Upload
truongnga
View
218
Download
0
Embed Size (px)
Citation preview
CyberLab Catalogue de services et de prestataires cyber
pour les réseaux d'énergie intelligents
Date Mise à jour Auteur
O5/02/2018 Création du document – ed1 Thierry SENS
09/02/2018 Edition 2 du document - Rajout d’u p estatai e + MAJ des prix et durées au chapitre 5
Thierry SENS
22/02/2018 Edition 3 du document – Rajout d’u p estatai e + MAJ des tableaux pages 8 et 10
Thierry SENS
20/03/2018 Edition 4 du document – Rajout d’u p estatai e + MAJ des tableaux pages 8, 9, 10, 11, 12, 13 et 14
Thierry SENS
CyberLab – catalogue de services et prestataires de cybersécurité
2
Contenu 1 Synthèse .......................................................................................................................................... 3
2 Cybersécurité et seau d’ e gie .................................................................................................. 3
2.1 Un défi majeur ......................................................................................................................... 3
2.2 Les vul a ilit s pote tielles des seau d’ e gie .......................................................... 4
2.3 Les e a es elles su les seau d’ e gie ..................................................................... 5
2.4 Les is ues possi les pou les seau d’ e gie ................................................................. 6
3 CyberLab : un catalogue de services ............................................................................................... 6
4 Catalogue CyberLab – les prestataires de services ......................................................................... 8
4.1 Les prestataires de services cyber et leurs cordonnées .......................................................... 8
4.2 Les prestataires et leurs services au sein du catalogue CyberLab ........................................ 10
5 Catalogue CyberLab – détails des prestations et coûts approximatifs ......................................... 11
5.1 Les prestations de formation ................................................................................................ 11
5.2 Les prestations de conseil ..................................................................................................... 12
5.3 Les p estatio s d’audit .......................................................................................................... 13
5.4 Les prestations de certification ............................................................................................. 14
5.5 Les prestations de test .......................................................................................................... 14
6 Ava tages du atalogue pou les p ojets seau d’ e gie i tellige ts...................................... 14
7 Quelles prestations choisir en fonction du projet ? ...................................................................... 15
7.1 Cycle de vie et politique de cybersécurité ............................................................................ 15
7.2 Le od le d’a hite tu e SGAM ........................................................................................... 16
7.3 La chaine de confiance ENISA ................................................................................................ 17
7.4 Le niveau de criticité.............................................................................................................. 18
8 Conclusions .................................................................................................................................... 19
9 Publications recommandées ......................................................................................................... 19
CyberLab – catalogue de services et prestataires de cybersécurité
3
1 Synthèse Dans le cadre du projet SMILE (Smart Ideas to Link Energies) porté par les régions Bretagne et Pays
de Loi e pou âti les futu s seau d’ e gie i tellige ts da s l’ouest de la France, la cybersécurité
a été définie comme étant un axe prioritaire. Le Pôle d’e elle e e et l’ uipe de oordination
SMILE à la suite d’u Appel à Ma ifestatio d’I t t AMI publie un catalogue de services et une
liste de prestataires cyber (le catalogue CyberLab) apa les d’aider les entreprises et consortium
développant des solutions SMILE à intégrer la cybersécurité nativement dans leurs projets.
2 Cybersécurité et réseau d’énergie
2.1 Un défi majeur
Les OIV Op ateu s d’I po ta e Vitale) et plus particulièrement les opérateurs du secteur de
l’ e gie deviennent une cible privilégiée des attaques cyber. Aux Etats U is d’A i ue, une étude
du ministère de la sécurité intérieure (Department of Homeland Security) a montré que le secteur de
l’ e gie est le 1er secteur industriel le plus attaqué.
Il e iste plusieu s e pli atio s pou o p e d e e ph o e. Tout d’a o d, ette i dust ie a t parmi les premières à utiliser massivement des technologies numériques et de communications pour
gérer les p odu tio s, la t a s issio et la dist i utio de l’ e gie, la e da t un peu plus
vul a le ue d’aut es. E suite, s’atta ue à u op ateu d’ e gie ’est pour un cyber délinquant
l’assu a e de fai e pote tielle e t de g os dégâts, et qui plus est, fortement médiatisés. Enfin les
acteurs du secteur gèrent généralement un très grand nombre de clients, ce qui les rend attractifs
pour des actions de vol de données.
E 7 des atta ues d’u e a pleu sa s p de t o t eu lieu e Uk ai e, da s les pa s Baltes, en
Suisse, Turquie et aux Etats Unis sur des sites de productions et des réseaux de transmission et de
distribution électriques ainsi que sur leurs infrastructures informatiques. A titre d’e e ples :
CyberLab – catalogue de services et prestataires de cybersécurité
4
En Février 2017 le d pa te e t A i ai à l’ e gie a su it u e atta ue de so seau de serveurs et stations de travail particulièrement sophistiquée,
En Juin 2017 le fameux « ransonware Petya » a touché le réseau de capteurs de mesure des
radiations du site de Tchernobyl,
En Septembre 2017 le groupe « Dragonfly » a procédé à du cyber-sabotage de réseaux
d’ e gie da s pa s.
