficultés de mettre régulièrement à jour les équipements
  • 11. MULTIPLES TECHNOLOGIES - FOURNISSEURS 11 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Installation hétérogène : cohabitation de technologies et de générations différentes Modification ou extension des installations Fenêtre technologique entre 15 à 20 ans Difficultés pour déployer une même solution de sécurité sur l’ensemble des équipements
  • 12. ENVIRONNEMENTS 12 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Des conditions environnementales extrêmes : Atmosphère humide, poussiéreuse, explosive, corrosive Température Pression Chocs et vibrations Radiations Difficulté de trouver des produits de sécurité répondant aux critères
  • 13. GÉOGRAPHIE 13 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Installation très étendue Site industriel avec des superficies importantes : 15.000 à 20.000 m² Réseaux nationaux avec des filiales disposant d’une grande autonomie locale Multiples sites interconnectés Nécessité pour certains systèmes de disposer d’accès à distance via Internet - Equipements connectés sur Internet afin de faciliter leur exploitation Difficulté de sécuriser chaque site Besoin croissant en télémaintenance
  • 14. INTERVENANTS 14 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Interlocuteurs avec des cultures et sensibilités différentes Électroniciens, automaticiens, qualiticiens Turn-over important du personnel en production Intérimaire Sous-traitant Quid de la confidentialité des données sur les postes SCADA – recette de fabrication…. Difficulté de maitriser l’ensemble des intervenants. Il faut comprendre le métier et les problématiques, savoir dialoguer avec l’ensemble des interlocuteurs
  • 15. PROTOCOLES 15 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Protocoles ouvert ou propriétaires Protocoles historiques non IP / non Ethernet (industrial ethernet, modbus-tcp, profinet, DNP3) Sans authentification, ni chiffrement des données transportées Absence de gestion des transactions en mode connecté Nécessité d’avoir des équipements de filtrage compatibles Difficultés de trouver des produits de sécurité répondant aux critères
  • 16. ETAT DE L’ART DE LA SÉCURITÉ VOLET II 16 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
  • 17. SÉCURITÉ EMBARQUÉE ET SÉCURITÉ RÉSEAU 17 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Ressources limitées Versus fonctions de sécurité embarquées dans les systèmes Filtrage des flux : Pare-feu Centralisation des journaux d’événements Temps de réponse courts Versus équipements de filtrage réseau Sondes de détection d’intrusion (HIDS / HIPS) Filtrage des flux : Pare-feu Compatibilité protocolaire Inspection des paquets en profondeur Difficultés d’embarquer des fonctions de sécurité évoluées L’équipement de filtrage doit être compatible avec les protocoles en présence.
  • 18. SÉCURITÉ RÉSEAU VERSUS MAILLAGE DU RÉSEAU 18 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Communication pair à pair et non client-serveur Tous les équipements communiquent entre eux Le dysfonctionnement d’un équipement peut entrainer un dysfonctionnement du système entier - Tous sont critiques Il est alors nécessaire de protéger chaque équipement. Ce qui peut être long et coûteux
  • 19. PATCH MANAGEMENT 19 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Durée de déploiement incompatible avec les contraintes de productivité Nombreux équipements à des distances variables Durée de déploiement importante Risque d’indisponibilité Effets inattendus entrainant un disfonctionnement partiel ou total Peu de possibilité de déploiement Peu d’arrêts planifiés Le contexte industriel laisse peu de créneaux temporels pour déployer les patchs de sécurité.
  • 20. CONTRÔLE D’ACCÈS LOGIQUE 20 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Temps de réaction En situation de crise la contrainte du contrôle d’accès peut faire perdre du temps Ambiance peu propice à la biométrie Graisse, port de gant, masques, … Compatibilité sur l’ensemble de l’installation Technologies et générations de machines différentes Le contrôle d’accès pourrait être source de stress et de perte de temps.
  • 21. ANTIVIRUS 21 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Risque d’indisponibilité des processus , chaines de fabrication Faux positif entrainant la suppression / Mise en quarantaine d’un fichier essentiel Conséquences multiples : perte de visualisation / contrôle du système de contrôle-commande, arrêt de fonctionnement automatisé du système Difficulté pour mettre à jour la base virale A cause du cloisonnement des réseaux de gestion et industriels, la mise à jour peut être complexe L’architecture antivirale à déployer doit prendre en compte les ressources disponibles sur les automates et les postes de pilotage.
