(Download) "Défendre ses systèmes numériques" by Yannick FOURASTIER ~ eBook PDF Kindle ePub Free

📘 Read Now     📥 Download

eBook details

• Title: Défendre ses systèmes numériques
• Author : Yannick FOURASTIER
• Release Date : January 18, 2016
• Genre: Software,Books,Computers & Internet,
• Pages : * pages
• Size : 1635 KB

Description

L es installations industrielles sont spécifiquement conçues pour fabriquer de manière

reproductible des produits précis, réaliser, acheminer ou livrer une fourniture de

services ou de fluides (par exemple eau, énergie) conformes à des spécifications

contractuelles, ou encore réguler une infrastructure de grande taille (immeuble,

aéroport, réseau ferroviaire, contrôle aérien, etc.).

Toute la variété des biens de consommation (produits finis) ou des constituants qui

les composent (ingrédients, composés chimiques ou matériaux, composants, ensembles

ou produits semi-finis) résulte d’installations industrielles. Que ces biens soient manufacturés

(par exemple des véhicules, des instruments de mesure, des médicaments, des

équipements techniques ou des smartphones) ou transformés par des processus (énergie,

eau, pharmacie, pétrochimie, etc.), les installations industrielles qui permettent leur

production, obéissent à des modèles mûris au fil des évolutions technologiques, mais

aussi économiques pour ne pas dire gestionnaires. Ces dernières influent en effet sur

une configuration technique pour optimiser les termes de l’équation économique. Les

équipements qui réalisent des services (par exemple le transport et une distribution

point à point, la signalisation routière dans une ville, etc.) sont modelés, et modélisés,

de la même manière (usage, technologie, économie).

Établir une typologie des installations industrielles revient à identifier, c’est-à-dire

caractériser, puis catégoriser des modèles. La question immédiate pourrait être pourquoi

et dans quel intérêt : des typologies et des modélisations, il en existe déjà. À part

les modèles généraux, chaque définition est en fait orientée par rapport à une finalité.

Par exemple, la typologie des risques technologiques1 sous-tend, explicitement,

une typologie d’installation classée en fonction de la magnitude du phénomène redouté.

Ainsi, la réglementation2 SEVESO II transposée en droit français par l’Arrêté du 10 mai

2000, a permis de différencier les entreprises présentant un niveau de risque élevé.

Une distinction est établie entre les établissements classés SEVESO seuil bas présentant

une quantité de substances dangereuses moindre par rapport à celle des établissements

classés SEVESO avec servitudes (dits AS). Ces derniers doivent par exemple prendre en

compte les conséquences sur leurs propres installations d’un accident survenant sur

une installation voisine (effet domino). Ces sites classés se distinguent pas ailleurs des

établissements non classés SEVESO, mais soumis à Plan d’Opération Interne (POI), et

des autres établissements, ni classés ni soumis à POI mais qu’il convient de signaler à

la DREAL3 locale.

Le but de la typologie présentée dans ce chapitre est de pouvoir considérer des

modèles d’installations industrielles sous l’angle de la cybersécurité. L’intérêt d’une

approche par modèle est de pouvoir grouper des propriétés génériques au modèle qu’on

peut ensuite enrichir de propriétés spécifiques par rapport à son domaine d’application.

Pour la cybersécurité, une telle approche facilite l’élaboration et le maintien des guides

référentiels génériques rendus pratiques par la qualité des recommandations qu’ils

peuvent cataloguer. De là, le praticien de la cybersécurité industrielle peut élaborer plus

facilement son ou ses référentiels en fonction des spécificités de ses installations. Nous

ne cataloguons cependant pas dans ce chapitre les bonnes pratiques qui pourraient être

recommandées pour chacun des modèles : ce catalogue constituerait une bibliothèque,

ce qui déborde quelque peu le présent ouvrage4. Les pratiques référencées par la famille

ISO/IEC 27000 et par l’IEC 62443 en particulier constituent une base initiale importante

pour les cataloguer. En revanche, les principes de composition système sont employés

pour reconstituer les agencements adéquats de « type » (cf. Section 2.5). Cette composition

système est illustrée en fin de chapitre avec quelques exemples pratiques.

La méthode suivie pour élaborer cette typologie consiste à dériver des modèles

généraux à partir du modèle de référence CIM, Computing Integrated Manufacturing,

dit modèle de Purdue [CIM89], élaboré en 1989 par la fondation de Purdue pour

l’ISA5. Le modèle dit « ISA95 » que l’on trouve fréquemment dans la littérature est en

fait le modèle de Purdue présenté dans le standard ISA publié en 1995 pour le développement

d’interfaces automatisées entre les systèmes de gestion d’entreprise et

les systèmes de contrôle industriel. D’où encore, l’élaboration du standard ISA996

pour la cybersécurité des systèmes numériques industriels.

La dérivation des modèles à partir du modèle de référence a été réalisée par rapport

à des critères d’usage des installations, de dimension, de complexité du traitement

opéré, de caractéristiques physiques et de distribution géographique. Ces modèles sont

agnostiques aux secteurs économiques. Cependant des correspondances sont aisées

à établir, comme il est aisé d’associer des modèles entre eux pour correspondre à des

configurations réelles, ainsi qu’illustré en Section 5.

La typologie proposée n’approche pas non plus les modèles par le risque :

elle ne suit pas une classification des risques industriels ou une organisation

par facteurs de risques, telles que peuvent les référencer la nomenclature ICPE7

et ses réglementations8.

Après avoir rappelé ce qu’est une installation industrielle, le chapitre présente

une proposition de typologie qui peut faciliter l’élaboration de modèles de cybersécurité

et des guides référentiels pour des usages pratiques.

Free Download "Défendre ses systèmes numériques" PDF ePub Kindle