2.2 Les vulnérabilités potentielles des réseaux d’énergie
Dans une architecture de seau d’énergie intelligent, o stitu e de sites de p odu tio s, d’u réseau de transport, de dist i utio d’ e gie et de lie ts/ o so ateu s ; les vulnérabilités
potentielles peuvent être très nombreuses.
Vulnérabilités (potentielles) des réseaux d’énergie
Pa e e ple su la p odu tio et g atio d’ e gie ; les appli atio s de gestio de l’énergie EMS
(Energy Mangement System), de gestion de la distribution (Distribution Management System) les
SCADA (Supervisory Control and Data Acquisition) et les automates-PLC (Programmable Logic
Controler) constituent des cibles de choix pour des cyber attaques.
Dans un réseau électrique par exemple, les postes d’ va uatio de l’ e gie d’u site de p odu tio vers le réseau de transport (20/400KV-800KV), les postes d’interconnexion du réseau de transport
(400 KV), les postes de transformation de très haute à moyenne tension (400/225KV, 225/90-63KV),
les postes source du réseau de distribution (225-63/10-20KV) et enfin les postes de transformation
basse tension (10-20KV/400V) poss de t de plus e plus d’i tellige e et d’auto o ie pou g e au ieu l’i t g atio des énergies renouvelables sources de fluctuation de production et génératrices
de puissa e a tive u’il faut compenser. Ils utilise t do de plus e plus d’ uipe e ts informatiques et de réseaux. Ces postes comme les sites de productions utilisent de nombreux IED
(Intelligent Electronic Devices), RTU (Remote Terminal Unit), IoT (Internet of Things), et autres
capteurs ou actionneurs, autant de points possibles d’i t usio e .
CyberLab – catalogue de services et prestataires de cybersécurité
5
Ces points d’i t usio so t d’auta t plus vul a les u’ils so t o e t s via des seau de communications fixes ou radio, IP ou TDM. Ils véhiculent ces cyber attaques en plus des informations
et données et sont aussi les cibles de ces attaques.
Bien entendu toute base de données, toute plateforme big data et tout fichier client peuvent attiser
la convoitise des hackers.
D’u e a i e générale tout poi t d’a s au seau ; compteur intelligent, station de recharge
électrique, passe elle de gestio d’ e gie d’u âti e t utilis e pa les appli atio s BEMS Buildi g E e g Ma ge e t S ste ou passe elle de gestio des p iodes d’effa e e t ou de stockage,
méritent une protection particulière.
E fi , e ja ais ou lie ue tout op ateu d’ e gie o e toute e t ep ise poss de ou utilise des centres de contrôle, des centres de calcul privés ou publiques « clouds » où sont hébergées les
applicatio s u eauti ues et p o essus tie s u’il faut p ot ge . Elles fo t appel à des fou isseu s et sous-t aita ts u’il o vie t d’i t g e da s u e organisation et une politique de cybersécurité
globale.
2.3 Les menaces (réelles) sur les réseaux d’énergie
Si les vulnérabilités sont éventuelles, les menaces sont par contre bien réelles et multiples.
La figure ci-dessous donne une liste non exhaustive des attaques que subissent presque
uotidie e e t les op ateu s d’i po ta e vitale du se teu de l’ e gie.
Menaces (réelles) sur les réseaux d’énergie
Les cyber-attaques utilisent la plupart du temps une combinaison de es te h i ues d’atta ues pou a i ise le tau de ussite o e l’a fait le g oupe d’a tivistes « Dragonfly ».
CyberLab – catalogue de services et prestataires de cybersécurité
6
Il convient aussi de noter que l’o voit ai te a t appa ait e des atta ues o i es et synchronisées, à la fois cyber sur les infrastructures, serveurs ou applications et physiques sur les
sites de production, de transmission ou de distribution.
2.4 Les risques (possibles) pour les réseaux d’énergie
Toutes ces menaces vues précédemment font courir des risques importants pour les acteurs du
secteur. Elles peuvent causer de graves dommages aux infrastructures de production, de
t a s issio et de g atio d’ e gie, et par ricochet elles peuvent potentiellement mettre la vie
de personnes en danger. Elles peuvent aussi générer de graves préjudices moraux ou financiers aux
organismes, opérateurs et sociétés si des informations sont volées, compromises ou détruites. La
figure ci-dessous su e l’e se le des is ues e ou us.
Risques (possibles) pour les réseau d’é ergie
La protection, la défense et la résilience des réseaux d’ nergie intelligents aux cyber-attaques
deviennent donc un enjeu majeur de la filière.
3 CyberLab : un catalogue de services Le Pôle d’ex ellen e yber, en partenariat avec Bretagne Développement Innovation (BDI), l’agen e régionale Pays de Loire Territoire d’Innovation (PDLTI), le Pôle Images&Réseaux, le Pôle S2E2 et
l’é uipe SMILE, propose un catalogue de services et de prestataires cybersécurité pour aider les
équipes SMILE à prendre en compte et intégrer le sujet cyber nativement dans leurs projets.