  • 22. SURVEILLANCE 22 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Difficultés pour se connecter à tous les équipements Protocoles propriétaire Technologies différentes Traçabilités des informations Absence de fonctionnalité de journalisation embarquée Compétences Analyse des événements dans le périmètre Difficultés d’analyser les évènements provenant d’un système industriel. Pour cela, il est nécessaire d’avoir des compétences en sécurité et en automatisme industriel.
  • 23. MENACES ET VULNÉRABILITÉS 23 | Mars 2014 | Sécurité des Systèmes d’Information Industriels ATTAQUE - Exploitation concrète d’une vulnérabilité d’un système qui conduit à des conséquences plus ou moins grave sur la fonctionnalité ou les données du système. Typologie des attaques Attaques génériques - 30 Millions de nouveaux malwares en 2012 › CONFICKER, 2009 Attaques ciblées - Informatique conventionnelle › FLAME, 2010 › ACAD, 2012 › SHAMOON, 2012 - Systèmes industriels › STUXNET, 2010 › DUQU, 2011
  • 24. CAS DE STUXNET : QUELLE ÉTAIT LA CIBLE ? 24 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Le Siemens Organization Block 35 (process watchdog) est modifié par Stuxnet – Il gère des opérations critiques qui requièrent des temps de réponse inférieurs à 100 ms La cible pourrait être la centrale de Bushehr, en construction mais aussi des centrifugeuses sur le site de Natanz Famille de PLC concernée : 6ES7-417 et 6ES7-315-2 -> cibles complexes ! * multiples ProfiBus * Puissance CPU
  • 25. VULNÉRABILITÉS DES SYSTÈMES INDUSTRIELS 25 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Vulnérabilités intrinsèques aux systèmes industriels Peu de prise en compte de la sécurité lors des phases de conception, d’installation, d’exploitation et de maintenance Automates et composants industriels en production avec des configuration par défauts et mots de passe par défaut Informations accessibles – les manuels techniques sont disponibles assez facilement- avec les mots de passe par défaut. Une culture et une expérience des opérationnels différentes du monde informatique : Connexion à l’Internet et ignorance de la menace extérieure Des opérateurs non formés à la sécurité informatique
  • 26. ORGANISATION DE LA SECURITE Responsable sécurité rattaché Production (le plus souvent) Département technique Hygiène Qualité Sécurité et Environnement (HQSE) Maintenance Services généraux 26 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Responsabilités variables et diffuses des systèmes informatiques et de leur sécurité
  • 27. ETUDE AREVA – EURIWARE 2010 27 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Un retour d’expérience sur une cinquantaine d’industriels français montre le manque de maturité en sécurité des systèmes d’information industriels.
  • 28. IMPACTS 28 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Dommages matériels et/ou corporels Responsabilité civil ou pénale Impact environnemental Pollution du site de production et de l’environnement Perte de chiffre d’affaire Interruption de la production Modification des paramètre de fabrication Vol de données Secret de fabrication, avantage pour la concurrence
  • 29. MESURES DE PROTECTION ET DE PRÉVENTION VOLET III 29 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
  • 30. CONSTAT 30 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Difficultés d’appliquer les standards de sécurité des systèmes d’information de gestion Une approche différente à construire pour les systèmes d’information industriels « tout en adaptant les recettes existantes de sécurité » La gestion du risque, la maîtrise des techniques de sécurisation deviennent des compétences indispensables pour les entreprises dans les secteurs industriels.
