ISA L’évolution des normes et des modèles

25/11/2016
OAI : oai:www.see.asso.fr:17640:17649
DOI :
contenu protégé  Document accessible sous conditions - vous devez vous connecter ou vous enregistrer pour accéder à ou acquérir ce document.
- Accès libre pour les ayants-droit
 

Résumé

ISA L’évolution des normes et des modèles

Métriques

23
7
1.38 Mo
 application/pdf
bitcache://4027b27883b8c3969463de4e1f09064191dcda70

Licence

Creative Commons Aucune (Tous droits réservés)

Sponsors

Partenaires

logo-rte.jpg
enedis.jpg
telecombretagne_logo.jpg

Sponsors

logo_pole_cyber.png
cybercni-logo-fr-bd.jpg
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/17640/17649</identifier><creators><creator><creatorName>Jean-Pierre Hauet</creatorName></creator></creators><titles>
            <title>ISA L’évolution des normes et des modèles</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2016</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Thu 1 Dec 2016</date>
	    <date dateType="Updated">Thu 1 Dec 2016</date>
            <date dateType="Submitted">Fri 20 Apr 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">4027b27883b8c3969463de4e1f09064191dcda70</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>30120</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

Standards Certification Education & Training Publishing Conferences & Exhibits France Symposium sur la cybersécurité des réseaux intelligents – Rennes 25 novembre 2016 L’évolution des normes et des modèles Jean-Pierre HAUET Président ISA-France Rédacteur en chef de la REE Réaliser et exploiter un REI implique des choix difficiles • S’assurer de la qualité des intervenants (conception, fourniture de produits et services…) • Valider l’architecture • S’assurer de la qualité des produits/systèmes • Valider l’intégration du système • Organiser l’exploitation et la maintenance • Un système de gestion de la cybersécurité (CSMS) est nécessaire • Un tel système doit s’appuyer sur un référentiel normatif permettant de : – Introduire de la « rationalité » dans un domaine subjectif – Etre davantage certain de ne rien oublier (complétude) – Etre homogène dans les évaluations – Traiter les problèmes de façon économiquement raisonnable Le bilan dressé par le Livre blanc de la cybersécurité des REI (SEE) • Situation début 2016 – Travaux européens – Réglementations et normes internationales – Réglementations françaises – Certifications Les travaux européens • Menés dans le cadre de l’ENISA et du « Smart Grid Coordination Group » CEN-CENELEC-ETSI • Trois rapports essentiels : – Rapport « Smart Grid Threat Landscape and Good Practice Guide » de l’ENISA ; – Rapport « Proposal for a list of security measures for smart grids » de l’ENISA et de l’Expert Group 2 (EG2) de la Smart Grid Task Force de la Commission européenne – Rapport « Smart Grid Information Security » du Groupe de travail « Smart Grid Coordination Group (SG-CG/SGIS) » des CEN-CENELEC- ETSI Ces rapports s’appuient sur la méthodologie définie par la mission M/490 confiée aux CEN-CENELEC-ETSI « SG-CG/M490/F Overview of SG-CG Methodologies » et notamment sur le modèle SGAM : Smart Grid Architecture Model • Rapports spécifiques sur le smart metering (CEN-CENELEC-ETSI Smart Meters Coordination Group – Mandat M/441) Le modèle SGAM (1) • Modèle générique de description des réseaux électriques intelligents • Langage commun utilisable par tous les travaux sur les REI, en particulier ceux relatifs à la cybersécurité • Fondé sur la notion de « Smart grid Plane » Le modèle SGAM: les cinq niveaux d’interopérabilité • Component • Communication • Information • Function • Business Le rapport « Smart grid Information Security » • Propose d’évaluer la sécurité sur cinq niveaux • Positionne les mesures du rapport « Proposal for a list of security measures » sur l’architecture SGAM • Préconise une approche (« framework ») pour définir, pour un cas d’usage donné : – Les niveaux de sécurité à retenir – Les normes pertinentes – Les mesures à mettre en œuvre Niveau Désignation Critères au regard de la stabilité du réseau européen 1 Très critique Perte possible de plus de 10 GW – Incident pan-européen 2 Critique Perte possible de 1 à 10 GW – Incident national ou européen 3 Elevé Perte possible de 100 MW à 1 GW – Incident régional ou national 4 Moyen Perte possible de 1 MW à 100 MW – Incident urbain ou régional 5 Faible Perte possible de moins de 1 MW– Incident local ou urbain La normalisation internationale : les normes ISO/IEC 27000 • IEC 27001 : Management de la sécurité de l'information • IEC 27002:2013 : Code de bonne pratique pour le management de la sécurité de l'information • IEC 27003:2010 : Lignes directrices pour la mise en œuvre du système de management de la sécurité de l'information • IEC 27004:2009 : Management de la sécurité de l'information – Mesurage • IEC 27005:2011 : Gestion des risques liés à la sécurité de l'information • IEC TR27019:2013 : Lignes directrices de management de la sécurité de l'information fondées sur l'ISO/CEI 27002 pour les systèmes de contrôle des procédés spécifiques à l'industrie de l'énergie La norme IEC 62443 (ex ISA-99) • Norme applicable aux IACS (Industrial Automation and Control Systems) y compris scadas et réseaux électriques • Norme répartie en 13 documents distinguant 4 niveaux de standardisation 1. General 2. Policies & procedures 3. System 4. Components • Reprend ISO 27001 et 27002 dans le nouveau standard -2-1 • Propose un ensemble de critères techniques pour évaluer le niveau de sécurité offert par un système ou un composant (standards -3-3 et – 4-2) Structure de la norme IEC 62443 Une norme adaptée aux différents types d’intervenants Onsite / site specific Offsite develops control systems designs and deploys operates and maintains is the base for Control System as a combination of components Host devices Network components Applications Embedded devices 4-1 3-3 4-2 develops components Product Supplier System Integrator Asset Owner Service Provider Industrial Automation and Control System (IACS) + 2-4 3-2 2-1 2-4 Operational policies and procedures Automation solution Basic Process Control System (BPCS) Safety Instrumented System (SIS) Complementary Hardware and Software Maintenance policies and procedures 2-3 3-3 Architecture REI avec zones, conduits et niveaux de sécurité Source: Alstom Grid Autres normes internationales Sécurisation des communications • IEC 62351-1 à 13 : Power systems management and associated information exchange - Data and communications security . Au- dessus des protocoles IEC 61850, IEC 60870-5, IEC 61968, IEC 61970) • IEC 62056 : série de standards visant à assurer la sécurité des échanges de données dans les compteurs communicants – Issue de la spécification DLMS (Device Language Message Specification) et du COSEM (Companion Specification for Energy Metering) • IEC 62541: plate-forme d’échange client/serveur OPC-UA (recommandée par Industrie 4,0) normalisant les services et les formats d’échange sécurisé de données – Compatible avec de nombreux protocoles (IEC 61850) Normes aux Etats-Unis • NIST (National Institute of Standards and Technology) – Framework for Improving Critical Infrastructure Cybersecurity (février 2014) – NISTIR 7628 rev 1 (2014) : Guidelines for Smart Grid Cybersecurity (oct 2014) • NERC (North American Electric reliability Corporation) – CIP standards (Critical Infrastructure Protection) La NERC a designee par la FERC comme Energy Regulatory Office (REO). Le respect des CIP 2 à 11 est obligatoire pour les réseaux de transport américains. 15 Les standards CIP • CIP-002 – BES Cyber System Categorization • CIP-003 – Security Management Controls • CIP-004 – Personnel and Training • CIP-005 – Electronic Security Perimeter(s) • CIP-006 – Physical Security of BES Cyber Systems • CIP-007 – System Security Management • CIP-008 – Incident Reporting and Response Planning • CIP-009 – Recovery Plans for BES Cyber Systems • CIP-010 – Configuration Change Management and Vulnerability Assessments • CIP-011 – Information Protection En France • Rapports et guides de l’ANSSI – Maîtriser la SSI pour les systèmes industriels (2012) – Cas pratique (2012) – Méthode de classification et mesures principales (2014) – Mesures détaillées (2014) • Réglementation OIV – Article 22 de la loi de programmation militaire du 18 décembre 2013 – Décrets du 27 mars 2015 et arrêtés Compteurs – Arrêté du 4 janvier 2012 : conformité à un référentiel de sécurité Protection des données personnelles – Pack de conformité CNIL-FIEEC Les certifications • Encore limitée dans le domaine des REI et de la cybersécurité – Certifications de produits/systèmes – Certifications d’acteurs (fournisseurs de produits/systèmes, fournisseurs de service) • Toutes les normes ne donnent pas lieu à certification Au niveau international – ISO 27001 : Management de la sécurité de l’information – ISO/IEC 15408 : Critères d’évaluation pour la sécurité (critères communs – ISO/IEC 19790 : Security requirements for cryptographic modules – IEC 62443 :  Certifications Achilles (IEC 62443-2-4)  ISA-Secure (IEC 62433-3-3, 4-1, 4-2) Certifications ISA Secure IEC 62443-3-3 Systèmes de contrôle (en tant que « produits ») SSA (System Security Assurance) et SDLA (Security Development Life cycle) IEC 62443-4-1 Processus de développement (Produits et systèmes) SDLA (Security Development Life cycle) IEC 62443-4-2 Composants (contrôleurs, RTUs, systèmes de supervision, capteurs intelligents….) EDSA (Embedded Device Security Assurance) Logiciels d’application En cours de développement Laboratoires d’évaluation accrédités ISO/IEC 17025 aux USA, au Japon et en Allemagne – En cours au Danemark, en Chine et en Grande-Bretagne. Certifications européennes • Pas d’approche harmonisée (sauf accords SOG-IS sur critères communs ) • Seuls quelques Etats (Allemagne, Grande-Bretagne, Pays-Bas, France) ont développé des exigences spécifiques aux REI • Rapport de l’ENISA publié en décembre 2014 : “Smart grid security certification in Europe – Challenges and recommendations“ jetant les bases d’une politique de certification commune En France • Politique de certification de l’ANSSI – Certification de sécurité de premier niveau (orientée tests d’intrusion) – Evaluation selon les Critères communs (Evaluation Assurance Level 1 à 7) – Certification des compteurs communicants (arrêté de janvier 2012) – Certification d’autres composants (IED, disjoncteurs, contrôleurs) : en cours – Qualification des produits de sécurité et des prestataires de services de confiance, au sens LPM et décret 2015-350 du 27 mars 2015 (OIV) Standards Certification Education & Training Publishing Conferences & Exhibits France Symposium sur la cybersécurité des réseaux intelligents – Rennes 25 novembre 2016 Merci de votre attention