ISA L’évolution des normes et des modèles

25/11/2016
OAI : oai:www.see.asso.fr:17640:17649
DOI :
contenu protégé  Document accessible sous conditions - vous devez vous connecter ou vous enregistrer pour accéder à ou acquérir ce document.
- Accès libre pour les ayants-droit
 

Résumé

ISA L’évolution des normes et des modèles

Auteurs

L’IA et l’industrie
L’intelligence artificielle : prothèse ou orthèse ?
Refroidissement des logements : ne refaisons pas l’erreur des chauffages d’appoint
26e Congrès de la Conférence générale des poids et mesures (CGPM) à Versailles
Gérard Mourou, prix Nobel de physique 2018
Transition énergétique : il est temps de redonner la priorité à l’électricité
Comment décarboner les transports lourds de marchandises ?
La RATP se met au vert
Autoconsommation : le débat ne fait que commencer
Un mix gazier 100 % renouvelable en 2050 : peut-on y croire ?
La fiscalité du carbone se renforce
Stratégie nationale bas carbone : les premiers indicateurs de résultats interpellent
Eoliennes flottantes : deux inaugurations importantes mais beaucoup d’incertitudes demeurent
Vers un cluster de l’hydrogène dans la région de Liverpool-Manchester
Les batteries Li-ion pour l’automobile : un marché en pleine évolution
Mobileye et le Road Experience Management (REMTM)
La cyber-sécurité dans les systèmes d'automatisme et de contrôle de procédé
Les applications industrielles et scientifiques des logiciels libres : aperçu général
Les applications industrielles des logiciels. libres
Les applications industrielles des logiciels libres (2ème partie)
L'identification par radiofréquence (RFID) Techniques et perspectives
La cyber-sécurité des automatismes et des systèmes de contrôle de procédé. Le standard ISA-99
Êtes-vous un « maker » ?
Entretien avec Bernard Salha
- TensorFlow, un simple outil de plus ou une révolution pour l’intelligence artificielle ?
Donald Trump annonce que les Etats-Unis se retirent de le l’accord de Paris
L’énergie et les données
Consommer de l’électricité serait-il devenu un péché ?
Un nouveau regard sur la conjecture de Riemann – Philippe Riot, Alain Le Méhauté
Faut-il donner aux autorités chargées du respect de la loi l’accès aux données chiffrées ?
Cybersécurité de l’Internet des objets : même les ampoules connectées pourraient être attaquées
L’Internet des objets - Deux technologies clés : les réseaux de communication et les protocoles (Partie 2)
ISA L’évolution des normes et des modèles
FIEEC - SEE - Présentation SEE et REE - mars 2014
Les radiocommunications à ondes millimétriques arrivent à maturité
L’Internet des objets - Deux technologies clés : les réseaux de communication et les protocoles (Partie 1)
Internet des objets : l’ARCEP et l’ANFR mettent à la consultation l’utilisation de nouvelles bandes de fréquence autour de 900 MHz
L’énergie positive
Controverses sur le chiffrement : Shannon aurait eu son mot à dire
La cyberattaque contre les réseaux électriques ukrainiens du 23 décembre 2015
Le démantèlement des installations nucléaires
L’Accord de Paris
Les data centers
L’hydrogène
Le piégeage et la récolte de l’énergie. L’energy harvesting
Régalez-vous, c’est autant que les Prussiens n’auront pas...
Le kWh mal traité Deuxième partie : le contenu en CO2 du kWh
Le kWh mal traité
Enova2014 - Le technorama de la REE
Les grands projets solaires du pourtour méditerranéen
Après Fukushima, le nucléaire en question ?
On sait désormais stocker les photons pendant une minute
Identification d’objet par imagerie fantôme utilisant le moment orbital angulaire
La découverte du boson de Higgs, si elle est avérée, confirmera le modèle standard
Multiplexage par moment angulaire orbital : mythe ou réalité ?
Supercalculateur quantique: le choix de la supraconductivité
Photovoltaïque : la course au rendement se poursuit
Production d’hydrogène par photolyse de l’eau assistée par résonance plasmon
Vers une meilleure compréhension du bruit de scintillation
Les nombres premiers en première ligne
La nouvelle révolution des moteurs électriques
Les cyber-attaques, un risque pour nos grandes infrastructures ?
Le stockage de l’électricité
Le véhicule électrique (2) : comment donner corps à la transition énergétique ?
L'automatisation des transports publics
Les technologies nouvelles de l’éclairage : leur impact sur l'environnement et la santé
Les énergies marines renouvelables
Le véhicule électrique : une grande cause nationale
Médaille Ampère 2012
Berges2009_Hauet.pdf
Prix Bergès 2009

Métriques

23
7
1.38 Mo
 application/pdf
bitcache://4027b27883b8c3969463de4e1f09064191dcda70

Licence

Creative Commons Aucune (Tous droits réservés)

