Tröhler Henry

Inst. El. Dipl., Chef product management international pour systèmes d'alarme contre l’intrusion, Securiton SA, Zollikofen

Mise en réseau desystèmes d’alarme contre l’intrusion via des réseaux informatiques

Programme

• Qu'est-ce qu'un réseau informatique?• Classification thématique • Utilisation de réseaux informatiques pour les systèmes d’alarme contre l’intrusion (SAI)

• Approche• Propriétés du réseau• Questions / motivation• Catégorisation • Conditions cadres• Différentes exigences• Sécurité informatique : reproductibilité ou praticabilité • État actuel des normes et directives

• Résumé

14.11.2018 / 2

Qu'est-ce qu'un réseau informatique?

Ensemble ou regroupement de plusieurs terminaux en vue de l’échange de données et de l’utilisation en commun de composants du système ainsi que de ressources. La liaison y est assurée par l’intermédiaire d’un support de transmission quelconque.

Définition: Réseau informatique

14.11.2018 / 3

Classification thématique

14.11.2018 / 4

CAI

Utilisation de réseaux informatiques pour les SAI : approche

« Réseau client » comme boîte noire avec propriétés et exigences

Qualité fonctionnelle

Conf

orm

ité

Disp

onib

ilité

Conf

iden

tialit

é

Inté

grité

Non

-répu

diat

ion

Auth

entic

ité

Un service est-il « utilisable » même si la qualité varie ?

14.11.2018 / 5

Utilisation de réseaux informatiques pour les SAI : propriétés du réseau

14.11.2018 / 6

« Réseau client » comme boîte noire avec propriétés et exigences

• Réseau non dédiéc’est-à-dire que d’autres applications y accèdent (p. ex. technique du bâtiment)

• Planification et maintenance par des informaticiens

• Accès en partie ouvert

• Composants ayant des propriétés différentes (p. ex. fiabilité)

Utilisation de réseaux informatiques pour les SAI : Questions / motivation

• Quels types de connexion faut-il distinguer ?

• Quel peut être l’effet des dérangements ?

• Quelles configurations sont pensables / réalisables ?

• Quelles conditions cadres / paramètres s’y appliquent ?

• Jusqu’à quel point faut-il apporter des modifications et compléments aux directives VdS ... (de sorte que les exigences fondamentales restent satisfaites) ?

14.11.2018 / 7

Utilisation de réseaux informatiques pour les SAI : catégorisation

Réseau physique exclusif

• Responsabilité de toutes les liaisons entre les mêmes mains

SAI classiques (sans radio)

• Est constitué de lignes et composants du réseau séparés physiquement

14.11.2018 / 8

Utilisation de réseaux informatiques pour les SAI : catégorisation

Réseau logique exclusif

• Responsabilité de toutes les liaisons entre les mêmes mains

• Constitué de liaisons logiques (p. ex. canaux, chemins d’accès virtuels) du réseau

Remarque : considération inspirée du modèle de référence ISO/OSI !

Réseau logique exclusif avecdes liaisons SAI dédiées

14.11.2018 / 9

Utilisation de réseaux informatiques pour les SAI : catégorisation

• Responsabilité de toutes les liaisons entre des mains différentes

SAI classiques avec radio

Réseau non exclusif

14.11.2018 / 10

Utilisation de réseaux informatiques pour les SAI : catégorisation

Contrôle d’accès

Vidéo-surveillance

SAI

• P. ex. via un concentrateur

Réseau non dédié

14.11.2018 / 11

Utilisation de réseaux informatiques pour les SAI : conditions cadres

Exigences de base

• Aucun message ne doit être perdu

• Les messages doivent être traités dans les 10s

Mesures pour assurer la confidentialité, l’intégrité, la disponibilitéet la protection antisabotage

Exigences générales dans VdS 3147

14.11.2018 / 12

Utilisation de réseaux informatiques pour les SAI : exigences générales – VdS 3147

• Planification et installation du réseau • Conception du réseau / structure• Concept d’alimentation de secours• Mise en service

