Positionnement de la Cybersécurité entre Sécurité et Sûreté · Positionnement de la...

Positionnement de la Cybersécurité entre Sécurité et Sûreté « faux-amis » ou vraies synergies ? Thierry PERTUS

Mars 2016

Positionnement de la Cybersécurité entre Sécurité et Sûreté : « Faux-amis » ou vraies synergies ?

► Avant-propos

Entre abus de langage, erreurs de traduction anglais/français, spécificités sectoriels ou encore posture marketing, la perception entre sécurité et sûreté a de quoi être altérée d’un individu à l’autre, selon sa fonction, sa discipline, son secteur d’activité, sa culture personnelle, etc.

Concernant le domaine du numérique, remplaçant les désormais obsolètes « TIC » (Technologies de l’Information et des Télécommunications), l’ambigüité est encore plus manifeste, en particulier lorsque des experts cybersécurité sont amenés à échanger avec des experts automaticiens dans un contexte industriel. Une clarification du vocabulaire, des concepts et des champs d’application s’impose alors pour éviter les quiproquos.

Qu’entend-t-on exactement par sécurité et sûreté ? Quelles sont les différences ? En quoi sont-elles liées ou se recouvrent-elles ? Que couvre précisément la cybersécurité ? Comment se positionne-elle vis-à-vis des disciplines voisines ? C’est à toutes ces questions que nous allons tenter de répondre en nous appuyant sur le cadre normatif (tout en prenant quelque fois une certaine distance lorsque celui-ci porte en son sein quelques anomalies …).

Mars 2016


p 3

Sécurité informatique

Sécurité des Systèmes d’Information (SSI)

1985 1990 1995 2000 2005 2010 2015

Considérations organisationnelles

(gouvernance)

Considérations techniques

(opérationnel)

Information Technology (IT) Security

Computer Security

Sécurité de l’information

Cyber-sécurité

Information Security (IS)

Cyber-Security

(Cyber-

défense)

Source : La sécurité numérique dans l'entreprise - Pierre-Luc Refalo (Eyrolles)

► De la « sécurité informatique » à la « cybersécurité »

Plus qu’une évolution sémantique, une prise de conscience des enjeux

liés à la convergence numérique et à la dépendance au cyberespace.

Mars 2016


p 4

Sécurité (safety) vs. Sûreté (security)

La sécurité consiste à prévenir contre les accidents (liés à des évènements fortuits ou des actes sans intention de nuire)

La sûreté consiste à prévenir contre les actes de malveillance (liés à des actes délibérés ou à la négligence avec intention de nuire)

Attention, en anglais, les termes « safety » et « security » sont de « faux amis » avec une traduction inversée (excepté dans le nucléaire), puisque « safety » = sécurité et « security » = sûreté.

Sécurité des Systèmes d’Information (SSI)

Ensemble des mesures techniques et non techniques de protection permettant à un système d’information de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.

Sécurité de l’information

Protection de la confidentialité, de l’intégrité et de la disponibilité de l’information. En outre, d’autres propriétés, telles que l’authenticité, l’imputabilité, la non-répudiation et la fiabilité, peuvent également être concernées [ISO/IEC 27000:2014]

La sécurité de l’information dépasse la champ de la SSI en s’intéressant aux actifs informationnels selon une approche par le risque.

Cybersécurité

État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.

La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.

► Quelques définitions et éléments de sémantique

Source : allchemi.eu - Centre des Hautes Etudes du Ministère de l'Intérieur (CHEMI)

Mars 2016


p 5

Threat (Menace)

Hazard (Danger)

Safety (Sécurité)

adresses adresses Security

(Sûreté)

Source : Common Concepts Underlying Safety, Security, and Survivability Engineering - Donald G. Firesmith (Carnegie Mellon University)

Malveillance Tromperie délibérée Négligence Facilitation d'activités frauduleuses Source : ISO/DIS 34001 (projet de norme)

(préjudice)

(actif)

Mars 2016

► Positionnement Sécurité / Sûreté

Accidents vs. Attacks


Confinement

Logique

Physique

Résilience

Physique

Logique

E>S

Résistance

Robustesse

S>S

Intégrité

Fiabilité

S>E


mal

veill

ance

[M

] (d

élib

éré)

ac

cid

en

t [A

] (f

ort

uit

/ in

volo

nta

ire)

Ori

gin

e d

u d

ange

r o

u d

e l

a m

en

ace

Sécu

rité

(S

afe

ty)

Sûre

té

(Sec

uri

ty)

(intrinsèque)

Logique

Physique

Physique

Logique

Do

mai

ne

s

[ > = incidence]

Do

mai

nes

inve

rsés

d

ans

le n

ucl

éair

e

>

Modèle SE-MA (revisité) : Système / Ecosystème (Environnement) - Malveillant / Accidentel

>

Mars 2016

Cause externe

Conséquence externe

(Compromission)

(Défaillance)


Confinement

Logique

Physique

Résilience

Physique

Logique

E>S

Résistance

Robustesse

S>S

Intégrité

Fiabilité

S>E


Sécu

rité

(S

afe

ty)

Sûre

té

(Sec

uri

ty)

(intrinsèque)

Logique

Physique

Physique

Logique

Do

mai

ne

s

[ > = incidence]

>

>

Sécurité des Systèmes d’Information (SSI) - Information Technology Security (IT Security)

Sécurité informatique (désuet)

Mars 2016

mal

veill

ance

[M

] (d

élib

éré)

ac

cid

en

t [A

] (f

ort

uit

/ in

volo

nta

ire)

Ori

gin

e d

u d

ange

r o

u d

e l

a m

en

ace


Confinement

Logique

Physique

Résilience

Physique

Logique

E>S

Résistance

Robustesse

S>S

Intégrité

Fiabilité

S>E


Sécu

rité

(S

afe

ty)

Sûre

té

(Sec

uri

ty)

(intrinsèque)

Logique

Physique

Physique

Logique

Do

mai

ne

s

[ > = incidence]

>

>

Sécurité de l’Information - Information Security (InfoSec)

Sécurité sociétale

Sécurité globale de l’information et de l’activité (orienté organisationnel)

Mars 2016

mal

veill

ance

[M

] (d

élib

éré)

ac

cid

en

t [A

] (f

ort

uit

/ in

volo

nta

ire)

Ori

gin

e d

u d

ange

r o

u d

e l

a m

en

ace


Confinement

Logique

Physique

Résilience

Physique

Logique

E>S

Résistance

Robustesse

S>S

Intégrité

Fiabilité

S>E


Sécurité fonctionnelle ou industrielle (ex : ferroviaire) / « Sûreté de Fonctionnement » (SdF) / FDMS (ferroviaire)

« Cybersécurité » (Sécurité liée à la sûreté numérique)

Sécu

rité

(S

afe

ty)

Sûre

té

(Sec

uri

ty)

(intrinsèque)

Logique

Physique

Physique

Logique

Do

mai

ne

s

[ > = incidence]

>

>

Sécurité globale liée au numérique (orienté opérationnel)

Sûreté physique Sécurité physique

Interfaces

Mars 2016

mal

veill

ance

[M

] (d

élib

éré)

ac

cid

en

t [A

] (f

ort

uit

/ in

volo

nta

ire)

Ori

gin

e d

u d

ange

r o

u d

e l

a m

en

ace


► Parallèles entre Cybersécurité et Sûreté de Fonctionnement (SdF)

Cybersécurité / Sécurité de l’information/ SSI (DIC[x]) Disponibilité Intégrité Confidentialité [autres critères : imputabilité (Preuve) / Traçabilité, Authenticité / Non-Répudiation, etc.]

Management du risque basée sur une approche essentiellement qualitative, plutôt subjective (estimation d’expert selon le contexte, retours d’expérience, base d’incidents, etc.)

Niveau de sûreté (résistance aux attaques) : Security Level [SL 0 à SL 4] - IEC 62443-3-3

Sécurité fonctionnelle / Sûreté de fonctionnement (FDMS) Fiabilité Disponibilité Maintenabilité Sécurité (intégrité physique des personnes et des biens, et par extension, de l’environnement)

Management du risque basée sur une approche essentiellement quantitative, plutôt déterministe avec gestion de l’incertitude (calcul de probabilités, recours aux statistiques, etc.)

Niveau de fiabilité (« intégrité de sécurité ») : Safety Integrity Level [SIL 0 à SIL 4] - IEC 61508-1

Indices de fiabilité : MTTF (mean time to first failure = durée moyenne de bon fonctionnement avant la première défaillance) MTBF (mean time between failures = durée moyenne de bon fonctionnement entre deux défaillances) = (Somme des durées de fonctionnement – Somme des durées de défaillance) / Nombre de défaillances

Indice de maintenance : MTTR (mean time to repair = durée moyenne de réparation suite à une défaillance)

Indice de disponibilité : TDM (taux de disponibilité) = MTBF / (MTBF + MTTR)

Mars 2016


► Conclusion

A l’instar de la sûreté physique vis-à-vis de la sécurité physique, la cybersécurité - composante numérique de la sûreté - contribue indirectement à garantir la sécurité fonctionnelle au regard des actes de malveillance qui ne sont généralement pas pris en compte par l’ingénierie systèmes, car considérés légitimement en dehors du champ de l’étude.

De fait, même si chaque discipline s’en remettra à son expert tout comme « à chaque pied son soulier », la complémentarité entre sûreté et sécurité apparait comme une évidence dans l’optique de prémunir un périmètre ou un système donné aussi bien contre les accidents que la malveillance, avec certains « évènements redoutés* » bien souvent communs en matière de gestion du risque.