Sponsors

Partenaires

logo-rte.jpg
enedis.jpg
telecombretagne_logo.jpg

Sponsors

logo_pole_cyber.png
cybercni-logo-fr-bd.jpg
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/17640/17649</identifier><creators><creator><creatorName>Jean-Pierre Hauet</creatorName></creator></creators><titles>
            <title>ISA L’évolution des normes et des modèles</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2016</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Thu 1 Dec 2016</date>
	    <date dateType="Updated">Thu 1 Dec 2016</date>
            <date dateType="Submitted">Mon 10 Dec 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">4027b27883b8c3969463de4e1f09064191dcda70</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>30120</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

Standards Certification Education & Training Publishing Conferences & Exhibits France Symposium sur la cybersécurité des réseaux intelligents – Rennes 25 novembre 2016 L’évolution des normes et des modèles Jean-Pierre HAUET Président ISA-France Rédacteur en chef de la REE Réaliser et exploiter un REI implique des choix difficiles • S’assurer de la qualité des intervenants (conception, fourniture de produits et services…) • Valider l’architecture • S’assurer de la qualité des produits/systèmes • Valider l’intégration du système • Organiser l’exploitation et la maintenance • Un système de gestion de la cybersécurité (CSMS) est nécessaire • Un tel système doit s’appuyer sur un référentiel normatif permettant de : – Introduire de la « rationalité » dans un domaine subjectif – Etre davantage certain de ne rien oublier (complétude) – Etre homogène dans les évaluations – Traiter les problèmes de façon économiquement raisonnable Le bilan dressé par le Livre blanc de la cybersécurité des REI (SEE) • Situation début 2016 – Travaux européens – Réglementations et normes internationales – Réglementations françaises – Certifications Les travaux européens • Menés dans le cadre de l’ENISA et du « Smart Grid Coordination Group » CEN-CENELEC-ETSI • Trois rapports essentiels : – Rapport « Smart Grid Threat Landscape and Good Practice Guide » de l’ENISA ; – Rapport « Proposal for a list of security measures for smart grids » de l’ENISA et de l’Expert Group 2 (EG2) de la Smart Grid Task Force de la Commission européenne – Rapport « Smart Grid Information Security » du Groupe de travail « Smart Grid Coordination Group (SG-CG/SGIS) » des CEN-CENELEC- ETSI Ces rapports s’appuient sur la méthodologie définie par la mission M/490 confiée aux CEN-CENELEC-ETSI « SG-CG/M490/F Overview of SG-CG Methodologies » et notamment sur le modèle SGAM : Smart Grid Architecture Model • Rapports spécifiques sur le smart metering (CEN-CENELEC-ETSI Smart Meters Coordination Group – Mandat M/441) Le modèle SGAM (1) • Modèle générique de description des réseaux électriques intelligents • Langage commun utilisable par tous les travaux sur les REI, en particulier ceux relatifs à la cybersécurité • Fondé sur la notion de « Smart grid Plane » Le modèle SGAM: les cinq niveaux d’interopérabilité • Component • Communication • Information • Function • Business Le rapport « Smart grid Information Security » • Propose d’évaluer la sécurité sur cinq niveaux • Positionne les mesures du rapport « Proposal for a list of security measures » sur l’architecture SGAM • Préconise une approche (« framework ») pour définir, pour un cas d’usage donné : – Les niveaux de sécurité à retenir – Les normes pertinentes – Les mesures à mettre en œuvre Niveau Désignation Critères au regard de la stabilité du réseau européen 1 Très critique Perte possible de plus de 10 GW – Incident pan-européen 2 Critique Perte possible de 1 à 10 GW – Incident national ou européen 3 Elevé Perte possible de 100 MW à 1 GW – Incident régional ou national 4 Moyen Perte possible de 1 MW à 100 MW – Incident urbain ou régional 5 Faible Perte possible de moins de 1 MW– Incident local ou urbain La normalisation internationale : les normes ISO/IEC 27000 • IEC 27001 : Management de la sécurité de l'information • IEC 27002:2013 : Code de bonne pratique pour le management de la sécurité de l'information • IEC 27003:2010 : Lignes directrices pour la mise en œuvre du système de management de la sécurité de l'information • IEC 27004:2009 : Management de la sécurité de l'information – Mesurage • IEC 27005:2011 : Gestion des risques liés à la sécurité de l'information • IEC TR27019:2013 : Lignes directrices de management de la sécurité de l'information fondées sur l'ISO/CEI 27002 pour les systèmes de contrôle des procédés spécifiques à l'industrie de l'énergie La norme IEC 62443 (ex ISA-99) • Norme applicable aux IACS (Industrial Automation and Control Systems) y compris scadas et réseaux électriques • Norme répartie en 13 documents distinguant 4 niveaux de standardisation 1. General 2. Policies & procedures 3. System 4. Components • Reprend ISO 27001 et 27002 dans le nouveau standard -2-1 • Propose un ensemble de critères techniques pour évaluer le niveau de sécurité offert par un système ou un composant (standards -3-3 et – 4-2) Structure de la norme IEC 62443 Une norme