Matinée

• Présentation des offres G-echo,
• Continuité partenariat G-echo/ISIT,
• Tour des normes principales,
• Hackers corner - démonstration.

Après-midi

Actualité cybersécurité

• Présentation de démarche de T&V pour la sécurité,
• Présentation de la solution beSTORM,
• Jeu : Evaluation de votre niveau de sécurité.

Sûreté versus sécurité

• Aéronautique : DO 178,
• Industrielle : CEI 61508,
• Médicale : CEI 62304,
• Automobile : ISO 26262,
• ...

Impacts

• Après JEEP, c'est Mitsubishi qui fait l'(h)ac(k)tualité,
• Contrôle de véhicules par la liaison télématique,
• Infrastructures nucléaires vulnérables/rapport Suisse,
• Des noyaux Linux avec backdoor,
• Et l'internet des objets en mode open bar ....

Exploits

• Hacking sans fil et (presque) sans les mains,
• Comment exploiter les failles des systèmes embarqués,
• Hack de caméra connectée,
• Kits d'exploitation des pirates.

Failles

• Une faille open SSL permet de déchiffrer le traffic https,
• Une sonde à 2 euros permet de connaître les clés des téléphones,
• Et même des failles métier, par exemple dans le contrôle de traffic aérien,
• Et que faire avec un débordement mémoire sur un système embarqué ?

Que faire ?

• Six choses à faire en priorité,
• Documentation et livres blancs des autorités, et bonnes pratiques,
• Rester informé des dernières (h)ac(k)tualités,
• Mais au fait, qu'est-ce que c'est la sécurité de l'information ?

S'informer

Embarqué, IoT

Actualité cybersécurité

Sécurité et RH

Droit et numérique

Utiliser des normes

• Famille ISO2700x : structuration des processus qualité pour la SSI,
• Critères communs : Agrément de 25 pays sur le niveau de sécurité d'un produit,
• CSPN : Valable en France, demandé pour les produits utilisés par les OIV,
• ISA Secure : et sa déclinée EDSA pour la certification des systèmes industriels.

ISO 27001

Référence internationale en sécurité :

• Système qualité dédié à la sécurité,
• Préserve le D I C P,
• Démarche continue de gestion des risques,
• Intègre la sécurité au système de management de l'organisation,
• Adapté quelle que soie la taille de l'organisation.

Annexe A : l'ISO27002 1/2

• A5 : Politique de sécurité du SI : implication de la direction,
• A6 : Organisation SSI (interne, appareils mobiles),
• A7 : Sécurité des RH,
• A8 : Gestion des actifs (responsables, classification, supports),
• A9 : Contrôles d'accès,
• A10: Cryptographie,

Annexe A : l'ISO27002 2/2

• A11: Sécurité physique,
• A12: Sécurité de l'exploitation,
• A13: Sécurité des communications,
• A14: Vie des SI,
• A15: Relation avec les fournisseurs,
• A16: Gestion des incidents,
• A17: Continuïté de de la SSI,
• A18: Conformité.

ISO27005 - Gérer les risques

En utilisant par exemple la démarche EBIOS :

• Biens support,
• Impacts possibles,
• Les sources de menace,
• Menaces et vulnérabilités,
• Mesures de sécurité ...

Critères communs

Normalisé par l'ISO 15408.

Il s'agit d'une certification :

• 7 degrés d'évaluation EAL (EAL1 à EAL7),
• Description d'un profil de protection,
• Description du système certifié (TOE),
• Description de l'environnement de développement,
• Objectif de sécurité ...

CSPN

Certificat français délivré par l'ANSSI :

• Evaluation par un laboratoire agréé ANSSI,
• Conformité du produit à ses spécifications de sécurité,
• Indice de confiance sur les fonctions de sécurité,
• Porte sur une version précise d'un produit.

CEI 62443

Cf. présentation club 27001

• SDA : Security Development Artifacts,
• FSA : Functional Security Assessment,
• SRT : System robustness testing (Vulnerability Identification Testing VIT, Communication Robustness Testing CRT, and Network Stress Testing NST).

CEI 62443

• IEC 62443-4-2 - EDSA Certification - Embedded Device Security Assurance,
• IEC 62443-3-3 - SSA Certification - System security Assurance,
• IEC 62443-4-1 - SDLA Certification - Security Development Lifecycle Assurance,

Exemple ANSSI 1/2

• Générales (Organisation et contrat, Ethique, Propriété intellectuelle),
• Particulières selon activités du prestataire : Compétences, Documentation, Méthodes/outils, Développement/intégration, Traçabilité/livraison, Veille,

Exemple ANSSI 2/2

• Protection du SI du prestataire : générales, outils et environnement de développement, plateformes de tests et intégration, outils de maintenance, télémaintenance, plateformes de travail collaboratives,
• Interventions chez le commanditaire : protocole d'intervention, bons comportements, moyens utilisés, rapport d'intervention.