Fort de ce constat, l’intégration d’un volet cybersécurité au sein des cahiers des charges / CCTP s’avère dorénavant incontournable dès lors que des systèmes numériques connectés en réseau se trouvent inclus dans la déclinaison technique de la solution (c’est-à-dire bien souvent dans un monde « hyperconnecté »), tout comme un plan d’assurance cybersécurité, au même titre que le plan d’assurance qualité, sera idéalement à prévoir dans le cadre de la contractualisation entre les parties en vue de garantir le maintien en condition de cybersécurité.

Mars 2016

* ex. : méthode EBIOS pour la cybersécurité ; méthode AMDEC pour la sécurité fonctionnelle


Mars 2016 p 12

Annexes


► Cadre normatif relatif au management de la sécurité (safety management)

Domaine Référentiels

Sécurité sociétale - Continuité d’activité ISO 22301 (SMCA)

Sécurité sociétale - Gestion des urgences (opérations de secours en réponse à incident) ISO 22320

Sûreté de fonctionnement (FDMS) IEC 60300 [série]

Sécurité fonctionnelle IEC 61508 [série], normes sectorielles dérivées

Sécurité fonctionnelle des machines électroniques IEC 62061, IEC 62513, ISO 13849-1, ISO 12100

Sécurité fonctionnelle des système instrumentés de sécurité des procédés industriels (sécurité industrielle)

IEC 61511 [série]

Sécurité fonctionnelle des systèmes instrumentés de sécurité des centrales nucléaires (sécurité nucléaire)

IEC 61513, normes spécifiques à certaines systèmes

Sécurité fonctionnelle des systèmes de détection de gaz (sécurité anti-explosions) IEC 60079 [série]

Sécurité fonctionnelle des systèmes ferroviaires (sécurité ferroviaire - FDMS) CENELEC 50126-1, 50128, 50129, 50159, IEC 62278, IEC 62279, IEC 62267, IEC 62290, IEC 62425 [séries]

Sécurité fonctionnelle des véhicules routiers (sécurité automobile) ISO 26262 [série]

Sécurité fonctionnelle des équipements médicaux (sécurité automobile) CENEL 60601-2 [série]

Sécurité fonctionnelle des jouets électroniques IEC 62115, ISO 8124-1

Sécurité électrique et CEM des matériels électriques IEC 61857 [série], IEC 61326 [série]

Sécurité incendie ISO 8421, ISO 23932, CNPP APSAD |FR}

Sécurité des denrées alimentaires (sécurité sanitaire) ISO 22000 (SMSDA), ISO 7218

Santé et de la sécurité au travail (sécurité du personnel dans le cadre professionnel) OHSAS 18001 (SMS/ST)

… …

Mars 2016


► Cadre normatif relatif au management de la sûreté (security management)

Domaine Référentiels

Sûreté (globale) ISO/DIS 34001 (SMS), CNPP 1302 [FR]

Systèmes d'alarme et de sécurité électroniques, supervision des alarmes (sûreté physique)

CENELEC 50131-1, 50133-1, 50134-1, 50136-1, 50518-1, IEC 60839-11 [séries]

Systèmes de vidéosurveillance ISO 22311

Sûreté de la chaîne d'approvisionnement (supply chain security) ISO 28000 (SMSCA)

Sûreté du cadre privé (privacy safeguarding framework) ISO/IEC 29100

Sécurité de l’information (information security) ISO/IEC 27001 (SMSI)

Cybersécurité (sûreté numérique) ISO/IEC 27032

Cybersécurité des systèmes d’automatisation et de commande industrielles (cyber security for IACS)

IEC 62443-2-1 (SMCS)

Sûreté des systèmes ouverts (open systems security) ISO/IEC 10181 [série]

Sûreté des technologies de l'information et des communications (sécurité informatique) ISO/IEC 13335-1 (obsolète)

… …

Mars 2016


p 15

Source* : Le 100e Schtroumpf - Peyo (Editions Dupuis) * Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle)

Schtroumpf alors ! La foudre a donné vie

à mon avatar …

Dnarg fpmuorthcs ! Il em tid euq l’OSI

a tiudart « Safety » rap « Sûreté »

ua ueil ed « Sécurité » …

Grand schtroumpf ! Il me dit que l’ISO

a traduit « Security » par « Sécurité »

au lieu de « Sûreté » …

Mars 2016

Thierry PERTUS Consultant senior CISM, ISO/IEC 27001:2013 LI, ISO/IEC 27005:2011 RM

Cybersécurité

Powered by

[email protected]

www.conix.fr

Keep control.

mailto:[email protected]

http://www.conix.fr/

Positionnement de la Cybersécurité entre Sécurité et Sûreté · Positionnement de la...

Documents

Transcript of Positionnement de la Cybersécurité entre Sécurité et Sûreté · Positionnement de la...