adaptée aux différents types d’intervenants Onsite / site specific Offsite develops control systems designs and deploys operates and maintains is the base for Control System as a combination of components Host devices Network components Applications Embedded devices 4-1 3-3 4-2 develops components Product Supplier System Integrator Asset Owner Service Provider Industrial Automation and Control System (IACS) + 2-4 3-2 2-1 2-4 Operational policies and procedures Automation solution Basic Process Control System (BPCS) Safety Instrumented System (SIS) Complementary Hardware and Software Maintenance policies and procedures 2-3 3-3 Architecture REI avec zones, conduits et niveaux de sécurité Source: Alstom Grid Autres normes internationales Sécurisation des communications • IEC 62351-1 à 13 : Power systems management and associated information exchange - Data and communications security . Au- dessus des protocoles IEC 61850, IEC 60870-5, IEC 61968, IEC 61970) • IEC 62056 : série de standards visant à assurer la sécurité des échanges de données dans les compteurs communicants – Issue de la spécification DLMS (Device Language Message Specification) et du COSEM (Companion Specification for Energy Metering) • IEC 62541: plate-forme d’échange client/serveur OPC-UA (recommandée par Industrie 4,0) normalisant les services et les formats d’échange sécurisé de données – Compatible avec de nombreux protocoles (IEC 61850) Normes aux Etats-Unis • NIST (National Institute of Standards and Technology) – Framework for Improving Critical Infrastructure Cybersecurity (février 2014) – NISTIR 7628 rev 1 (2014) : Guidelines for Smart Grid Cybersecurity (oct 2014) • NERC (North American Electric reliability Corporation) – CIP standards (Critical Infrastructure Protection) La NERC a designee par la FERC comme Energy Regulatory Office (REO). Le respect des CIP 2 à 11 est obligatoire pour les réseaux de transport américains. 15 Les standards CIP • CIP-002 – BES Cyber System Categorization • CIP-003 – Security Management Controls • CIP-004 – Personnel and Training • CIP-005 – Electronic Security Perimeter(s) • CIP-006 – Physical Security of BES Cyber Systems • CIP-007 – System Security Management • CIP-008 – Incident Reporting and Response Planning • CIP-009 – Recovery Plans for BES Cyber Systems • CIP-010 – Configuration Change Management and Vulnerability Assessments • CIP-011 – Information Protection En France • Rapports et guides de l’ANSSI – Maîtriser la SSI pour les systèmes industriels (2012) – Cas pratique (2012) – Méthode de classification et mesures principales (2014) – Mesures détaillées (2014) • Réglementation OIV – Article 22 de la loi de programmation militaire du 18 décembre 2013 – Décrets du 27 mars 2015 et arrêtés Compteurs – Arrêté du 4 janvier 2012 : conformité à un référentiel de sécurité Protection des données personnelles – Pack de conformité CNIL-FIEEC Les certifications • Encore limitée dans le domaine des REI et de la cybersécurité – Certifications de produits/systèmes – Certifications d’acteurs (fournisseurs de produits/systèmes, fournisseurs de service) • Toutes les normes ne donnent pas lieu à certification Au niveau international – ISO 27001 : Management de la sécurité de l’information – ISO/IEC 15408 : Critères d’évaluation pour la sécurité (critères communs – ISO/IEC 19790 : Security requirements for cryptographic modules – IEC 62443 :  Certifications Achilles (IEC 62443-2-4)  ISA-Secure (IEC 62433-3-3, 4-1, 4-2) Certifications ISA Secure IEC 62443-3-3 Systèmes de contrôle (en tant que « produits ») SSA (System Security Assurance) et SDLA (Security Development Life cycle) IEC 62443-4-1 Processus de développement (Produits et systèmes) SDLA (Security Development Life cycle) IEC 62443-4-2 Composants (contrôleurs, RTUs, systèmes de supervision, capteurs intelligents….) EDSA (Embedded Device Security Assurance) Logiciels d’application En cours de développement Laboratoires d’évaluation accrédités ISO/IEC 17025 aux USA, au Japon et en Allemagne – En cours au Danemark, en Chine et en Grande-Bretagne. Certifications européennes • Pas d’approche harmonisée (sauf accords SOG-IS sur critères communs ) • Seuls quelques Etats (Allemagne, Grande-Bretagne, Pays-Bas, France) ont développé des exigences spécifiques aux REI • Rapport de l’ENISA publié en décembre 2014 : “Smart grid security certification in Europe – Challenges and recommendations“ jetant les bases d’une politique de certification commune En France • Politique de certification de l’ANSSI – Certification de sécurité de premier niveau (orientée tests d’intrusion) – Evaluation selon les Critères communs (Evaluation Assurance Level 1 à 7) – Certification des compteurs communicants (arrêté de janvier 2012) – Certification d’autres composants (IED, disjoncteurs, contrôleurs) : en cours – Qualification des produits de sécurité et des prestataires de services de confiance, au sens LPM et décret 2015-350 du 27 mars 2015 (OIV) Standards Certification Education & Training Publishing Conferences & Exhibits France Symposium sur la cybersécurité des réseaux intelligents – Rennes 25 novembre 2016 Merci de votre attention