Parad’IT : Cyber-sécurité et automatisme : dispositif en vigueur et solutions possibles de protection (2)

28 septembre 2009

Constat : La gestion des systèmes physiques par des systèmes informatiques est de plus en plus répandue. D’abord les services publics, les infrastructures critiques et de maintenant les industries traditionnelles. D’où un accroissement des risques liés aux systèmes programmés de contrôle de procédés, notamment, les SCADA, Supervisory Control and Data Acquisition (Système d’acquisition et de contrôle des données, utilisées pour commander et surveiller l’application de protocoles industriels tels que le déclenchement d’approvisionnement en eau, la génération d’énergie électrique…). Vulnérabilité soulevé lors du « 2009 SCADA and Process Control Summit » organisé par le SANS Institute.

Il existe déjà un dispositif de normes en vigueur et des solutions de sécurisation à appliquer dans le cadre de la protection de ces systèmes de contrôle, l’appareil réglementaire est cependant insuffisant. C’est pourquoi des organismes tels que l’International Society for Automation, réfléchissent à des solutions toujours plus poussées pour protéger les systèmes d’automatisme.

Les normes  en vigueurs

Les acteurs de la sécurité des systèmes industriels informatisés

Les acteurs actifs dans l’étude de la protection des systèmes informatisés des infrastructures critiques et la normalisation
  • IEC : International Electrotechnical Commission
  • ISA : International Society for Automation
  • AGA : The American Gas Association
  • NIPC : National Infrastructure Protection Center (USA)
  • CNPI : Centre for the protection of national infrastructure (UK)
Quelques éditeurs de solutions de protection

Solutions possibles pour les entreprises

  • Utilisation de logiciels de protection spécialisé d’un des acteurs mentionnés ci–dessus
  • Définition d’un Cyber-Security Management System (CSMS) par les entreprises (système de gestion de la cyber-sécurité)

La problématique de la sécurité des systèmes informatisés des infrastructures critiques ne cesse d’évoluer et, est un sujet complexe. Si vous avez de plus amples informations sur le sujet, n’hésitez pas à nous en faire part.


Parad’IT : Cyber-sécurité et automatisme : approche (1)

20 septembre 2009

Une problématique rarement soulevée est celle de la vulnérabilité des systèmes d’automatismes. En effet, le monde industriel, et les applications de la vie quotidienne en générale, notamment les sites sensibles et les infrastructures stratégiques telles que les équipements aéroportuaires, portuaires, les moyens de transports, réseaux électriques et de télécommunication  … utilisent des systèmes de contrôle pour fonctionner or, ces installations peuvent être victimes de cyberattaques.

La nécessité de la protection de ces procédés est apparue évidente depuis les attentas du 11 septembre 2001. Prise de conscience selon laquelle il était possible pour des terroristes de prendre le contrôle sur le pilotage de ces infrastructures stratégiques et sites symboliques, et par conséquent de bloquer soit les moyens de transports, soit la distribution des eaux, les réseaux de télécommunications ou encore l’éclairage public et la signalisation… ce qui entraînerait la paralysie d’un État.

L’évolution de l’informatique et des systèmes d’informations ces dernières années a accru cette vulnérabilité, car on utilise de plus en plus les réseaux et l’informatique dans les systèmes de contrôle et d’automatisme. Ce constat a fait l’objet d’une étude de l’Instrumentation Systems and Automation Society (ISA) sur La cyber-sécurité dans les systèmes d’automatismes et de contrôle des procédés.