• Exigences posées à la connexion en fonction de la catégorie de réseau, p. ex. redondance• Intégrité de la liaison (la disponibilité doit être contrôlée)• La disponibilité est mesurée, enregistrée et interrogeable

Mesures pour assurer les exigences de baseExigences sur le système

14.11.2018 / 13

Utilisation de réseaux informatiques pour les SAI : exigences générales – VdS 3147

• Les exigences de la norme EN 50174 sont applicables• EN 50174 Technologies de l’information - Installation de câblage

14.11.2018 / 14

Conception du réseauExigences sur le réseau informatique du client

• Partie 1 : Spécification de l'installation et assurance de la qualité

• Partie 2 : Planification et pratiques d'installation à l'intérieur des bâtiments

Utilisation de réseaux informatiques pour les SAI : exigences générales – VdS 3147

Exigences sur le réseau informatique du client pour SAI de classe A

• Plan de qualité « Niveau 1 » selon EN 50174 est applicable

Exemple A: Plan de qualité « Niveau 1 »A1) Assurer la conformité d’une installation professionnelle

− par conception de canal et une implémentation assurant que la classe de performance prescrite est respectéeou

− par implémentations de référence et des composants de câblage compatiblesA2) Uniquement contrôle de continuité, d’inversion de polarité et, en cas de câblage symétrique, de court-circuit A3) Des défauts éventuels pour toutes les autres propriétés sont tolérés

14.11.2018 / 15

• Le répartiteur est logé dans un local de répartition informatique auquel seul l’exploitant et l’installateur/spécialiste de maintenance ont accès

Utilisation de réseaux informatiques pour les SAI : exigences générales – VdS 3147

Exemple B: Plan de qualité « Niveau 2 »B1) Assurer la conformité d’une installation professionnelle

− par conception de canal et une implémentation assurant que la classe de performance prescrite estrespectéeou

− par implémentations de référence et des composants de câblage compatiblesB2) Contrôle de continuité, d’inversion de polarité et, en cas de câblage symétrique, de court-circuit et, si nécessaire, élimination des défautsB3) En outre, contrôle par mesure d’échantillons avec étendue convenue en ce qui concerne le nombre et les paramètres techniques de transmissionB4) Les résultats de mesure et les défauts sont documentés. Traitement des résultats de mesure au sein de la précision de mesure : EN 50174-1:2009/A1:2011

recommande d’accepter les résultats corrects dans la plage de tolérance (en : marginal pass) et de rejeter les résultats incorrects dans la plage de tolérance(en : marginal fail)

B5) Pas de rectification à l’intérieur de tolérances à convenir

• Surveillance des (locaux des) répartiteurs

• Répartiteur informatique dans une zone de sécurité ou constitue lui-même une zone de sécurité

• Plan de qualité « Niveau 2 » selon EN 50174 nécessaire

Exigences sur le réseau informatique du client pour SAI de classe B et C

14.11.2018 / 16

Utilisation de réseaux informatiques pour les SAI : exigences générales – VdS 3147

• Exigences sur la protection antisabotage• Accès aux composants du réseau

• Exigences sur l’intégrité des messages• Identique au message envoyé ?

• Exigences sur la confidentialité des messages• Quelqu’un peut-il lire les messages ?

• Exigences sur l’authenticité• Le message provient-il du bon partenaire de communication ?

Mesures pour assurer les exigences de baseExigences sur le système (sécurité informatique)

14.11.2018 / 17

Utilisation de réseaux informatiques pour les SAI : exigences sur la sécurité informatique

• Cryptage des messages selon ISO/CEI 18033 Le cryptage AES 128 est considéré comme suffisamment sûr

• Intégrité des messages (pas d’attaques par rejeu) Les fonctions de hachage doivent satisfaire aux

recommandations d’ISO/CEI 10118• Authenticité du partenaire de communication

P. ex. hachage selon ISO/CEI 10118 + procédure sûre d’échange du vecteur d’initialisation Procédure défi-réponse

Exigences supplémentaires spécifiques à l’application

Le nouveau protocole VdS 2465 y satisfait

14.11.2018 / 18

Utilisation de réseaux informatiques pour les SAI : connexions

Connexion redondante

• Pour plus de 512 détecteurs

• Si des composants actifs n’ont pas d’alimentation de secours

• Si la liaison n’est pas exclusive

14.11.2018 / 19

Utilisation de réseaux informatiques pour les SAI : connexion possible

Dans le cas d’un réseau non exclusif et non dédié, les parties de l’installation doivent être connectées via une passerelle de sécurité / ou présenter la fonctionnalité de celle-ci

