Upload
others
View
12
Download
1
Embed Size (px)
Citation preview
Positionnement de la Cybersécurité entre Sécurité et Sûreté « faux-amis » ou vraies synergies ? Thierry PERTUS
Mars 2016
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
► Avant-propos
Entre abus de langage, erreurs de traduction anglais/français, spécificités sectoriels ou encore posture marketing, la perception entre sécurité et sûreté a de quoi être altérée d’un individu à l’autre, selon sa fonction, sa discipline, son secteur d’activité, sa culture personnelle, etc.
Concernant le domaine du numérique, remplaçant les désormais obsolètes « TIC » (Technologies de l’Information et des Télécommunications), l’ambigüité est encore plus manifeste, en particulier lorsque des experts cybersécurité sont amenés à échanger avec des experts automaticiens dans un contexte industriel. Une clarification du vocabulaire, des concepts et des champs d’application s’impose alors pour éviter les quiproquos.
Qu’entend-t-on exactement par sécurité et sûreté ? Quelles sont les différences ? En quoi sont-elles liées ou se recouvrent-elles ? Que couvre précisément la cybersécurité ? Comment se positionne-elle vis-à-vis des disciplines voisines ? C’est à toutes ces questions que nous allons tenter de répondre en nous appuyant sur le cadre normatif (tout en prenant quelque fois une certaine distance lorsque celui-ci porte en son sein quelques anomalies …).
Mars 2016
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
p 3
Sécurité informatique
Sécurité des Systèmes d’Information (SSI)
1985 1990 1995 2000 2005 2010 2015
Considérations organisationnelles
(gouvernance)
Considérations techniques
(opérationnel)
Information Technology (IT) Security
Computer Security
Sécurité de l’information
Cyber-sécurité
Information Security (IS)
Cyber-Security
(Cyber-
défense)
Source : La sécurité numérique dans l'entreprise - Pierre-Luc Refalo (Eyrolles)
► De la « sécurité informatique » à la « cybersécurité »
Plus qu’une évolution sémantique, une prise de conscience des enjeux
liés à la convergence numérique et à la dépendance au cyberespace.
Mars 2016
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
p 4
Sécurité (safety) vs. Sûreté (security)
La sécurité consiste à prévenir contre les accidents (liés à des évènements fortuits ou des actes sans intention de nuire)
La sûreté consiste à prévenir contre les actes de malveillance (liés à des actes délibérés ou à la négligence avec intention de nuire)
Attention, en anglais, les termes « safety » et « security » sont de « faux amis » avec une traduction inversée (excepté dans le nucléaire), puisque « safety » = sécurité et « security » = sûreté.
Sécurité des Systèmes d’Information (SSI)
Ensemble des mesures techniques et non techniques de protection permettant à un système d’information de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
Sécurité de l’information
Protection de la confidentialité, de l’intégrité et de la disponibilité de l’information. En outre, d’autres propriétés, telles que l’authenticité, l’imputabilité, la non-répudiation et la fiabilité, peuvent également être concernées [ISO/IEC 27000:2014]
La sécurité de l’information dépasse la champ de la SSI en s’intéressant aux actifs informationnels selon une approche par le risque.
Cybersécurité
État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.
► Quelques définitions et éléments de sémantique
Source : allchemi.eu - Centre des Hautes Etudes du Ministère de l'Intérieur (CHEMI)
Mars 2016
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
p 5
Threat (Menace)
Hazard (Danger)
Safety (Sécurité)
adresses adresses Security
(Sûreté)
Source : Common Concepts Underlying Safety, Security, and Survivability Engineering - Donald G. Firesmith (Carnegie Mellon University)
Malveillance Tromperie délibérée Négligence Facilitation d'activités frauduleuses Source : ISO/DIS 34001 (projet de norme)
(préjudice)
(actif)
Mars 2016
► Positionnement Sécurité / Sûreté
Accidents vs. Attacks
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
Confinement
Logique
Physique
Résilience
Physique
Logique
E>S
Résistance
Robustesse
S>S
Intégrité
Fiabilité
S>E
► Positionnement Sécurité / Sûreté
mal
veill
ance
[M
] (d
élib
éré)
ac
cid
en
t [A
] (f
ort
uit
/ in
volo
nta
ire)
Ori
