Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
Sécurité des Systèmes Industriels Interconnectés -Approche ferroviaire (20/10/2016)SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
SNCF Réseau AMMAD Nadia
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Introduction
� Gains et limites de l’approche actuelle
� Fondamentaux de la sûreté de fonctionnement
� Intégration de la Sûreté/Security (Systèmes d’informations) dans la conception des systèmes critiques (Sécurité/Safety)
� Perspectives
2
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Introduction
� Gains et limites de l’approche actuelle
� Fondamentaux de la sûreté de fonctionnement
� Intégration de la Sûreté/Security (Systèmes d’informations) dans la conception des systèmes critiques (Sécurité/Safety)
� Perspectives
3
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Le problème soulevé� Comment démontrer l’atteinte des objectifs « S (Sécurité/Safety et
Sûreté/Security) » et FMD des applications dans le temps dans un environnement « interconnecté/ouvert » ?
� Les sources� Evolution du besoin liée à la mobilité (bureau => tablette, nature des informations)
� Evolution des architectures (liaison point à point => architecture réseau)
� Le chemin (déjà) parcouru� Apport des méthodes formelles pour la Sûreté/Security (=> Systèmes d’informations)
des systèmes critiques (=> Sécurité/Safety)
� Démarche et méthode de sûreté de fonctionnement des logiciels (GTR63)
� Sécurité des logiciels (GTR64)
� Apport de la modélisation à la sûreté de fonctionnement de systèmes informatisés (P06_1)
� Atelier 1 λ� 19, session cyberssécurité λ� Mu 20, Guides (préconisations, ANSSI, …)
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Introduction
� Gains et limites de l’approche actuelle
� Fondamentaux de la sûreté de fonctionnement
� Intégration de la Sûreté/Security (Systèmes d’informations) dans la conception des systèmes critiques (Sécurité/Safety)
� Perspectives
5
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Applicatifs et systèmes de transmission
6
Système Autonome
� Production industrielle, …
� Dépendance de l’informatique
� Mobilité accrue
� Centralisation
� Cyber criminalité
� Espionnage
� Racket mafieux
� Terrorisme d’état
� Programmes malveillants
� Intrusions Mascarades
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Applicatifs et systèmes de transmission
7
Système Autonome
� Production industrielle, …
� Dépendance de l’informatique
� Mobilité accrue
� Centralisation
� Cyber criminalité
� Espionnage
� Racket mafieux
� Terrorisme d’état
� Programmes malveillants
� Intrusions Mascarades
Démarche sécuritéPerformances opérationnelles
(Risques & mesures de couverture de risques / Menaces & parades)
TransparenceTraçabilité
Responsabilité
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Applicatifs et systèmes de transmission
8
Système Autonome
Réseau ferméDonnées
(supprimées ou perdues, retardées ou obsolètes,
déguisées, répétées, ajoutées, re-séquencées,
corrompues).
Réseau ouvertConfidentialité
AuthentificationIntégrité (temporelle ?)
DisponibilitéNon répudiation
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Applicatifs et systèmes de transmission
9
Système Autonome
Réseau ferméDonnées
(supprimées ou perdues, retardées ou obsolètes,
déguisées, répétées, ajoutées, re-séquencées,
corrompues).
Réseau ouvertConfidentialité
AuthentificationIntégrité (temporelle ?)
DisponibilitéNon répudiation
Objectifs FDMSTHR 10-9/h Dispo 10-6
temps rép. < 1 sDébit < 1 Mb
Durée de vie 25 ans
StatistiquesTemps moyen
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Applicatifs et systèmes de transmission
10
Système Autonome
Réseau ferméDonnées
(supprimées ou perdues, retardées ou obsolètes,
déguisées, répétées, ajoutées, re-séquencées,
corrompues).
Réseau ouvertConfidentialité
AuthentificationIntégrité (temporelle ?)
DisponibilitéNon répudiation
Architectures fonctionnelles
robustes (déterminisme, mode commun, défaillance,
erreur humaine…)
Isolation des réseauxChiffrement /Authentification
Multiplication des voiesRedondance équipements
Objectifs FDMSTHR 10-9/h Dispo 10-6
temps rép. < 1 sDébit < 1 Mb
Durée de vie 25 ans
StatistiquesTemps moyen
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Applicatifs et systèmes de transmission
11
Système Autonome
Réseau ferméDonnées
(supprimées ou perdues, retardées ou obsolètes,
déguisées, répétées, ajoutées, re-séquencées,
corrompues).
Réseau ouvertConfidentialité
AuthentificationIntégrité (temporelle ?)
