Cibles potentielles de sabotages humains ou de vers informatiques sophistiqués comme Stuxnet, les systèmes de supervision et de contrôle (SCADA) propres aux infrastructures critiques ou vitales sont concernés par toute doctrine de cyberguerre.
Cette présentation a pour but d’analyser le coût d’opportunité pour un assaillant entre les différents types d’attaques : modes opératoires, dégâts potentiels, traces laissées, ressources nécessaires. Elle propose aussi des méthodes générales de mitigation (facteur humain, prévention, politiques de sécurité, contrôle d’intégrité des codes, double-source, …)
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Franck Franchin
1. Infrastructures Critiques
Cyberguerre: Menaces & Risques
Franck Franchin
Chercheur en Cybersécurité à HEC Lausanne
Directeur de mission à la Direction de la Sécurité Groupe – ORANGE
Application Security Forum
Western Switzerland
27 octobre 2011 - HEIGVD Yverdon-les-Bains
http://appsec-forum.ch
2. Présentation personnelle
Directeur délégué depuis 2002 à la Direction de la Sécurité
Groupe du Groupe France Telecom – Orange
Chercheur en cybersécurité et en résilience des infrastructures
vitales à HEC Lausanne.
Spécialiste depuis 20 ans en architectures sécurisées de
systèmes civils ou militaires et en cybercriminalité
Ingénieur en informatique (SUPELEC), ingénieur en électronique
et traitement du signal (ENSEEIHT) et titulaire d’un MBA (ESCP).
Auteur & Conférencier (sécurité, cybercriminalité, doctrines de
cyberdéfense, entrepreneuriat)
Serial-entrepreneur (dont une société de crypto revendue au
groupe France-Telecom en 2002)
Business Angel
27.10.2011 Application Security Forum - Western Switzerland - 2011 2
3. Agenda
Quelques Définitions
Introduction aux Architectures SCADA
Vulnérabilités intrinsèques et systémiques
Stuxnet
Quels Risques ?
Problématique
Démarche proposée
Q&R
27.10.2011 Application Security Forum - Western Switzerland - 2011 3
30. L’exemple Airbus
Safety (sûreté): Respecter les réglementations, gérer
les pannes (températures, pannes matérielles),
envoyer automatiquement un rapport de panne au
sol en cas d'avarie, et globalement tout ce qui touche
à l'avion en lui-même.
Security (sécurité): Se protéger des actes
malveillants. Les menaces sont diverses, allant des
clandestins (personnes ou bagages), ou encore vis à
vis des attaques depuis le sol (missiles).
Une PKI est déployée sur tous les A380, entre autre
pour signer les logiciels embarqués
27.10.2011 Application Security Forum - Western Switzerland - 2011 30
31. Conclusion
Never Trust Software Vendors
Never Trust Consultants
Make it simple !!!!
27.10.2011 Application Security Forum - Western Switzerland - 2011 31