Ce catalogue de services est constitué de 5 familles de prestations : formation, conseil, audit,
certification et test :
CyberLab – catalogue de services et prestataires de cybersécurité
7
Formation Conseil Audit Certification Test
Sensibilisation aux
menaces des
éseaux d’éne gie
Analyse de risques Audit préliminaire Suppo t à l’auto-
certification
Tests préliminaires
de sécurité
Management de la
cybersécurité dans
les projets
Politique de
cybersécurité
Audit et tests de
sécurité
Pré Audit CSPN Tests fonctionnels
Gestion de crises et
continuité de
services
Groupe de travail
cyber
Audit de code
source
Evaluation/
Certification 1er
niveau
(CSPN)
Tests
d’inte opé a ilité
Ingénierie de
solutions de
sécurité
Gestion de crise Audit de
configuration
Evaluation/Certification
(CC – EAL 1 à 7)
Sécurité des
applications
mobiles et objets
connectés
Plan de tests Audit
d’a hite tu e
Programmation
sécurisée pour les
développeurs
Architecture de
sécurité
Audit
organisationnel et
physique
Les prestations de services sont délivrées par des sociétés et académiques qui sont référencées dans
ce catalogue. Leur référencement a été fait au t ave s u p o essus d’appel à a ifestatio d’i t t qui a eu lieu fin 2017.
Les prestations de formation sont principalement destinées aux chefs de projets, développeurs,
architectes des p ojets SMILE ai si u’au exploitants (collectivités locales) et usagers des solutions
ou services issus de ces projets.
Les prestations de conseil sont destinées aux projets et aux sociétés ou organismes utilisateurs des
solutions ou services SMILE.
Les p estatio s d’audit sont proposées par des prestataires labélisés pa l’ANSSI (PASSI – Prestataire
d’Audit de la S u it des S st es d’Information). Elles s’ad esse t au p ojets et o e e t les
solutions, produits, applications et services développés dans ces projets. Elles peuvent également
concerner les exploitants pour les aspects d’o ga isatio et de sécurité physique.
De même la certification des équipes projet, des projets, solutions, applications et produits se fait
par des prestataires agréés ou certifiés ANSSI (CESTI – Ce t e d’Evaluatio de la S u it des Te h ologies d’I fo atio ; CSPN – Certification de Sécurité de Premier Niveau ; ISO 15408-CC –
Critères Communs).
Enfin, les tests fo tio els ou d’i te op a ilit o e e t les solutio s, p oduits et applications.
CyberLab – catalogue de services et prestataires de cybersécurité
8
4 Catalogue CyberLab – les prestataires de services U appel à a ifestatio d’i t t a t is pa le Pôle d’e elle e e fi 7 pou f e e les prestataires.
4.1 Les prestataires de services cyber et leurs cordonnées
Le tableau ci-dessous liste les prestataires de services ui o t po dus à l’appel à a ifestatio d’i t t. La liste des prestations de services du catalogue « CyberLab » ’est pas e haustive et
pourra évoluer en fonction des besoins des projets.
Société Contact Email Tel Adresse Web ACCEIS Yves
Duchesne
[email protected] 0616462636 16, Rue du Bourbonnais, 35000 Rennes
www.acceis.fr
AIRBUS
CYBERSECURITY
FREDERIC DUBOIS
0673121621 ZAC de la Courrouze – Secteur des Dominos, Bât EOLIOS 3 Rue Louis Braille 35136 Saint Jacques de la Lande
https://airbus-cyber-security.com/fr/
AMOSSYS Vattana VONG
[email protected] 0698766379 4 bis allée du Bâtiment 35000 Rennes
https://www.amossys.fr
ARMATURE
TECHNOLOGIES
Jacques de la Rivière
0684133477 42 rue Washington 75008 Paris http://www.armaturetech.com/
ATEXIO Christophe Barrand
[email protected] 0652077507 14 rue du Port 92000 Nanterre https://atexio.fr/
ATOS Georges BENICOURT
[email protected] 0622033106 12F rue du Patis Tatelin 35700 Rennes
https://atos.net/fr/
AVIXA Pierre-Yves Bouf
0679673191 2, allée du Pigeon Blanc 35830 Betton
http://www.avixa.fr/
BERTIN Antoine PERNIAS
0649163118 10 bis ave Ampère Parc activités du Pas du Lac Ville 78180 Montigny le Bretonneux
www.bertin-it.com
BLOO CONSEIL Aurélien MAGNIEZ
0678070321 9 rue Pierre-Marie Pautonnier 35520 La Chapelle des Fougeretz
http://www.bloo-conseil.fr
CGI Florian Coroller
0681203970 Immeuble Energies 3 avenue de Belle Fontaine 35510 CESSON-SEVIGNE
www.cgi.fr
CoESSI DAUSSIN Hervé
[email protected] 0147840231 18 – ue d’A as Bâti e t D2, 92000 Nanterre
www.coessi.com
CONSCIO Michel Gérard
0607049257 12 rue Vivienne 75002 Paris www.conscio-technologies.com
DELOITTE Michael Bittan
[email protected] 0140 881666 185 Avenue Charles de Gaulle 92200 Neuilly
https://www2.deloitte.com/fr/fr.html
DIGITAL
SECURITY
Frédéric PRIEM
0699280660 50 avenue Daumesnil 75012 PARIS
www.digitalsecurity.fr
FORMIND Mathieu Meynier
[email protected] 0613034053 15 rue du Chêne Germain, 35510 Cesson-Sévigné
http://www.formind.fr/
INRIA Cecile MARTIN
[email protected] 0299847112 Campus de Beaulieu – Ave du Général Leclerc, 35042 Rennes
https://www.inria.fr/recherches/structures-de-recherche
KEREVAL Yacine TAMOUDI
[email protected] 0223203664 4, rue Hélène Boucher 35235 Thorigné Fouillard
www.kereval.com
LORCYBER Pierre LORCY [email protected] 0756865668 Le Prisme – Place Albert Einstein – PIBS CP98 - CS 72001, 56038 VANNES cedex
www.lorcyber.eu
OPPIDA Eric Dehais [email protected] 0130141901 Bâtiment B, 6 avenue du Vieil Etang, 78180 Montigny-Le-Bretonneux
www.oppida.fr
ORANGE
CYBERDEFENSE
Nicolas Pondemer
0632225705 54 Place de l'Ellipse 92983 Paris La Défense Rue de la Touche Lambert 35512 Cesson Sévigné
https://cyberdefense.orange.com
PRADEO Mathilde Jaouen
[email protected] 0781027819 71 Place Vauban 34000 Montpellier
www.pradeo.com
PROVADYS Nicolas Guilloux
0255590110 4 rue Edith Piaf Asturia C - 44800 Saint Herblain
https://www.provadys.com/
CyberLab – catalogue de services et prestataires de cybersécurité
9
SEC-IT Pascal MONTEL
0640941833 3 rue de Robien, 35000 RENNES
www.sec-it-solutions.fr
SECTOR Samir KAMAL Emmanuel DEVEZE
0169592727
12 avenue du Québec B.P. 636 Villebon sur Yvette 91965 Courtaboeuf
www.sector-group.net
SECURE-IC Claude Giraud
[email protected] 0299121872
15 rue Claude Chappe, Bât. B, ZAC des Champs Blancs, 35510 Cesson Sévigné
www.secure-ic.com
SERMA Sébastien FAUX
[email protected] 0609716302 2 rue Jouanet, 35700 Rennes https://www.serma-safety-security.com/
SODIFRANCE Hervé TROALIC
[email protected] 0634115933 Pa d’a tivit « La Brétèche » 35768 Saint-Grégoire
www.sodifrance.fr
SOPRA-STERIA Jean-Luc Gibernon
0681278652 12 rue Léo Lagrange, 35131 Chartres-de-Bretagne
https://www.soprasteria.com
SYNACKTIV Renaud Feil [email protected] 0145797475 5 rue Sextius Michel 75015 PARIS
www.synacktiv.fr
SYSDREAM Tony COURTEL Sébastien LE DE
[email protected] [email protected]
0608719414 0178768941
14 place Marie Jeanne Bassot 92300 Levallois-Perret
www.sysdream.com
THALES Laurent MARECHAL
0173322364 20-22 rue Grange Dame Rose CS 90519 78141 VELIZY
https://www.thalesgroup.com/fr/france
TRIALOG Antonio Kung [email protected] 0144706100 25 rue du Général Foy 75008 Paris
www.trialog.com
CyberLab – catalogue de services et prestataires de cybersécurité
10
4.2 Les prestataires et leurs services au sein du catalogue CyberLab P
rest
ata
ire
s
Prestations
Formation Conseil Audit Certification Test
Me
na
ces
de
s O
IVs
Mg
t cy
be
r d
an
s p
roje
ts
Ge
stio
n d
e c
rise
s
Ing
én
ieri
e s
olu
tio
ns
Sé
curi
té a
pp
lis
et
IoT
Pro
gra
mm
ati
on
An
aly
se d
e r
isq
ue
s
Po
liti
qu
e d
e c
yb
er
Gro
up
e d
e t
rav
ail
cy
be
r
Ge
stio
n d
e c
rise
Pla
n d
e t
est
s
Arc
hit
ect
ure
de
sé
curi
té
Au
dit
pré
lim
ina
ire
Au
dit
& t
est
s d
e s
écu
rité
Au
dit
co
de
so
urc
e
Au
dit
co
nfi
gu
rati
on
Au
dit
arc
hit
ect
ure
Au
dit
org
. &
ph
ysi
qu
e
Au
to c
ert
ific
ati
on
Pré
au
dit
CS
PN
CS
PN
CC
– E
AL
1-7
Te
sts
pré
lim
ina
ire
s
Te
sts
fon
ctio
nn
els
Test
s d’in
teop
éa
ilité
ACCEIS X X X X X X X AIRBUS CYBERSECURITE
X X X X X X X X X X X X X X X
AMOSSYS X X X X X X X X X X X X X X X X X X X X X X ARMATURE
TECH X X X X X X¹ X¹ X¹ X¹ X¹
ATEXIO X X X X X X X X ATOS X X X X X X X X X X X X X X X X X X X X X AVIXA X X X X X BERTIN X X X X X X X X BLOO
CONSEIL X X X X X X X
CGI X X X X X X X X X X X X X X X X X X X X X CoESSI X X X X X X X X¹ X¹ X¹ X¹ X CONSCIO X DELOITTE X X X X X X X X X X X X X X X X X X X X DIGITAL
SECURITY X X X X X X X X X X X X X X X X X X X X X
FORMIND X X X X X X X X X X X X¹ X¹ X¹ X¹ X¹ X¹ X X X INRIA X KEREVAL X X X X X X X X X X X LORCYBER X X X X X X X X OPPIDA X X X X X X X X X X X X X X X X X X X ORANGE X X X X X X X X X X X X X X X X X X PRADEO X PROVADYS X X X X X X X X X X X X X X X SEC-IT X X X X X X X X X X X X X SECTOR X X X X X X X SECURE-IC X X X X X X X X X X X SERMA X X X X X X X X X X X X X¹ X¹ X¹ X¹ X¹ X¹ X X X X X X X SODIFRANCE X X X X X X X X X X X X X X SOPRA-
STERIA X X X X X X X X X X X X X X X
SYNACKTIV X X X X X X X X X X SYSDREAM X X X X X X X X X X X X
THALES X X X X X X X X X X X X X X X X X X X X X X X X X
TRIALOG X X X X X X X X X X
Pou les p estatio s d’audit : X¹ signifie que la labélisation PASSI est en cours d’o te tio .
CyberLab – catalogue de services et prestataires de cybersécurité
11
5 Catalogue CyberLab – détails des prestations et coûts approximatifs Le catalogue de prestations liste une série de services qui ont été définis comme étant pertinents
pou des p ojets elatifs au seau d’ e gie i tellige ts. Cette liste ’est pas e haustive et pou a évoluer en fonction des besoins des projets SMILE et des propositions des prestataires délivrant ces
services.
Les coûts des prestations et leurs durées qui figurent dans les tableaux ci-après sont les valeurs
i i ales, o e es et a i ales issues de l’e se le des po ses reçues des prestataires
a a t po du à l’Appel à Ma ifestatio d’I t t AMI de fin 2017.
Les coûts mentionnés (min, moyenne et max.) sont des coûts approximatifs pour permettre aux
équipes projets de pré-budgéter les prestations au moment du montage financier d’u projet. Etant
bien e te du ue le p i el d’u e prestation de service sera défini par le prestataire quand celui-ci
se a solli it pa les uipes p ojets et su la ase d’u ahie des ha ges ou d’u e de a de de cotation précise.
De même pour les durées des prestations (min, moyenne et max), elles sont données à titre
informatif étant bien entendu que la durée réelle de la prestation sera définie par le prestataire
quand celui-ci sera sollicité par les équipes projets et su la ase d’u ahie des ha ges ou d’u e demande précise.
5.1 Les prestations de formation
FORMATION
Titre Descriptif Pour qui Durée en nbr de jours* Coût app ox en K € HT*
Min Moy Max Min Moy Max
Sensibilisation
aux menaces
Cyber des
réseaux
d’Ene gie
Les seau d’ e gie fo t pa tie des O ga is es d’I po ta e Vitale (OIV). Les objectifs de cette formation sont : Comprendre et assimiler les enjeux et les risques des attaques cyber, les directives Françaises et Européennes sur les OIVs et la protection des données RGPD , le od le d’a hite tu e et
les niveaux de criticité des Smart Grids tels que définis par le CEN-CENELEC, ainsi que la chaine de confiance des Smart Grids définis pa l’ENISA.
Chef de projet, développeur, architecte, exploitant, gestionnaire
0,5 1 5 1 5 31
Management
de la
cybersécurité
dans les
projets
Acquérir les fondamentaux du management de la cybersécurité dans les projets : analyse et gestion des risques ; modèles de sécurité ; politique de sécurité ; aspects juridiques ; respect des directives ; e tifi atio s et gle e ts ISO, … .
Chef de projet 1 2 4 0,6 7 36
Gestion de
crises et
continuité de
services
Comprendre et assimiler les différentes crises cyber et leurs impacts; définir les réponses appropriées ; mettre en place les différentes phases des traitements ; élaborer un plan de communication de crise ; définir un plan de continuité opérationnel de services et de ep ise d’a tivit .
Chef de projet, Exploitant, gestionnaire
1 2 4 0,7 10 36
CyberLab – catalogue de services et prestataires de cybersécurité
12
Ingénierie de
solutions de
cybersécurité
Maît ise de l’i g ie ie des architectures, produits ou des solutions de sécurité basée sur des composants matériels, réseaux et logiciels sécurisés ; gestion de la sécurité du cycle de vie des composants, logiciels, produits et solutions.
Architecte, développeur, intégrateur
1 3 6 1 10 41
Sécurité des
applications
mobiles et
objets
connectés
Comprendre et assimiler les enjeux et les technologies pour sécuriser les objets connectés et leurs réseaux de communications ainsi que les applications mobiles (IOS, Android) associées.
Architecte, développeur
1 3 6 1 9 41
Programmation
sécurisée pour
les
développeurs
Assimiler les bonnes pratiques de développement des firmware et logiciels afin de créer des applications avec le moins de failles possibles et plus résilientes aux attaques cyber.
Développeur
1 3 6 1 6
41
* Coûts et durées donnés à titre indicatif sans engagement contractuel.
5.2 Les prestations de conseil
CONSEIL
Titre Descriptif Pour qui/quoi Durée en nbr de jours* Coût app ox en K € HT*
Min Moy Max Min Moy Max
Analyse de
risques
Identification, évaluation et hiérarchisation des cyber-risques et de leurs impacts.
