présentation cyber 200318©sentation-cyber-2… · title: présentation cyber 200318 author:...
TRANSCRIPT
1
Révision du référentiel R31Réunion du 20/03/2018
Ronan JEZEQUELChef de service développement
CNPP
2018
Sécurité numérique des données et des systèmes
Sécurité numérique des données et des systèmes : Pl an
– Introduction : travaux menés
– Vulnérabilités et préconisations « systèmes »
– Vulnérabilités et solutions « produits »
– Conclusion
2
Sécurité numérique
= > Introduction– Historique et évolutions du marché– Etudes CNPP
• Générale : « cyber » • Technique : « objets connectés »
= >Résultats– Mise en évidence des faiblesses
• Installations / systèmes• Produits
– Proposition solutions
Sécurité numérique
= > Approche « Système »
– Vulnérabilités liées à l’installation ���� vulnérabilités du SI• Mauvaise architecture / Cloisonnement • Insuffisance voire absence de protection des données (chiffrement, etc..)• Défaut de sensibilisation personnel + mauvaise « hygiène » SI• Absence de mise à jour et de suivi régulier
– Recommandations pour l’installation• Analyse risque numérique• Formulation d’exigences
– Conception– Réalisation – Exploitation / Maintenance
• Prise en compte dans certifications services / formations
Sécurité numérique
Confidentialité : exigences cryptographiques (clés d e chiffrement) sur niveau de chiffrement des services utilisés (https, VPN etc..)
Disponibilité : outils de monitoring réseau
Intégrité : exigences cryptographiques pour l’intégr ité (ex : fonction de hachage) des échanges de données, dont mises à jour
Traçabilité : exigences pour les mécanismes d’authen tification des personnes et des données, en connexion locale e t à distance
Référentiel APSAD D32(REALISATION)
5
Sécurité numérique
PSSI (Plan de Sécurité du Système d’Information)
• Rédaction charte - > responsabilisation des opérateu rs• Principes généraux• Gestion matériels perso / pro• Consigne en cas d’attaque avérée
• Définition d’une politique mots de passe • Gestion des mises à jours• Gestion des droits d’accès• Supervision du réseau• Action de sensibilisation (formation)
Référentiel APSAD D32(EXPLOITATION)
6
Sécurité numérique
= > Approche « produits »
= > Conséquences des vulnérabilités– Conséquences des vulnérabilités
• Confidentialité ( C )• Intégrité ( I )• Disponibilité ( D )
– Illustrations : Box « sécurité », serrures
Sécurité numérique
Intégrité
DisponibilitéConfidentialité
⇒Exploitées par des méthodes correspondant à un «état de l’ar tcybercriminel» de niveau «simple»
– Exemples de vulnérabilités
• Sur le produit– Services / ports ouverts par défaut – Serveur Web sans authentification (http) : Man in the middle
• Au niveau de l’application– ID / MdP fabricant par défaut – Téléchargement des MàJ non sécurisé
• Protocoles– Sniffing / Rejeu– Absence de réactionau brouillage
Sécurité numérique
Produit développé pour l’évaluation de la robustess e des produits(ST DEC 17 04)
• Applicable à tout type de produit connecté• Déclinée en fonction de la « composition »du produit
• Méthode – Relevé des vulnérabilités– Exploitation– Evaluation de la criticité des vulnérabilités
• Livrable brut : Rapport d’analyse de la robustesse aux attaques numériques
Sécurité numérique
– Application « simple » de la ST SHOC• Délivrance d’un rapport listant les vulnérabilités• Objectif : Aide au développement ou préparation dela certification
– Application via les référentiels de certification p roduits• Cumul évaluation « classique » et évaluation cyber• Avec délivrance d’un certificat « CNPP certified », « A2P@ », « NF&A2P@ ».. Attestant de la double performance « sécurité physique / sécurité logique »• Exemples : EVN, Serrures connectées, centrales et transmetteurs d’alarmes etc..
– Autres essais cyber • Selon exigences spécifiques normalisées (ex : EN 1300)• Vérifications selon document tiers (ex : guide ANSSI)
Sécurité numérique
Conclusion
– Déploiement de solutions• Organisationnelles• Techniques
– Référentiel APSAD D32 : applicable au SI des statio ns TLS dans contexte RGPD notamment
– Méthode d’évaluation applicable à tout produit comm ercialisé sous la forme « connectée » : équipements de sécurité des sta tions
11