Professional Documents
Culture Documents
mars 2016
VERSION
1.0
10/03/2016
EVOLUTION DU DOCUMENT
REDACTEUR
ANSSI
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
2/21
SOMMAIRE
I.
INTRODUCTION ............................................................................................................................4
II.
III.
IV.
ANNEXE 1
ANNEXE 2
DEFINITIONS ET ACRONYMES................................................................................ 17
ANNEXE 3
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
3/21
I.
Introduction
Les systmes industriels sont omniprsents dans notre quotidien, que ce soit en termes dinfrastructures
critiques ou non. Leur cyberscurit est une proccupation majeure prise en compte au plus haut niveau
des Etats. Afin den renforcer le niveau, il est important de pouvoir sappuyer sur des prestataires de
confiance dun point de vue de la cyberscurit, impliqus tout au long du cycle de vie des systmes
industriels.
Le groupe de travail sur la cyberscurit des systmes industriels (GT CSI) pilot par lANSSI a identifi
les prestataires dintgration et de maintenance de systmes industriels comme famille de prestataires
stratgiques. Ils interviennent en effet tout au long du cycle de vie des systmes industriels et de ce fait il
est important quils prennent en compte la cyberscurit dans leurs activits.
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
4/21
II.
Prsentation gnrale
II.1.
Objet du document
Ce document constitue les exigences en matire de cyberscurit pour les prestataires dintgration et de
maintenance de systmes industriels.
Les mesures prises pour rfrence ltablissement des exigences du prsent document sont celles
dfinies pour les systmes de classe 2 dans les guides intituls la cyberscurit des systmes industriels,
Mthode de classification et mesures principales [CSI_MESURES_PRINCIPALES] et mesures dtailles
[CSI_MESURES_DETAILLEES].
Une partie des mesures de ces guides concernent effectivement directement ou indirectement les
prestataires dintgration et de maintenance.
Les exigences portent sur le prestataire lui-mme, ses intervenants, son systme dinformation ainsi que
sur le droulement des interventions.
Ce document constitue galement une aide pour les commanditaires qui voudront intgrer dans leur
cahier des charges des clauses de cyberscurit issues des exigences du prsent document. Ils pourront
demander leurs prestataires dtre conformes ce rfrentiel dexigences.
Enfin, ce document pourra voluer pour devenir un rfrentiel dexigence pour la qualification des
prestataires dintgration et de maintenance.
II.2.
Structure du document
Le document dfinit dabord les activits exerces par les prestataires dintgration et de maintenance
(chapitre 3) puis les exigences que ces derniers doivent mettre en uvre (chapitre4).
Les dfinitions et acronymes figurent en annexe.
II.3.
Identification du document
Le prsent document est dnomm Exigences de cyberscurit pour les prestataires dintgration et de
maintenance de systmes industriels. Il peut tre identifi par son nom, numro de version et sa date de
mise jour.
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
5/21
III.
Ce chapitre prsente les diffrentes activits, que ralisent les prestataires d'intgration et de maintenance
traites dans le prsent document et dont les exigences spcifiques associes sont dcrites au chapitre IV
ainsi que les domaines sur lesquels elles s'emploient.
Sans mention particulire, les exigences sappliquent toutes les activits vises par le rfrentiel.
Ces activits portent sur les types de systmes suivants, regroups sous le terme gnrique de systmes
industriels :
-
les systmes de Gestion Technique de Btiments (GTB) ou Building Management Systems (BMS) ;
Ces systmes sont mis en uvre dans divers secteurs dactivit1 comme lnergie, le transport, la gestion
de leau, lagroalimentaire, la dfense, laronautique, lautomobile, etc.
Les activits vises par le document couvrent le cycle de vie des types de systmes cits prcdemment.
La dfinition des activits peut tre trs variable suivant les interlocuteurs. L'objectif ici, n'est pas de
proposer une dfinition formelle ou normalise des diffrentes activits mais de fixer une dfinition pour
ce document.
Les consquences de labsence de prise en compte de la cyberscurit sont diffrentes suivants les
activits. Pour certaines, comme la maintenance, les consquences peuvent tre immdiates alors que
pour dautres, comme les spcifications, elles seront indirectes et plus longue chance.
Lannexe A du guide [CSI_MAITRISER_LA_SSI] fournit des vulnrabilits frquemment rencontres et
le guide [CSI_CAS_PRATIQUE] les complte en proposant des illustrations.
De mme le guide [CSI_MESURES_DETAILLEES] liste un ensemble de vulnrabilits et rappelle les
contraintes lies aux systmes industriels.
III.1. Spcification
La spcification du systme est ralise par le Matre duvre (MOE), le commanditaire, ou lAssistance
la Matrise douvrage dlgue (AMOD ou AMOAD) qui peut tre un prestataire de service
dintgration et de maintenance.