DisponibilitéNon répudiation
Architectures fonctionnelles
robustes (déterminisme, mode commun, défaillance,
erreur humaine…)
Isolation des réseauxChiffrement /Authentification
Multiplication des voiesRedondance équipements
Réseau internetPasserelle de sécurité
ModemCœur de réseau
Pérennité et intégration des technologies (iso
fonctions, interfaces)
Objectifs FDMSTHR 10-9/h Dispo 10-6
temps rép. < 1 sDébit < 1 Mb
Durée de vie 25 ans
Pérennité et intégration des technologies (iso fonctions,
interfaces)
StatistiquesTemps moyen
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Applicatifs et systèmes de transmission
12
Système Autonome
Réseau ferméDonnées
(supprimées ou perdues, retardées ou obsolètes,
déguisées, répétées, ajoutées, re-séquencées,
corrompues).
Réseau ouvertConfidentialité
AuthentificationIntégrité (temporelle ?)
DisponibilitéNon répudiation
Architectures fonctionnelles
robustes (déterminisme, mode commun, défaillance,
erreur humaine…)
Isolation des réseauxChiffrement /Authentification
Multiplication des voiesRedondance équipements
Réseau internetPasserelle de sécurité
ModemCœur de réseau
Pérennité et intégration des technologies (iso
fonctions, interfaces)
Objectifs FDMSTHR 10-9/h Dispo 10-6
temps rép. < 1 sDébit < 1 Mb
Durée de vie 25 ans
Pérennité et intégration des technologies (iso fonctions,
interfaces)
StatistiquesTemps moyen
Normes(EN 50126, EN50128, EN50129, EN 50159)
Normes (ISO 27001-27002, PSSI de
l’ISO 27005, ANSSI,LeClusif, ISO 15408, ANSSI,
CMMI, ISO 90003, ITIL, ISO 20000, RFC, W3C)
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Applicatifs et systèmes de transmission
13
Système Autonome
Réseau ferméDonnées
(supprimées ou perdues, retardées ou obsolètes,
déguisées, répétées, ajoutées, re-séquencées,
corrompues).
Réseau ouvertConfidentialité
AuthentificationIntégrité (temporelle ?)
DisponibilitéNon répudiation
Architectures fonctionnelles
robustes (déterminisme, mode commun, défaillance,
erreur humaine…)
Isolation des réseauxChiffrement /Authentification
Multiplication des voiesRedondance équipements
Réseau internetPasserelle de sécurité
ModemCœur de réseau
Pérennité et intégration des technologies (iso
fonctions, interfaces)
Objectifs FDMSTHR 10-9/h Dispo 10-6
temps rép. < 1 sDébit < 1 Mb
Durée de vie 25 ans
Pérennité et intégration des technologies (iso fonctions,
interfaces)
StatistiquesTemps moyen
Normes(EN 50126, EN50128, EN50129, EN 50159)
Normes (ISO 27001-27002, PSSI de
l’ISO 27005, ANSSI,LeClusif, ISO 15408, ANSSI,
CMMI, ISO 90003, ITIL, ISO 20000, RFC, W3C)
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Applicatifs et systèmes de transmission
14
Système Autonome
Réseau ferméDonnées
(supprimées ou perdues, retardées ou obsolètes,
déguisées, répétées, ajoutées, re-séquencées,
corrompues).
Réseau ouvertConfidentialité
AuthentificationIntégrité (temporelle ?)
DisponibilitéNon répudiation
Architectures fonctionnelles
robustes (déterminisme, mode commun, défaillance,
erreur humaine…)
Isolation des réseauxChiffrement /Authentification
Multiplication des voiesRedondance équipements
Réseau internetPasserelle de sécurité
ModemCœur de réseau
Pérennité et intégration des technologies (iso
fonctions, interfaces)
Objectifs FDMSTHR 10-9/h Dispo 10-6
temps rép. < 1 sDébit < 1Mb
Durée de vie 25 ans
Pérennité et intégration des technologies (iso fonctions,
interfaces)
StatistiquesTemps moyen
Normes(EN 50126, EN50128, EN50129, EN 50159)
Normes (ISO 27001-27002, PSSI de
l’ISO 27005, ANSSI,LeClusif, ISO 15408, ANSSI,
CMMI, ISO 90003, ITIL, ISO 20000, RFC, W3C)
� Meilleure compréhension entre deux mondes hier séparés aujourd’hui en contact et demain hyper connectés
� Partage des points difficiles
� Partage des bonnes pratiques (en particulier, l’apport des méthodes sur quel périmètre)
� Proposition : parcourir ensemble une partie du chemin afin de mieux maîtriser les risques des évolutions technologies des installations critiques et des systèmes d’information à l’aide des méthodes formelles.
