Sécurité du contrôle de processus : rôle de l'Etat

1. Sécurité du contrôle de processus : rôle de l'Etat • Deux remarques : • on ne part pas de rien • La SSI de l'informatique générale • Ses adaptations aux systèmes de contrôle de processus, ISA SP99 par ex • Efforts de certains utilisateurs et fournisseurs • Qui dit sécurité dit nécessité de confiance • deux points d'ancrage : • Les règlementations existantes (ICPE, nucléaire, HSCT ...)‏ • les infrastructures vitales

2. Ce que l'Etat sait faire (seul ou avec d'autres): • Règlementer • Orienter la recherche • Mettre en relations • Susciter, encourager les initiatives • Incitations diverses (dont financières), sensibilisations, guides de bonnes pratiques... • orienter/encourager les formations, en dispenser • Fourniture d'expertise (normalisation par exemple)‏ • Fourniture de certains services • Prêcher d'exemple • Il n'est pas un acheteur important dans ce domaine

3. Suède • SEMA (Swedish emergency management agency) launched the information-sharing forum, FIDI-SC • Projet « d'une initiative publique pour la sécurité du C2 » : améliorer les capacités nationales de prévention et de réaction http://www.krisberedskapsmyndigheten.se/upload/3040/handlingsplan_informationssakerhet_eng2008.pdf • Guide to increased security in process control systems (2008)

4. Pays bas • Organisation très élaborée pour les infrastructures vitales • Security good practices for the drinking water sector élaborées par TNO à la demande de l'administrationhttp://www.samentegencybercrime.nl/UserFiles/File/TNO-DV%202008%20C096_web.pdf • SOVI (Commission stratégique nationale publique/privée pour les infrastructures vitales) anime des échanges d'information sur les bonnes pratiques.

5. Royaume uni : CPNI • Échanges d'information (forum SCSIE d'où est issu Euro-SCSIE)‏ • Bonnes pratiqueshttp://www.cpni.gov.uk/ProtectingYourAssets/scada.aspx • auto-évaluation • Sensibilisation des patrons des grands groupes

6. États unis (1)‏ • Réglementation : • NERC Standards CIP-002 à CIP-009http://www.nerc.com/files/Reliability_Standards_Complete_Set_2009April27.pdf • Projet de loi :http://homeland.house.gov/SiteDocuments/20090430125036-36251.pdf • Road map to secure control systems in the energy sector • Formation : • Cours en lignehttp://www.us-cert.gov/control_systems/cstraining.html#cyber • Cours de l'Idaho National Laboratory (INL)‏

7. États unis (2)‏ • Expertise, bonnes pratiques : • Normes NIST • INL • Catalogue de recommandations pour les développeurs de systèmes de contrôlehttp://www.us-cert.gov/control_systems/pdf/Catalog_of_Control_Systems_Security_Recommendations.pdf • SCADA and Control Systems Procurement Project (procurement language)‏

8. Approches variées selon les pays • Culture • Moyens • Environnement local (par ex l'électricité aux US)‏

9. Points communs • Importante documentation disponible, souvent avec des redites • Sensibilisation : les US manient le bâton (IV/énergie) ; les autres pays pratiquent plutôt la persuasion douce • Peu d'expertise sur ces questions spécifiques • Besoins d'échanges d'informations : pb pour avoir des personnes à la fois compétentes et qui ont (un certain) pouvoir de décision • Besoins de formation (et de formateurs?)‏ • Cloisonnement informatique générale/contrôle de processus

10. France : enseignements du passé (SSI)‏ • Règlementer (principalement pour l'administration elle-même)‏ • Fourniture de services et d'expertise (certification), de formations • Normalisation • Sensibilisations, guides de bonnes pratiques (EBIOS...)‏ • Incitations diverses : orientation et financement de la recherche • Lien classifié/non classifié • Prêcher d'exemple : ?

11. France : contrôle de processus • Réglementation : utiliser l'existant : • ICPE, nucléaire, HSCT... • Secteurs d'activité d'importance vitale • Sensibilisation : grands groupes, PME • Échanges d'information • Formaliser • Formation • Expertise ?

12. Votre avis svp