Cette phase de spcification doit tre prcde par une tude (tude pralable), qui dcrit l'existant, les
attentes et exigences gnrales exprimes par le commanditaire (maitrise douvrage, MOA) qui peut se
faire aider (assistance maitrise douvrage, AMO ou AMOA). Cette tude du besoin et de lobjectif du
systme construire est formalise dans un document appel Cahier des Charges (CdC) ou Cahier des
Clauses Techniques Particulires (CCTP).
La spcification fonctionnelle est :
-
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
6/21
la description dans le dtail de la faon dont les exigences seront prises en compte ;
les spcifications fonctionnelles gnrales (SFG) : prcisent les fonctionnalits gnrales attendues du
systme;
III.2. Conception
Ensemble des tudes menant la dfinition organique puis technique du systme industriel dvelopper
afin de satisfaire aux spcifications du commanditaire. La conception conduit la formalisation des
fonctions et de larchitecture du systme dans le dossier de conception.
Conception de larchitecture : dsigne la structure gnrale inhrente un systme, l'organisation des
diffrents lments du systme (logiciels et/ou matriels et/ou humains et/ou informations) et des
relations entre les lments. Cette structure fait suite un ensemble de dcisions stratgiques prises durant
la conception de tout ou partie du systme.
III.3. Dveloppement
Ensemble des prestations menant la ralisation dun systme industriel ou un sous-ensemble de systme
industriel. Ces tudes et processus incluent notamment :
-
III.4. Intgration
Ensemble des activits de dfinition, dassemblage (de matriels, logiciels, progiciels) et dveloppements
permettant, partir dun ensemble de produits / solutions, de raliser un systme pour un commanditaire
rpondant au besoin fonctionnel quil a exprim.
Cette activit comprend :
-
la ralisation des tests unitaires et des tests plateformes ou Factory Acceptance Test (FAT).
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
7/21
la validation de lensemble des fonctions dfinies dans lAF lors de tests appels tests sur site ou Site
Acceptance Tests (SAT) ;
le dmarrage de linstallation.
III.7. Maintenance
Ensemble des processus et activits mis en uvre afin de maintenir (maintenance prventive ou
prdictive et corrective), de rtablir (maintenance curative) un systme industriel dans un tat spcifi afin
que celui-ci soit en mesure d'assurer un service dtermin, conforme aux besoins exprims par le
commanditaire.
Ces prestations comprennent par exemple :
-
les interventions curatives (appeles parfois de premier niveau) : remplacement des quipements en
panne, redmarrage des applications, etc. ;
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
8/21
IV.
IV.1.2. Ethique
a) Le prestataire doit disposer dune charte dthique que lensemble de ses intervenants doit signer.
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
9/21
b) Dans le cas o le prestataire intervient comme expert technique pour le compte dun autre prestataire,
il devra respecter les rgles de dontologie et en particulier garantir son impartialit. Sauf cas
exceptionnel o le prestataire est le seul comptent dans un domaine, il ne pourra pas tre expert pour
un systme qu'il a lui-mme intgr ou pour lequel il dispose d'un contrat (contrat de maintenance par
exemple).
IV.2.2. Documentation
a) Le prestataire doit sassurer que les informations relatives ses activits avec le commanditaire sont
traites avec un niveau de confidentialit suffisant. En l'absence d'exigences particulires du
commanditaire, l'ensemble des documents relatifs la conception, la configuration ou au
fonctionnement du systme industriel doivent tre considrs de niveau Diffusion Restreinte . Il
devra sappuyer de l'instruction sur le sensible [II_901] pour la mise en uvre des mesures.
b) Le prestataire doit tre en mesure de dtruire tout ou partie des informations relatives au projet sur
simple demande crite du commanditaire. Le prestataire doit tre en mesure dapporter la preuve de la
destruction de ces informations. Pour les informations sensibles le prestataire doit se rfrer aux
instructions figurant dans [II_901].
Lhabilitation est un acte formel par lequel le prestataire dclare quun intervenant est comptant sur son domaine
dhabilitation.
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
10/21
cela, il doit mettre en uvre un processus de formation des intervenants ses outils et assurer une
veille technologique sur les mises jour, la pertinence de ces outils ainsi que les risques ventuels lis
leur utilisation.
b) Le prestataire doit disposer des licences valides des outils (logiciels ou matriels) utiliss pour la
ralisation de la prestation ;
c) les intervenants ne recourent quaux mthodes et outils valids par le prestataire.
Remarque : cela signifie de prendre en compte les outils et mthodes ncessaires pour les situations
d'intervention lors de rponse aux incidents et autres modes d'urgence.
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
11/21
IV.2.6. Veille
a) Le prestataire doit dployer un processus de veille sur les menaces et vulnrabilits sur les produits et
technologies mises en uvre sur les systmes quil a dploys. Il pourra sappuyer sur les
informations publies par les CSIRT tatiques ou privs ainsi que les sites web des quipementiers.
b) Le prestataire doit mettre en uvre un processus de veille sur l'volution des moyens techniques pour
renforcer le niveau de cyberscurit des systmes industriels.
N'est concerne par ces mesures que la partie du SI du prestataire ncessaire ses activits d'intgration et
de maintenance pour lesquelles il est qualifi.
Le systme de facturation, par exemple, pourrait tre exclu du primtre. En revanche, le systme de
gestion documentaire, contenant les tudes, les documents des commanditaires sera inclus au primtre,
de mme que les ateliers d'intgration, plateformes de dveloppement et de tests.
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
12/21
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
13/21
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
14/21
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
15/21
Document
[LPM]
[LOI_IL]
[II_901]
Normes et documents
Renvoi
Document
[CSI_MESURES_PRINC
Cyberscurit des systmes industriels, Mthode de classification et mesures
IPALES]
[CSI_MESURES_DETA
Cyberscurit des systmes industriels, Mesures dtailles, , disponible sur
ILLEES]
http://www.ssi.gouv.fr/systemesindustriels
[CSI_MAITRISER_LA_
Cyberscurit des systmes industriels, Maitriser la SSI pour les systmes
SSI]
[CSI_CAS_PRATIQUE]
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
16/21
AMOA
AMOE
AMOAD
AO
Analyse Organique
AF
Analyse Fonctionnement
BMS
CCTP
CdC
CSI
CSIRT
FAT
GTB
ICS
LPM
MCO
MCS
MOA
Maitrise dOuvrage
MOE
Maitrise duvre
PCA
PAS
PLC
SACOPI
SAT
SCADA
SFD
SFG
VPN
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
17/21
Dfinitions :
Le guide intitul La cyberscurit des systmes industriels, Mthode de classification et mesures
principales [CSI_MESURES_PRINCIPALES] fournit un ensemble de dfinitions complmentaires aux
termes utiliss dans ce rfrentiel.
Analyse fonctionnelle - analyse, formalise dans un document, dcrivant les fonctionnalits du systme
afin de rpondre aux besoins exprims par le client.
Analyse organique - analyse, formalise dans un document, utilise en ingnierie dautomatisme et
dinformatique industrielle, dcrivant de manire dtaille les lments (composants physiques et
logiques) mis en uvre pour rpondre aux fonctionnalits identifies dans lanalyse fonctionnelle.
Commanditaire - entit faisant appel au service des prestataires dintgration et de maintenance de
systmes industriels.
Dveloppement scuris - dveloppement ralis laide de mthodes, rgles, outillages et comptences
humaines spcifiques dans le but de fournir un programme scuris.
tat de lart - ensemble des bonnes pratiques, des technologies et des documents de rfrence relatifs
la scurit des systmes dinformation publiquement accessibles un instant donn, et des informations
qui en dcoulent de manire vidente. Ces documents peuvent tre mis en ligne sur Internet par la
communaut de la scurit des systmes dinformation, diffuss par des organismes de rfrence ou
encore dorigine rglementaire.
Intervenant - employ ou sous-traitant dun prestataire ralisant une mission pour celui-ci.
Maintenance - ensemble des activits de type curative, prventive, corrective et volutive permettant le
maintien en condition oprationnelle (MCO) et maintien en condition de scurit (MCS) dun systme.
Politique intentions et dispositions gnrales formellement exprimes par la direction dune entit.
Prestataire organisme proposant une offre de services.
Prestataire dintgration/maintenance - organisme ralisant des prestations dintgration/maintenance
de systmes industriels et/ou des prestations dintgration/maintenance de composants matriels/logiciels
destination des systmes industriels.
Spcification - ensemble explicite d'exigences satisfaire pour un produit ou un service.
Test unitaire - procdure permettant de vrifier le bon fonctionnement d'une partie prcise d'un systme
(un de ses composants ou sous-ensemble). Les rsultats des tests sont consigns dans un dossier de tests.
Tiers personne ou organisme reconnu(e) comme indpendant(e) du prestataire.
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
18/21
charte d'thique :
rapport d'intervention ;
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
19/21
Ce guide a t ralis par lAgence nationale de la scurit des systmes dinformation (ANSSI) avec
le concours des socits et organismes suivants :
Actemium,
Assystem,
Atos Worldgrid,
Cofely Ino,
DCNS,
DGA Matrise de linformation,
Euro system,
Grard Perrier Industrie,
RATP,
Schneider Electric,
Siemens,
Spie,
Euriware,
Total.
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
20/21
propos de lANSSI
LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le
7 juillet 2009 sous la forme dun service comptence nationale.
En vertu du dcret n 2009-834 du 7 juillet 2009 modifi par le dcret n 2011-170
du 11 fvrier 2011, lagence assure la mission dautorit nationale en matire de
dfense et de scurit des systmes dinformation. Elle est rattache au Secrtaire
gnral de la dfense et de la scurit nationale, sous lautorit du Premier ministre.
Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur www.ssi.gouv.fr.