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Applicatifs et systèmes de transmission
15
Système Autonome
Réseau ferméDonnées
(supprimées ou perdues, retardées ou obsolètes,
déguisées, répétées, ajoutées, re-séquencées,
corrompues).
Réseau ouvertConfidentialité
AuthentificationIntégrité (temporelle ?)
DisponibilitéNon répudiation
Architectures fonctionnelles
robustes (déterminisme, mode commun, défaillance,
erreur humaine…)
Isolation des réseauxChiffrement /Authentification
Multiplication des voiesRedondance équipements
Réseau internetPasserelle de sécurité
ModemCœur de réseau
Pérennité et intégration des technologies (iso
fonctions, interfaces)
Objectifs FDMSTHR 10-9/h Dispo 10-6
temps rép. < 1 sDébit < 1 Mb
Durée de vie 25 ans
Pérennité et intégration des technologies (iso fonctions,
interfaces)
StatistiquesTemps moyen
Normes(EN 50126, EN50128, EN50129, EN 50159)
Normes (ISO 27001-27002, PSSI de
l’ISO 27005, ANSSI,LeClusif, ISO 15408, ANSSI,
CMMI, ISO 90003, ITIL, ISO 20000, RFC, W3C)
Démarche sécuritéPerformances opérationnelles
(Risques & mesures de couverture de risques / Menaces & parades)
TransparenceTraçabilité
Responsabilité
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Introduction
� Gains et limites de l’approche actuelle
� Fondamentaux de la sûreté de fonctionnement
� Intégration de la Sûreté/Security (Systèmes d’informations) dans la conception des systèmes critiques (Sécurité/Safety)
� Perspectives
16
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Corpus pour la « SAFETY » des systèmes de signalisation et systèmes de
transmission• EN50126 - Applications Ferroviaires : Spécification et démonstration de la fiabilité, de la disponibilité, de la maintenance et de la sécurité (FDMS) – Janvier 2000
• EN50128 - Applications Ferroviaires : Système de Signalisation, de télécommunication et de traitement - Logiciel pour Systèmes de Contrôle et de Protection Ferroviaires – Juillet 2001
• EN50129 - Applications Ferroviaires : Système de Signalisation, de télécommunication et de traitement - Systèmes Electroniques de Sécurité pour la Signalisation – Février 2003
• EN 50159 : Applications ferroviaires : Systèmes de signalisation, télécommunication et de traitement - Communication de sécurité sur des systèmes de transmissions – Aout 2011
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Corpus pour la « SAFETY » des systèmes de signalisation et systèmes de transmission• EN50126 - Applications Ferroviaires : Spécification et démonstration de la fiabilité, de la disponibilité, de la maintenance et de la sécurité (FDMS) –Janvier 2000
• EN50128 - Applications Ferroviaires : Système de Signalisation, de télécommunication et de traitement - Logiciel pour Systèmes de Contrôle et de Protection Ferroviaires – Juillet 2001
• EN50129 - Applications Ferroviaires : Système de Signalisation, de télécommunication et de traitement - Systèmes Electroniques de Sécuritépour la Signalisation – Février 2003
• EN 50159 : Applications ferroviaires : Systèmes de signalisation, télécommunication et de traitement - Communication de sécurité sur des systèmes de transmissions – Aout 2011
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
20/10/2016
19
1.
An
aly
se
Fon
cti
on
nelle
3. A
PR
: A
naly
se
Pré
lim
ina
ire d
es
Ris
qu
es
4.
Descri
pti
on
des
systè
mes
et
des
com
posa
nts
Formaliser :�Les fonctions�Les solutions techniques répondant au besoin
� Définir les architectures techniques� Choisir des éléments de fiabilité reconnue (relais NS1, …)
� Recenser les situations dangereuses� Identifier les risques à caractère technique
Décrire :� Le système et ses composants (avec données fournisseurs, REX,…)� Les conditions de fonctionnement� Identifier les éléments vulnérables
2. ch
oix
te
ch
nolo
giq
ues
5.
iden
tifi
ca
tion d
es
défa
illa
nces
� Sélectionner une méthode (AMDEC, …)� Identifier les défaillances à l’origine des dangers� Analyser les causes et conséquences des défaillances� Évaluer le niveau de gravité
6.
Accepta
tion
du
systè
me
� Acceptation de la sécurité et la mise en état de fonctionnement� Établir un processus de management continu des risques (RSD).