Projets, organisations
1 17 60 2 17 70
Politique de
cybersécurité
Définition et mise en place d’u e politi ue de e s u it et élaboration de son plan d’i vestisse e t asso i .
Projets, organisations
3 15 60 1 14 52
Groupe de
travail cyber
A i atio d’u g oupe de travail sur la cybersécurité pour par exemple : sensibiliser une équipe, définir des objectifs ou u pla d’a tio …et .
Projets, organisations
1 3 10 0,7 5 20
Gestion de
crise
Que faire en cas de crise : mise e pla e d’u e ellule de ise, définir les priorités, stratégies de communications, processus de gestion de la crise, plan de ep ise d’a tivit PRA .
Organisations 2 22 120 2 21 90
Plan de tests D fi itio d’u pla de tests fonctionnels pour spécifier ce qui doit être testé et comment.
Produits, solutions, logiciels
1 13
50 1,5 11 30
Architecture
de sécurité
Co eptio d’a hite tu e sécurisée et structuration des choix techniques et technologiques.
Produits, solutions, logiciels
3 18 60 2,1 17 70
* Coûts et durées donnés à titre indicatif sans engagement contractuel.
CyberLab – catalogue de services et prestataires de cybersécurité
13
5.3 Les prestations d’audit
Pou es p estatio s d’audit, il o vie d a au lie ts de v ifie ue le p estatai e ete u dispose de la labélisation PASSI – P estatai e d’Audit de la S u it des S st es d’I fo atio d liv e pa l’ANSSI.
AUDIT
Titre Descriptif Pour Qui/Quoi Durée en nbr de jours* Coût app ox en K € HT*
Min Moy Max Min Moy Max
Audit
préliminaire
Audit flash d’u s st e ou d’u e solutio pou u pré-diagnostique de vulnérabilité cyber potentielles.
Projets, produits, solutions, logiciels
1 5 20 0,7 6 20
Audit et tests
d’int usion
Evaluation des points forts et vulnérabilités potentielles au ega d d’u e a al se des is ues et d’u f e tiel.
Recommandations pour supprimer les vulnérabilités.
Produits, solutions, logiciels
2 11 30 1,5 12 40
Audit de code
source
Analyse exhaustive du code d’u e appli atio ou logi iel pou d te te d’ ve tuelles vulnérabilités. Rapport et p opositio d’a tio s correctives.
Applications, logiciels
1 12 60 2 12,5 60
Audit de
configuration
Vérification de la configuration des systèmes, solutions et applications au regard des règles de sécurité. Rapport et p opositio d’a tio s correctives.
Solutions, systèmes, applications
1 7 20 0,8 7,5 20
Audit
d’a hite tu e
Vérification de la conception d’u e a hite tu e d’u s st e ou d’u e solution au regard des règles de sécurité. Rapport et p opositio d’a tio s correctives.
Systèmes, solutions
1 7 20 2 8,5 25
Audit organisationnel et physique
Identification des vulnérabilités de sécurité liées aux processus d’e ploitatio ou d’ad i ist atio des s st es/ solutio s ai si u’au a s physiques aux installations ou systèmes.
Systèmes, solutions, installations
1 10 20 2 10 28
* Coûts et durées donnés à titre indicatif sans engagement contractuel.
CyberLab – catalogue de services et prestataires de cybersécurité
14
5.4 Les prestations de certification
Pour ces prestations de certification, il conviendra aux clients de vérifier que le prestataire retenu est
agréé ou certifié ANSSI (CESTI – Ce t e d’Evaluatio de la S u it des Te h ologies d’I fo atio ;
CSPN – Certification de Sécurité de Premier Niveau ; ISO 15408-CC – Critères Communs).
CERTIFICATION
Titre Descriptif Pour Qui/Quoi Durée en nbr de jours* Coût app ox en K € HT*
Min Moy Max Min Moy Max
Support à
l’auto-
certification
Suppo t aup s de l’e t ep ise ou l’o ga is e pou définir et mettre en place des processus d’auto-évaluation de la o fo it d’u s st e,
p oduit, solutio …au gles de sécurité.
Équipe, Projets, produits, Solutions, applications
2 18 50 1 18 62,5
Pré Audit
CSPN
Evaluatio p li i ai e d’u produit e vue d’u e futu e certification de 1
er niveau de
l’ANSSI : CSPN.
Produits 5 14 30 4 11 21
Evaluation/
Certification
1er
niveau
(CSPN)
Evaluation et certification ANSSI de 1
er iveau, CSPN d’u
produit.
Produits 25 38 60 20 35 61
Evaluation/
Certification
CC – EAL 1 à
7)
V ifi atio et e tifi atio d’u produit à la norme ISO 15408.
Produits 50 129 360 35 115 300
* Coûts et durées donnés à titre indicatif sans engagement contractuel.
5.5 Les prestations de test
TEST
Titre Descriptif Pour Qui/Quoi Durée en nbr de jours* Coût app ox en K € HT*
Min Moy Max Min Moy Max
Tests
préliminaires de
sécurité
Tests de sécurité conformément au plan de tests préalablement défini.
Solutions, produits, applications
1 9 40 1,5 10,5 100
Tests
fonctionnels
Tests fonctionnels de sécurité conformément au plan de tests préalablement défini.
Solutions, produits, applications
1 12 45 2 12
100
Tests
d’inte opé a ilité
Tests d’i te op a ilit ave l’e vi o e e t da s lequel doit la solution ou le produit doit s’i te fa e .
Solutions, produits, applications
1 12 40 2 13 100
* Coûts et durées donnés à titre indicatif sans engagement contractuel.
6 Avantages du catalogue pour les projets réseaux d’énergie intelligents L’i t odu tio de la e sécurité au sein des projets SMILE présente de nombreux avantages pour la
filière industrielle « seau d’ e gie intelligents » :
- Une confiance numérique instaurée entre les clients, fournisseurs, utilisateurs et les sociétés qui
commercialiseront les produits, solutions et applications issues des projets.
CyberLab – catalogue de services et prestataires de cybersécurité
15
- Un avantage compétitif pour ces mêmes sociétés qui auront un élément de différenciation
majeur face à leurs concurrents.
- Réduction des coûts. En cas de cyber attaque, les coûts de maintenance, de support, de gestion
de crise et éventuellement de pénalités seront plus faibles voire nulles pour des produits et
solutions cyber résilients.
- Développement des filières. Ce catalogue permettra la création de synergies et interactions
entres les filières « réseaux intellige ts d’ e gie » et « cybersécurité ».
7 Quelles prestations choisir en fonction du projet ? La réponse à cette question est complexe car elle est fonction du type de projet, du produit, de la
solution ou de l’appli atio d veloppés dans ce projet et de son cycle de vie.
Les groupes experts SMILE (GEX SMILE – Les Pôles Images&Réseaux et S2E2) en charge
d’a o pag e les p ojets SMILE so t fo e de p opositio pou sugg e au hefs de p ojets les prestations les plus adaptées aux projets ; à charge des projets SMILE de budgéter, de sélectionner
ces prestations de services dans le montage financier des projets, et de contacter les prestataires
directement. Les GEX sont supportés par le Pôle d’e elle e e dans cette mission. Il convient de
noter le rôle particulier que joue le Pôle Images&Réseaux puisque ce Pôle est en charge au sein de
SMILE du sujet cybersécurité des infrastructures critiques que constituent les réseaux d’ e gie intelligents.
7.1 Cycle de vie et politique de cybersécurité
La cybersécurité e o e e pas u i ue e t la phase de d veloppe e t d’u p oduit ou d’u p ojet. Il est e tes t s i po ta t d’i t g e la « cyber par défaut et par design » dès la conception,
mais toutes les autres phases du cycle de vie (production, opération, maintena e d’u p oduit ou p ojet so t aussi i po ta tes d’u poi t de vue de la cybersécurité.
Une politique globale de cybersécurité avec évaluation des risques et de leurs conséquences doit
être mise en place et ce pour chacune des phases du cycle de vie. On pou a pa e e ple s’appu e sur le « framework » de cybersécurité des infrastructures critiques défini par l’i stitut A i ai des normes et technologies (NIST) pour définir avec un prestataire de service une analyse de risques et
une politique de cybersécurité pour chaque étape du cycle de vie.
Cycle de vie et cyber
CyberLab – catalogue de services et prestataires de cybersécurité
16
7.2 Le modèle d’architecture SGAM
Out e u e p estatio d’a al se de is ue et de politi ue de e s u it , quelles autres prestations
hoisi pou le d veloppe e t, la p odu tio , l’op atio et la ai te a e d’u p oduit, solutio ou application ?
Cela dépend du positionnement du produit, solution ou application dans le od le d’a hite tu e SGAM (Smart Grid Architecture Model) défini par le groupe de coordination sur la sécurité des Smart
Grids : CEN-CENELEC-ETSI
Le « SGAM » est une architecture technique de référence des Smart Grids qui a été définie par le
Comité Européen de Normalisation – CEN, le Comité Européen de normalisation pour
l'électrotechnique et l'électricité – CENELEC et l’i stitut Eu op e de sta da disatio des télécommunications – ETSI.
Ce modèle défini une matrice à 3 dimensions :
1. Les ou hes d’interopérabilité similaires à celles définies dans le modèle OSI :
a. Composant
b. Communication
c. Information
d. Fonction
e. Business
2. Les domaines métiers
a. G atio d’ e gie
b. T a s issio d’ e gie
c. Dist i utio d’ e gie
d. Ressources électriques distribuées (DER)
e. Lieux de consommation
3. Les zones géographiques
a. Processus (compteur, transformateur, actuateur, pa eau solai e, olie e…
b. Field (relais, IED, IoT…
c. Station (poste de distribution, de transformation, automatisation des sous-stations,
ag gatio …
d. Opération s st e de gestio et de dist i utio d’ e gie – EMS, DMS…)
e. Entreprise (p o essus, se vi es et i f ast u tu es des op ateu s d’ e gie…
f. Marché les lie ts, la ve te d’ e gie…
Le positionnement du produit ou de la solution dans cette architecture nous permet de mieux
comprendre les risques cyber encourus et donc les types de prestations de services d’audit, de test ou de certification cyber à envisager pour intégrer la cyber nativement dans le cycle de vie.
A tit e d’e e ple, et comme illustré sur la figure ci-dessous ; un composant électronique basique
utilisé dans un transformateur, nécessitera peu de p estatio d’audit, voi e au u e p estatio de certification, par rapport à une appli atio tie de gestio de la p odu tio d’u e e t ale nucléaire qui elle nécessitera une certification de type CC-EAL 7.
CyberLab – catalogue de services et prestataires de cybersécurité
17
Modèle d’architecture des Smart Grids
7.3 La chaine de confiance ENISA
La chaine de confiance (chain of trust) pour la sécurité des Smart Grids de l’age e Eu op e e de la sécurité des réseau et s st es d’i fo atio – ENISA peut également servir de référence pour
définir les prestations de services requis sur un projet.
Chaine de confiance ENISA des Smart Grids
Au début de cette chaine de confiance figurent les composants et produits qui en milieu de chaine
viennent s’i t grer dans des solutions et systèmes qui ensuite en fin de chaine seront utilisés dans un
seau d’ e gie i tellige t op pa des e ploita ts.
CyberLab – catalogue de services et prestataires de cybersécurité
18
A chaque étape, des prestations de services seront éventuellement nécessaires pour bâtir la
confiance de la chaine. Voici ci-après quelques possibilités de prestations, sachant que chaque cas
sera un cas particulier et que certaines prestations dépendent du niveau de criticité (voir chapitre
suivant).
Formations Conseils Audit Certif Tests
Me
na
ces
de
s O
IVs
Cy
be
r e
t p
roje
ts
Ge
stio
n d
e c
rise
s
Ing
én
ieri
e s
olu
tio
ns
Ap
pli
cati
on
s &
Io
T
Pro
gra
mm
ati
on
An
aly
se d
e r
isq
ue
s
Po
liti
qu
e C
yb
er
Gro
up
e d
e t
rav
ail
Ge
stio
n d
e c
rise
Pla
n d
e t
est
s
Arc
hit
ect
ure
Au
dit
pré
lim
ina
ire
Test
s d’in
tus
ion
Au
dit
co
de
so
urc
e
Au
dit
co
nfi
gu
rati
on
Au
dit
arc
hit
ect
ure
Au
dit
org
& P
hy
Au
to c
ert
ific
ati
on
Pré
au
dit
CS
PN
CS
PN
CC
– E
AL
1-7
Te
sts
pré
lim
ina
ire
s
Te
sts
fon
ctio
nn
els
Inte
rop
éra
bil
ité
X X X X X X X X
X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X X X X X X
Mapping des prestations de services par rapport à la chaine de confiance
7.4 Le niveau de criticité
Cette même agence ENISA dans son rapport de recommandations pour la certification de la sécurité
des Smart Grids a d fi i des iveau de s u it pou efl te l’i pa t ue peuve t ause des i ide ts de s u it su u seau d’ e gie. 5 iveau de iti it o t t d fi is suiva t leu s o s ue es su les op atio s d’u seau, ais gale e t sur la vie humaine, les conséquences
financières ou légales pour un opérateur ou fournisseur et sur sa réputation.
Niveaux de criticité ENISA et leurs conséquences
Plus haut sera le niveau de sécurité, plus nombreuses et complexes devront être les prestations de
certifications et de qualifications. Mais une fois encore, chaque cas sera un cas particulier.
CyberLab – catalogue de services et prestataires de cybersécurité
19
Mapping des prestations de services avec les niveaux de criticité ENISA
8 Conclusions Le CyberLab est un catalogue de services destiné aux équipes projets SMILE pour intégrer la
cybersécurité dans les projets et dès la conception des produits, applications ou solutions.
Pou toute de a de d’i fo atio ou toute suggestio , o ta tez : Thie SENS du Pôle d’e elle e cyber. Email : [email protected] – Téléphone : 02 23 06 10 36
Thierry Sens est actuellement responsable du développement industriel au Pôle d’e elle e er à Rennes. Il possède une grande
expérience et expertise des technologies, systèmes et réseaux de communications ainsi que de leur cybersécurité. Auparavant il a
travaillé pour les sociétés Nokia, Alcatel-Lucent, Philips Consumer Electronics, CS Telecom, TRT et Radiotechnique Compelec. Il est
i gé ieur diplô é de l’ESIEE et a étudié à l’u iversité d’ESSEX e A gleterre.
9 Publications recommandées
ENISA - Smart grid security certification in Europe - Challenges and recommendations
December 2014
ENISA - Smart grid security - Recommendations for Europe and Member States
CEN-CENELEC-ETSI Smart Grid Coordination Group - SG-CG/M490/H_ Smart Grid
Information Security – December 2014
Entreprises de la SEE - Livre blanc sur la cyber-sécurité des réseaux électriques intelligents –
Juin 2015
CEN-CENELEC-ETSI Smart Grid Coordination Group - Smart Grid Reference Architecture – Nomber 2012
NIST Framework for Improving Critical Infrastructure Cybersecurity
le chapitre 4 de la loi de programmation militaire de 2013 sur la protection des infrastructures vitales en France – section 22
Directive Européenne Network & Information Security (NIS)
CyberLab – catalogue de services et prestataires de cybersécurité
20
Directive Européenne General Data Protection Regulation (GDPR) – RGPD article 25
Cyber Threat and Vulnerability Analysis of the U.S. Electric Sector - Prepared by: Mission Support Center Idaho National Laboratory August 2016
FIN DU DOCUMENT