  • 31. APPROCHE STRUCTURÉE Bonnes pratiques de sécurité – les classiques Politiques de sécurité, Veille de vulnérabilités, Evaluation de la sécurité & audit, Plan de continuité - gestion de crise et exercice de simulation 31 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
  • 32. APPROCHE STRUCTURÉE 32 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Organisation de la sécurité Identification d’un responsable sécurité industriel Analyse de risques Sensibiliser le personnel Mise à niveau par paliers successifs Inventaires - Projet de remplacement des équipements obsolètes Dispositif contractuel pour les fournisseurs Maintenance Plan de maintenance des composants sensibles Sécurité physique, protection des locaux techniques et des armoires
  • 33. ET ENSUITE LA TECHNIQUE 33 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Mesures techniques Patch management : Antivirus et correctifs Cloisonnement et contrôle des flux entre les SI industriel et de gestion Whitelisting : liste des blanches des applications autorisées Télémaintenance et télégestion limitées et contrôlées avec une traçabilité renforcée Accès à internet limité ou interdit Déploiement de moyens de surveillance et de détection
  • 34. GUIDES PRATIQUES 34 | Mars 2014 | Sécurité des Systèmes d’Information Industriels ANSSI Guide d’hygiène informatique • Connaitre son SI et ses utilisateurs • Maîtriser le réseau • Mettre à niveau les logiciels • Authentifier l’utilisateur • Sécuriser les équipements terminaux • Sécuriser l’intérieur du réseau • Protéger le réseau interne de l’Internet • Surveiller les systèmes • Sécuriser l’administration du réseau • Contrôler l’accès aux locaux et la sécurité physique • Organiser la réaction en cas d’incident • Sensibiliser • Faire auditer la sécurité • Guide SSI des systèmes industriels
  • 35. CONTACTS 35 | Mars 2014 | Sécurité des Systèmes d’Information Industriels La DPSD La police DCPJ/OCLCTIC, DCRI, PP/BEFTI, La gendarmerie IRCGN, STRJD, NTECH La justice En cas d’incident : Office Central de Lutte contre la Criminalité liées aux Technologies de l’Information et de la Communication (OCLCTIC) 101 Rue des 3 Fontanot - 92000 NANTERRE Tel : 01.49.27.49.27 "info-escroqueries" 08 11 02 02 17
  • 36. QUELQUES SITES Sites gouvernementaux ANSSI - http://www.ssi.gouv.fr/ Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr Rapport du Sénateur Bockel sur la Cyberdéfense - http://www.senat.fr/rap/r11-681_mono.html Sites d’information www.clusif.fr Magazine sur la sécurité - http://www.mag-securs.com - http://boutique.ed-diamond.com/ (revue MISC) Séminaires - http://www.forum-fic.com/2014/fr/ - http://www.gsdays.fr/ - https://www.lesassisesdelasecurite.com/ 36 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
  • 37. DÉMONSTRATION 37 | Mars 2014 | Sécurité des Systèmes d’Information Industriels Prise de contrôle d’un drone Remerciements à la DCNS pour leur aide dans l’élaboration de la démonstration
  • 38. PRESENTATION Cette démonstration est réalisée dans le cadre de la journée OZSSI afin d’illustrer le besoin de prendre en compte la sécurité en amont dans les projets de développement de produits industriels Ecole POLYECH GENIE INDUSTRIEL & INFORMATIQUE 4A Equipe POLYHACK-Drone Sébastien MONNERY Sébastien MINEO Sébastien OHANIAN Equipe encadrée par Philippe PRESTIGIACOMO 38 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
  • 39. DEMONSTRATION Scénario Objectif : - Récupérer le contrôle d’un drone en exploitant l’absence d’authen. Robuste Contexte : - Le drone est allumé, et son propriétaire est connecté au réseau wifi de l’appareil. Méthode d’attaque : - Passage de la carte wifi en mode écoute - Identification des réseaux wifi - Identification des appareils connectés au wifi ciblé (propriétaire du drone) - Désauthentification du propriétaire légitime par le pirate - Connexion du pirate au drone Technologies utilisées - Ordinateur doté de l’Operating System KALI – Plateforme d’audit de sécurité - Suite logicielle utilisée dans KALI : AirCrack - Application AR FreeFlight pour le contrôle du DRONE (sur tablette/téléphone Androïd) 39 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
  • 40. DEMONSTRATION Wifi Propriétaire Pirate 40 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
  • 41. DEMONSTRATION Wifi PiratePropriétaire 41 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
  • 42. DEMONSTRATION Wifi PiratePropriétaire 42 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
  • 43. CAPTURE DES FLUX RÉSEAUX Commandes envoyées au DRONE 43 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
  • 44. CONCLUSION Voici les vulnérabilités identifiées lors de la conception du drone: - Absence d’authentification robuste entre le pilote et le drone - Absence de chiffrement des communications - Absence de gestion des privilèges Défauts de sécurité dans de nombreux automates industriels et militaires ! 44 | Mars 2014 | Sécurité des Systèmes d’Information Industriels
  • 45. FIN DE LA DEMONSTRATION MERCI POUR VOTRE ATTENTION 45 | Mars 2014 | Sécurité des Systèmes d’Information Industriels