Plusieurs failles possibles

  • Les bandes ouvertes de fréquences ou réseaux sans fil : Wifi, Bluetooth…
  • Le manque de sécurisation des systèmes informatiques
  • Le défaut de contrôle d’accès
  • Le défaut de protection des équipements terminaux au profit des équipements centraux
  • Le défaut de sensibilisation des professionnels de l’automatisme aux problématiques d’intrusion et de sécurité informatique

Les cibles

  • Les entreprises
  • Les institutions financières
  • Les médias et télécommunications (presse, télévision, opérateur téléphoniques et autres FAI)
  • Les services de santé publique et de secours (hôpitaux, pompiers, police…)
  • Les services publiques (banques, sécurité sociale, ministères…)
  • Les installations de gestion des télécommunications (centrales téléphoniques…)
  • Les sites de productions et de distribution d’énergie (eau, électricité, nucléaire…)
  • Sites portuaires et aéroportuaires
  • Les réseaux de transports
  • Les réseaux de signalisations (feux tricolore, ponts, barrières ferroviaires…)
  • Les infrastructures de produits pétroliers (plateforme offshore, raffinerie, réseaux de stations services

Les auteurs

  • Hackers
  • Concurrents
  • Ancien salarié mécontent
  • Terroristes

Les causes

  • Malveillance (concurrence, acte de vengeance)
  • Espionnage (concurrence)
  • Cyber-terrorisme

Les conséquences

  • Atteinte à la sécurité de la santé publique, des salariés, ou des usagers
  • Atteinte à la sécurité nationale
  • Atteinte à la réputation d’une entreprise
  • Perte de production
  • Perte ou détournement d’informations sensibles ou de données personnelles
  • Paralysie de l’infrastructure
  • Violation des dispositions réglementaires

La bibliothèque de Parad’IE

10 septembre 2009

« Accordez-moi quelques minutes de patience. Que je vous expose le contexte. Nous avons deux entreprises gigantesques en concurrence acharnée. Ce sont deux rivaux impitoyables, qui valent l’un et l’autre des milliards, et se vouent un mépris absolu. Dans ce secteur, on a déjà vu des procédures juridiques, des procédures haineuses, de grands déballages publics, sans vainqueur et sans perdant bien tranchés. Donc, durant toutes ces années, ces deux là ont tâché d’éviter le tribunal. Jusqu’à ce jour. Mais maintenant, ils sont sur le point de s’affronter, dans un procès sans précédent. Il va s’ouvrir d’ici quelques semaines, devant une cour fédérale, à New York. L’enjeu se situe aux alentours de 800 000 milliards de dollars, et le perdant risque de ne pas y survivre. Un litige d’une brutalité effrayante. Une manne pour les avocats. Chacun des deux groupes a fait appel à un cabinet de Wall Street, et devinez quoi ? Les deux cabinets se haïssent, eux aussi. » (chapitre 5, L’infiltré)

Vous voulez connaitre la suite, le roman de John Grisham se trouve chez tout les libraires.

Un thriller judiciaire très bon où la sécurité de l’information est au cœur de l’intrigue. Bonne lecture.


Parad’Expert : Le risque de corruption : quelques solutions

8 septembre 2009

Les solutions proposées :

Transparency International accompagne les entreprises dans leur démarche de lutte contre la corruption au moyen :

  • de partenariats et d’échanges sur la mise en place de systèmes de prévention ;
  • d’enquêtes sur les dispositifs anti-corruption mis en place dans les entreprises françaises ;
  • et pour les PME/TPE, un guide Vade Mecum PME « Éthique et transparence » a été publié.

Dow Jones Risk & Compliance a lancé un outil permettant d’identifier le risque de corruption : Dow Jones-Anti Corruption. Il s’agit d’une base de données grâce à laquelle les entreprises et les institutions financières peuvent identifier les « entités à risques » faisant déjà l’objet de réglementations mondiales anti corruption. La base répertorie les sociétés et individus susceptibles de présenter un risque élevé. Les informations provenant de sources ouvertes sont collectées et mises à jour régulièrement dans chaque pays et dans chaque langue. Le principe : vérifier la conformité des informations détenues par la direction sur les employés, clients, partenaires sociaux, fournisseurs, sous-traitants et autres parties prenantes. C’est également un outil d’aide à la décision dans la mesure où, il permet d’évaluer les nouveaux marchés susceptibles d’intéresser les entreprises souhaitant s’implanter dans des régions inconnues à fort potentiel.

