Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
OCTOBRE 2009<br />
A ce niveau d’avancement des réflexions, les résultats publiés sont <strong>cert</strong>es intéressants mais encore<br />
difficilement exploitables. L’annexe B, ‘Crosswalk Of Cyber Security Documents’, propose un tableau<br />
de synthèse mettant en regard les exigences issues de différents documents normatifs américains dont<br />
les guides NIST SP800-82 'Guide to Industrial Control Systems (ICS) Security' , NIST SP800-53r3<br />
'Recommended Security Controls for Federal Information Systems', les recommancations NERC CIP ou<br />
encore la norme ANSI ISA 99-2.<br />
Le sommaire de ce rapport de 236 pages est le suivant:<br />
1 Cyber Security Risk Management Framework And Strategy<br />
1.1 Overview<br />
1.2 Cyber Security and the Electric Sector<br />
1.3 Scope, Risks, and Definitions<br />
1.4 Smart Grid Cyber Security Strategy<br />
1.5 Time Line and Deliverables<br />
2 Privacy And The Smart Grid<br />
2.1 High-Level Smart Grid Consumer-to-Utility Privacy Impact Assessment (PIA) Report<br />
2.2 Summary of PIA Findings<br />
2.3 Purpose of a High-Level PIA<br />
2.4 NIST Smart Grid Description<br />
2.5 Privacy Principles and Relationship to the Smart Grid<br />
2.6 Compliance<br />
3 Logical Interface Analysis<br />
3.1 Categorization of the Logical Interfaces<br />
3.2 Impact Levels<br />
3.3 Logical Interface Category Definitions<br />
3.4 Advanced Metering Infrastructure Categorization of Interfaces<br />
3.5 Distributed Grid Management Categorization of Interfaces<br />
3.6 Demand Response Categorization of Interfaces<br />
3.7 I2G Demand Response Categorization of Interfaces<br />
3.8 Electric Storage Categorization of Interfaces<br />
3.9 Electric Transportation Categorization of Interfaces<br />
3.10 Wide-Area Situational Awareness Categorization of Interfaces<br />
3.11 All Interfaces by Category<br />
4 AMI Security Requirements<br />
4.1 AMI Recommended Requirements<br />
DHS-2.8 System and Communication Protection<br />
DHS-2.9 Information and Document Management<br />
DHS-2.10 System Development and Maintenance<br />
DHS-2.12 Incident Response<br />
DHS-2.14 System and Information Integrity<br />
DHS-2.15 Access Control<br />
DHS-2.16 Audit and Accountability 11<br />
Appendix A: Key Power System Use Cases For Security Requirements<br />
Appendix B: Crosswalk Of Cyber Security Documents<br />
Appendix C: NIST CSCTG Vulnerability Classes<br />
Appendix D: Bottom Up Security Analysis Of The Smart Grid<br />
Appendix E: Membership Lists<br />
Appendix F: Acronyms<br />
Hasard de l’actualité mais aussi éclatante démonstration de la criticité de ces infrastructures, le système<br />
de gestion du réseau de distribution électrique opéré en Australie par Integral Energy a été atteint par<br />
un virus. Celui-ci a infecté plus de 1000 systèmes Windows y compris <strong>cert</strong>ains des systèmes des salles de<br />
contrôle a priori et fort heureusement sans grandes conséquences sur la distribution.<br />
POUR PLUS D’INFORMATION<br />
http://csrc.nist.gov/publications/drafts/nistir-7628/draft-nistir-7628.pdf<br />
http://www.upi.com/Energy_Resources/2009/10/02/Computer-virus-in-Australian-power-grid/UPI-65111254514968/<br />
ANSSI – CATALOGUE DES PRODUITS QUALIFIES – MISE A JOUR<br />
La création de l’ANSSI, qui se substitue à la DCSSI, a donné lieu à un profond remaniement du<br />
site WEB, lequel nous apparaît être bien plus accessible. Le catalogue des produits qualifiés est<br />
ainsi désormais présenté sur une unique page rendant sa lecture, et l’identification des nouveaux<br />
produits, plus aisées notamment par la mention désormais systématique du numéro de version<br />
des produits. Notre tableau de synthèse pourrait bien à terme devenir inutile !<br />
<strong>Veille</strong> <strong>Technologique</strong> Sécurité N°135 Page 15/35<br />
© DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique