Programme

Programme

Matinée

  • Présentation des offres G-echo,
  • Continuité partenariat G-echo/ISIT,
  • Tour des normes principales,
  • Hackers corner - démonstration.

Après-midi

  • Présentation de démarche de T&V pour la sécurité,
  • Présentation de la solution beSTORM,
  • Jeu : Evaluation de votre niveau de sécurité.

Présentation G-echo

Présentation des offres G-echo

Partenariat G-echo et ISIT.

Faits

Sûreté versus sécurité

  • Aéronautique : DO 178,
  • Industrielle : CEI 61508,
  • Médicale : CEI 62304,
  • Automobile : ISO 26262,
  • ...

Impacts

Exploits

Failles

Démarche SSI

Que faire ?

S'informer

Utiliser des normes

  • Famille ISO2700x : structuration des processus qualité pour la SSI,
  • Critères communs : Agrément de 25 pays sur le niveau de sécurité d'un produit,
  • CSPN : Valable en France, demandé pour les produits utilisés par les OIV,
  • ISA Secure : et sa déclinée EDSA pour la certification des systèmes industriels.

ISO 2700x

ISO 27001

Référence internationale en sécurité :

  • Système qualité dédié à la sécurité,
  • Préserve le D I C P,
  • Démarche continue de gestion des risques,
  • Intègre la sécurité au système de management de l'organisation,
  • Adapté quelle que soie la taille de l'organisation.

Annexe A : l'ISO27002 1/2

  • A5 : Politique de sécurité du SI : implication de la direction,
  • A6 : Organisation SSI (interne, appareils mobiles),
  • A7 : Sécurité des RH,
  • A8 : Gestion des actifs (responsables, classification, supports),
  • A9 : Contrôles d'accès,
  • A10: Cryptographie,

Annexe A : l'ISO27002 2/2

  • A11: Sécurité physique,
  • A12: Sécurité de l'exploitation,
  • A13: Sécurité des communications,
  • A14: Vie des SI,
  • A15: Relation avec les fournisseurs,
  • A16: Gestion des incidents,
  • A17: Continuïté de de la SSI,
  • A18: Conformité.

ISO27005 - Gérer les risques

En utilisant par exemple la démarche EBIOS :

  • Biens support,
  • Impacts possibles,
  • Les sources de menace,
  • Menaces et vulnérabilités,
  • Mesures de sécurité ...

Etatiques

Critères communs

Normalisé par l'ISO 15408.

Il s'agit d'une certification :

  • 7 degrés d'évaluation EAL (EAL1 à EAL7),
  • Description d'un profil de protection,
  • Description du système certifié (TOE),
  • Description de l'environnement de développement,
  • Objectif de sécurité ...

CSPN

Certificat français délivré par l'ANSSI :

  • Evaluation par un laboratoire agréé ANSSI,
  • Conformité du produit à ses spécifications de sécurité,
  • Indice de confiance sur les fonctions de sécurité,
  • Porte sur une version précise d'un produit.

Industrielle

CEI 62443

Cf. présentation club 27001

  • SDA : Security Development Artifacts,
  • FSA : Functional Security Assessment,
  • SRT : System robustness testing (Vulnerability Identification Testing VIT, Communication Robustness Testing CRT, and Network Stress Testing NST).

CEI 62443

Exigences

Exemple ANSSI 1/2

Référentiel ANSSI Prestataires d’intégration et de maintenance de systèmes industriels
  • Générales (Organisation et contrat, Ethique, Propriété intellectuelle),
  • Particulières selon activités du prestataire : Compétences, Documentation, Méthodes/outils, Développement/intégration, Traçabilité/livraison, Veille,

Exemple ANSSI 2/2

  • Protection du SI du prestataire : générales, outils et environnement de développement, plateformes de tests et intégration, outils de maintenance, télémaintenance, plateformes de travail collaboratives,
  • Interventions chez le commanditaire : protocole d'intervention, bons comportements, moyens utilisés, rapport d'intervention.

Hackers corner

Exemple sur harduino

  • Prise de contrôle de dispositif harduino.
  • Par exploitation d'un débordement de tampon,
  • Et de la liaison de debug.

Présentation