14.11.2018 / 20

Utilisation de réseaux informatiques pour les SAI : passerelle de sécurité

Passerelle de sécurité en tant que « nouveau » type d’appareil qui met en œuvre les exigences système en termes d’équipement

VdS 3106, partie 2 - Parties d’installation dans des réseaux locaux avecliaisons non dédiées, exigences et méthodes d’essai

14.11.2018 / 21

Utilisation de réseaux informatiques pour les SAI : exigences sur lapasserelle de sécuritéVdS 3106, partie 2 - Parties d’installation dans des réseaux locaux avec liaisons non dédiées, exigences et méthodes d’essai

Les exigences pertinentes de VdS 2252 pour les équipements de contrôle et de signalisation(notamment les « modules de bus ») s’appliquent ici• Traitement d’événements

• Affichages, sorties et mémoire des événements

• Sécurité d’exploitation et de commande

• Protection contre les influences de l’environnement

• Interfaces

• Repérage et marquage

14.11.2018 / 22

Sécurité antisabotage

Sécurité de fonctionnement

Fiab

ilité

Respect del’environnement

Défaillancetechniques In

fluen

ce

inte

ntio

nnel

le

Influenceaccidentelle

Traitement

Alimentation

Détection Sortie

Commande

Influences naturelles

Utilisation de réseaux informatiques pour les SAI : exigences sur lapasserelle de sécurité

• Détection de dérangements dans les 5set transmission à la CAI ou SPT dans les 10s

• Mesure de disponibilité 𝑊𝑊𝐴𝐴 1 − 𝑊𝑊𝑊𝑊10080

∗ 100%• Les valeurs hebdomadaires doivent être

enregistrées de manière lisible dans la mémoiredes événements pendant au moins un an

WA = disponibilité hebdomadaireWF = somme des durées du dérangement pendant une période de 7 joursRemarque : 10080 = nombre de minutes par période de 7 jours

Exigences supplémentaires spécifiques à l’application

14.11.2018 / 23

Utilisation de réseaux informatiques pour les SAI : autres aspects

Protection d’accès : hébergement des composants du réseau dans un répartiteur informatique avec accès pour personnes autorisées*

*personne autorisée détentrice d’un accès aux appareils informatiques selon le concept d’autorisation.

Remarque : l’accès peut être réalisé directement sur l’appareil ou à distance (remote).

14.11.2018 / 24

Utilisation de réseaux informatiques pour les SAI : praticabilité ou reproductibilité

Problème lors des contrôles : prouver que les exigences sont satisfaites

Le « durcissement » de la sécurité par rapport aux attaques informatiques est réalisé dans la pratique ou suite à des attaques ciblées de pirates

Reproductibilité Praticabilité

14.11.2018 / 25

Utilisation de réseaux informatiques pour les SAI : État actuel des normes, directives et suite de la procédure

• Les directives VdS 3147 sont disponibles • VdS 3106 partie 1: le complément aux directives sera finalisé prochainement

• VdS 3106 partie 2: Parties d’installation pour réseau radio sera soumise à consultation

• Procédure d’essai et d’homologation

14.11.2018 / 26

Résumé

• L’utilisation de réseaux informatiques pour les SAI est tout à fait possible

• Il faut en spécifier les conditions

• Un concept étagé par classes inclut à la fois des exigences sur le système et sur lesappareils

• Exigences particulières sur la sécurité informatique

• L’adéquation pratique en termes de sécurité informatique est difficile à réaliser

14.11.2018 / 27

Merci pour votre attention

Henry TröhlerSecuriton SAAlpenstrasse 3052 ZollikofenEmail : henry.troehler@securiton.ch