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Fondamentaux• Veille technique et scientifique
• Identification des risques• Mesure de prévention des risques : Prévention vs protection vs suppression du risque (Confinement, système de sauvegarde, …)• Choix d’architecture
� La conception repose sur une approche système intégrant une résilience aux aléas internes ou externes et à des besoins évolutifs
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Dispositions techniques fondées sur les concepts (Architecture / Matériel /
fonctionnel) :
� sécurité intrinsèque (un équipement répond à cette définition si une défaillance de l’un de ses éléments constitutifs ne peut engendrer une situation plus permissive que celle qui aurait existé sans cette défaillance),
� sécurité contrôlée (un équipement répond à cette définition vis-à-vis de certaines pannes dès lors que les conséquences catastrophiques dues à ces pannes sont inhibées par un équipement indépendant qui les détecte et commande un état restrictif),
� sécurité probabiliste (un équipement matériel répond à cette définition si on démontre que la probabilité de défaillance contraire à la sécurité de cet équipement est inférieur à un seuil défini à l’avance et jugé satisfaisant)
� sécurité déterministe (un fonctionnel répond à cette définition dès lors qu’une démonstration mathématique montre pour un contexte donné que quelque soit les combinaisons de l‘environnement extérieur l’ensemble des états accessibles ne peut pas engendrer une situation permissive).
� Nouvelle approche : à définir ?
Atelier 1
Sécurité des systèmes interconnectés
Apports des méthodes formelles
Sécurité et sûreté des installations critiques interconnectées
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Introduction
� Gains et limites de l’approche actuelle
� Fondamentaux de la sûreté de fonctionnement
� Intégration de la Sûreté/Security (Systèmes d’informations) dans la conception des systèmes critiques (Sécurité/Safety)
� Perspectives
22
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Approche actuelle � les applicatifs et le système de transmission : deux sous-systèmes
� Vigilance, Echange, Prise de conscience
� Approche proposée (débat ?)� Le système de transmission non pas à l’extérieur mais à l’intérieur de l’applicatif pour les
analyses de risques
� Réintégration de ce nouveau risque comme tant d’autres ont été gérés
23
Périmètre actuel d’analyse n°1
Périmètre actuel d’analyse n°2
Nouveau Périmètred’analyse
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Approche proposée (débat ?)• Intégrer le sous-système de transmission dans le système
• Considérer le sous-système avec ses fonctions, ses performances FDMS et temporelles ses modes de défaillance, pérennité
• Définir les performances attendues (dont FDMS)
• En mode nominal
• En modes dégradés (dont une menace réalisée)
◦ Concevoir l’architecture du système permet d’y répondre
24
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
25
CONVERGENCE : réduit la possibilité de d’une intrusion efficace
� Les 4 piliers d’ARGUSFonctionnel métier (4)
(cohérence entre the contexte courant et les ordres reçus, architecture et subsidiarité, … graphes de détection anomalies système, détection et résilience automatique, validation formelle / propriétés de sécurité système…)
Organisation and architecture système (1)
(système de management de la sécurité et de la sûreté, compétences, autorisations, confinement des accès, protection physique des accès aux réseaux et installations…)
Télécoms IP et mesures de Mitigation (2) (firewall, Privacy des datas collectées, Intégrité des données collectées, VPN, surveillance des événements, détection des intrusions (IDS), DMZ, segmentation des réseaux…)
Systèmes informatiques Temps Réel ou Temps Immédiat (3)
(système déterministe ou non, choix d’un OS ou d’un MTR, distinction entre machine cible et modèle fonctionnel interprétable...)
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Introduction
� Gains et limites de l’approche actuelle
� Fondamentaux de la sûreté de fonctionnement
� Intégration de la Sûreté/Security (Systèmes d’informations) dans la conception des systèmes critiques (Sécurité/Safety)
� Perspectives
26
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
� Identification de points d’alerte… pour les acteurs métiers : comment appliquer, à nouveau et au bon niveau (système), les fondamentaux de la sûreté de fonctionnement aux évolutions technologiques (choix d’architecture : allocation des risques er des mesures de réductions des risques).
� Seuls l’échange et le dialogue, dans le respect et la bienveillance, entre la safety et security pourront permettre de faire face aux risques.
27
Sécurité des Systèmes Industriels Interconnectés –Approche ferroviaire (20/10/2016)
SNCF Réseau AMMAD Nadia
Safety – Security : Comment travailler ensemble ?
28
SNCF Réseau, France
AMMAD Nadia ([email protected])
Expert scientifique et technique du réseau SNCF - SYNAPSES
Chef de la Division Sûreté de fonctionnement
Département de la signalisation
Direction Ingénierie et Projets
Top Related