gin
e d
u d
ange
r o
u d
e l
a m
en
ace
Sécu
rité
(S
afe
ty)
Sûre
té
(Sec
uri
ty)
(intrinsèque)
Logique
Physique
Physique
Logique
Do
mai
ne
s
[ > = incidence]
Do
mai
nes
inve
rsés
d
ans
le n
ucl
éair
e
>
Modèle SE-MA (revisité) : Système / Ecosystème (Environnement) - Malveillant / Accidentel
>
Mars 2016
Cause externe
Conséquence externe
(Compromission)
(Défaillance)
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
Confinement
Logique
Physique
Résilience
Physique
Logique
E>S
Résistance
Robustesse
S>S
Intégrité
Fiabilité
S>E
► Positionnement Sécurité / Sûreté
Sécu
rité
(S
afe
ty)
Sûre
té
(Sec
uri
ty)
(intrinsèque)
Logique
Physique
Physique
Logique
Do
mai
ne
s
[ > = incidence]
>
>
Sécurité des Systèmes d’Information (SSI) - Information Technology Security (IT Security)
Sécurité informatique (désuet)
Mars 2016
mal
veill
ance
[M
] (d
élib
éré)
ac
cid
en
t [A
] (f
ort
uit
/ in
volo
nta
ire)
Ori
gin
e d
u d
ange
r o
u d
e l
a m
en
ace
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
Confinement
Logique
Physique
Résilience
Physique
Logique
E>S
Résistance
Robustesse
S>S
Intégrité
Fiabilité
S>E
► Positionnement Sécurité / Sûreté
Sécu
rité
(S
afe
ty)
Sûre
té
(Sec
uri
ty)
(intrinsèque)
Logique
Physique
Physique
Logique
Do
mai
ne
s
[ > = incidence]
>
>
Sécurité de l’Information - Information Security (InfoSec)
Sécurité sociétale
Sécurité globale de l’information et de l’activité (orienté organisationnel)
Mars 2016
mal
veill
ance
[M
] (d
élib
éré)
ac
cid
en
t [A
] (f
ort
uit
/ in
volo
nta
ire)
Ori
gin
e d
u d
ange
r o
u d
e l
a m
en
ace
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
Confinement
Logique
Physique
Résilience
Physique
Logique
E>S
Résistance
Robustesse
S>S
Intégrité
Fiabilité
S>E
► Positionnement Sécurité / Sûreté
Sécurité fonctionnelle ou industrielle (ex : ferroviaire) / « Sûreté de Fonctionnement » (SdF) / FDMS (ferroviaire)
« Cybersécurité » (Sécurité liée à la sûreté numérique)
Sécu
rité
(S
afe
ty)
Sûre
té
(Sec
uri
ty)
(intrinsèque)
Logique
Physique
Physique
Logique
Do
mai
ne
s
[ > = incidence]
>
>
Sécurité globale liée au numérique (orienté opérationnel)
Sûreté physique Sécurité physique
Interfaces
Mars 2016
mal
veill
ance
[M
] (d
élib
éré)
ac
cid
en
t [A
] (f
ort
uit
/ in
volo
nta
ire)
Ori
gin
e d
u d
ange
r o
u d
e l
a m
en
ace
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
► Parallèles entre Cybersécurité et Sûreté de Fonctionnement (SdF)
Cybersécurité / Sécurité de l’information/ SSI (DIC[x]) Disponibilité Intégrité Confidentialité [autres critères : imputabilité (Preuve) / Traçabilité, Authenticité / Non-Répudiation, etc.]
Management du risque basée sur une approche essentiellement qualitative, plutôt subjective (estimation d’expert selon le contexte, retours d’expérience, base d’incidents, etc.)
Niveau de sûreté (résistance aux attaques) : Security Level [SL 0 à SL 4] - IEC 62443-3-3
Sécurité fonctionnelle / Sûreté de fonctionnement (FDMS) Fiabilité Disponibilité Maintenabilité Sécurité (intégrité physique des personnes et des biens, et par extension, de l’environnement)
Management du risque basée sur une approche essentiellement quantitative, plutôt déterministe avec gestion de l’incertitude (calcul de probabilités, recours aux statistiques, etc.)
Niveau de fiabilité (« intégrité de sécurité ») : Safety Integrity Level [SIL 0 à SIL 4] - IEC 61508-1
Indices de fiabilité : MTTF (mean time to first failure = durée moyenne de bon fonctionnement avant la première défaillance) MTBF (mean time between failures = durée moyenne de bon fonctionnement entre deux défaillances) = (Somme des durées de fonctionnement – Somme des durées de défaillance) / Nombre de défaillances
Indice de maintenance : MTTR (mean time to repair = durée moyenne de réparation suite à une défaillance)
Indice de disponibilité : TDM (taux de disponibilité) = MTBF / (MTBF + MTTR)
Mars 2016
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
► Conclusion
A l’instar de la sûreté physique vis-à-vis de la sécurité physique, la cybersécurité - composante numérique de la sûreté - contribue indirectement à garantir la sécurité fonctionnelle au regard des actes de malveillance qui ne sont généralement pas pris en compte par l’ingénierie systèmes, car considérés légitimement en dehors du champ de l’étude.
De fait, même si chaque discipline s’en remettra à son expert tout comme « à chaque pied son soulier », la complémentarité entre sûreté et sécurité apparait comme une évidence dans l’optique de prémunir un périmètre ou un système donné aussi bien contre les accidents que la malveillance, avec certains « évènements redoutés* » bien souvent communs en matière de gestion du risque.
Fort de ce constat, l’intégration d’un volet cybersécurité au sein des cahiers des charges / CCTP s’avère dorénavant incontournable dès lors que des systèmes numériques connectés en réseau se trouvent inclus dans la déclinaison technique de la solution (c’est-à-dire bien souvent dans un monde « hyperconnecté »), tout comme un plan d’assurance cybersécurité, au même titre que le plan d’assurance qualité, sera idéalement à prévoir dans le cadre de la contractualisation entre les parties en vue de garantir le maintien en condition de cybersécurité.
Mars 2016
* ex. : méthode EBIOS pour la cybersécurité ; méthode AMDEC pour la sécurité fonctionnelle
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
Mars 2016 p 12
Annexes
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
► Cadre normatif relatif au management de la sécurité (safety management)
Domaine Référentiels
Sécurité sociétale - Continuité d’activité ISO 22301 (SMCA)
Sécurité sociétale - Gestion des urgences (opérations de secours en réponse à incident) ISO 22320
Sûreté de fonctionnement (FDMS) IEC 60300 [série]
Sécurité fonctionnelle IEC 61508 [série], normes sectorielles dérivées
Sécurité fonctionnelle des machines électroniques IEC 62061, IEC 62513, ISO 13849-1, ISO 12100
Sécurité fonctionnelle des système instrumentés de sécurité des procédés industriels (sécurité industrielle)
IEC 61511 [série]
Sécurité fonctionnelle des systèmes instrumentés de sécurité des centrales nucléaires (sécurité nucléaire)
IEC 61513, normes spécifiques à certaines systèmes
Sécurité fonctionnelle des systèmes de détection de gaz (sécurité anti-explosions) IEC 60079 [série]
Sécurité fonctionnelle des systèmes ferroviaires (sécurité ferroviaire - FDMS) CENELEC 50126-1, 50128, 50129, 50159, IEC 62278, IEC 62279, IEC 62267, IEC 62290, IEC 62425 [séries]
Sécurité fonctionnelle des véhicules routiers (sécurité automobile) ISO 26262 [série]
Sécurité fonctionnelle des équipements médicaux (sécurité automobile) CENEL 60601-2 [série]
Sécurité fonctionnelle des jouets électroniques IEC 62115, ISO 8124-1
Sécurité électrique et CEM des matériels électriques IEC 61857 [série], IEC 61326 [série]
Sécurité incendie ISO 8421, ISO 23932, CNPP APSAD |FR}
Sécurité des denrées alimentaires (sécurité sanitaire) ISO 22000 (SMSDA), ISO 7218
Santé et de la sécurité au travail (sécurité du personnel dans le cadre professionnel) OHSAS 18001 (SMS/ST)
… …
Mars 2016
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
► Cadre normatif relatif au management de la sûreté (security management)
Domaine Référentiels
Sûreté (globale) ISO/DIS 34001 (SMS), CNPP 1302 [FR]
Systèmes d'alarme et de sécurité électroniques, supervision des alarmes (sûreté physique)
CENELEC 50131-1, 50133-1, 50134-1, 50136-1, 50518-1, IEC 60839-11 [séries]
Systèmes de vidéosurveillance ISO 22311
Sûreté de la chaîne d'approvisionnement (supply chain security) ISO 28000 (SMSCA)
Sûreté du cadre privé (privacy safeguarding framework) ISO/IEC 29100
Sécurité de l’information (information security) ISO/IEC 27001 (SMSI)
Cybersécurité (sûreté numérique) ISO/IEC 27032
Cybersécurité des systèmes d’automatisation et de commande industrielles (cyber security for IACS)
IEC 62443-2-1 (SMCS)
Sûreté des systèmes ouverts (open systems security) ISO/IEC 10181 [série]
Sûreté des technologies de l'information et des communications (sécurité informatique) ISO/IEC 13335-1 (obsolète)
… …
Mars 2016
Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?
p 15
Source* : Le 100e Schtroumpf - Peyo (Editions Dupuis) * Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle)
Schtroumpf alors ! La foudre a donné vie
à mon avatar …
Dnarg fpmuorthcs ! Il em tid euq l’OSI
a tiudart « Safety » rap « Sûreté »
ua ueil ed « Sécurité » …
Grand schtroumpf ! Il me dit que l’ISO
a traduit « Security » par « Sécurité »
au lieu de « Sûreté » …
Mars 2016
Thierry PERTUS Consultant senior CISM, ISO/IEC 27001:2013 LI, ISO/IEC 27005:2011 RM
Cybersécurité
Powered by
www.conix.fr
Keep control.