– Pour ceux qui souhaitent prévenir ce risque par leurs propres moyens :

  • Faire un audit et un diagnostic afin de savoir si l’environnement de l’entreprise est sain
  • Vérifier le passé et le passif des parties prenantes (fournisseurs, clients, sous-traitants…)
  • Désigner un responsable
  • Sensibiliser et former le personnel de l’entreprise à l’éthique des affaires et à la transparence
  • En cas de suspicion ou de détection, demander conseil aux instances concernées :
    • La Brigade Centrale de Lutte contre la Corruption/Division Nationale des Investigations financières (BCLC)
    • La Chambre Régionale des Comptes (CRC)
    • La Direction Départementale de la concurrence, de la consommation et de la répression et des fraudes (DDCCRF) (DGCCRF)
    • L’Office Européen de Lutte anti-fraude (OLAF)

Pour aller plus loin : Dispositif législatif et réglementaire en vigueur :

Convention de l’OCDE contre la corruption de 1998 relative à la corruption d’agents publics étrangers dans les transactions commerciales internationales.

Loi du 30 juin 2000 relative à la répression pénale de la corruption d’agents publics français et étrangers. (article 432-11 et 433-1 du code pénal) modifiée par la Loi du 13 novembre 2007 relative à la lutte contre la corruption

– Convention anti corruption des Nation-Unies de 2003 : s’applique aux pays émergeants au même titre que les signataires de la convention OCDE.

Décision cadre de l’Union Européenne du 22 juillet 2003 : harmonisation des législations des États membres de l’UE concernant la répression de la corruption dans le secteur privé.

Loi du 4 juillet 2005 relative à la répression de la corruption dans le secteur privé (article 445-1 à 445-2 du code pénal)


Parad’Expert : Le risque de corruption : approche et définition

3 septembre 2009

Après le risque terroriste, le risque pays,… Voici … le risque de corruption ! Si on en parle, c’est qu’il existe des méthodes, des outils de prévention et de gestion de ce risque.

Le baromètre mondial de la corruption 2009 de Transparency international révèle que 14% de la population interrogée (73 000 individus du monde entier) considèrent les entreprises et le secteur privé comme les plus corrompus. Alors que cette menace s’est fortement accrue ces dernières années, la législation internationale en matière de lutte et de prévention contre la corruption s’est considérablement renforcée. En outre, de plus en plus de partenaires économiques et parties prenantes demandent aux entreprises des informations sur leur politique anti-corruption, avant de s’engager. Les entreprises ont tout intérêt à prendre en considération ces mesures et la menace que constitue cette activité illégale !!!

Tout d’abord, qu’est ce que la corruption ?

Plusieurs organismes en ont apporté une définition, mais la plus commune est celle de Transparency International « l’abus de pouvoir reçu en délégation à des fins privées ». C’est-à-dire, l’utilisation de sa position, de son influence, ou de sa richesse pour obtenir des faveurs dans un but privé. Ce qui, dans notre préoccupation (à savoir le bien-être des entreprises), lèserait la société.

Ensuite, qu’est-ce que le risque de corruption ?

Le fait pour une entreprise de se voir victime « il est aujourd’hui important de s’assurer que les pratiques de son entreprise sont bien en phase avec les nouvelles exigences sur l’intégrité et la transparence des affaires ». Les risques sont de plusieurs ordres :

  • Risques économiques : condamnation de l’entreprise exclue de certains marchés ; perte d’argent, de rentabilité et de crédits.
  • Risques juridiques : condamnation pour délit de corruption ou abus de bien sociaux qui engage la responsabilité pénale des dirigeants et de la personne morale.
  • Risques d’image et de réputation : entreprise placée sur une liste noire, mauvaise image.

Ils résultent des actes déguisés de corruption :

  • Paiement de facilités aux fonctionnaires pour obtenir des faveurs administratives
  • Cadeaux de fins d’année
  • Paiement de notes de frais, voyages, formation
  • Parrainage et dons à des œuvres prétendument caritatives
  • Dons ou facilités accordés à des partis politiques
  • Ristournes ou écarts de facturation consentis

Ou d’actes qualifiés de corruption :