Veille Technologique SÃ©curitÃ© - cert devoteam

More documents

Recommendations

Info

OCTOBRE 2009 Modèle d’échange d’informations au sein d’une grille intelligente établi par le NIST Le plan de modernisation du réseau américain établi par département de l’énergie – DoE – impose la prise en compte des risques liés à la composante informatique dans l’objectif de garantir la mise en place d’une infrastructure de fourniture d’énergie résiliente. Ces risques, et la stratégie de protection optimale, ont été étudiés par un groupe ad hoc dit ‘Smart Grid Cyber Security Coordination Task Group’ piloté par le NIST et constitué de plus de 200 volontaires provenant des secteurs privés et public, de l’enseignement et de la recherche. Les premiers résultats des travaux de ce groupe viennent d’être publiés dans le rapport IR-7628 ‘Smart Grid Cyber Security Strategy and Requirements’: un modèle d’une grille intelligente a été établi qui met en évidence les acteurs et les flux d’échange d’informations. Quinze catégories ont été définies qui permettent de classifier les composants d’une grille: système back office, système temps réel à forte contrainte, système B2B… Les exigences DIC – Disponibilité, Intégrité et Confidentialité – applicables à ces catégories ont ensuite été spécifiées. Les interfaces logiques entre les différents acteurs sont enfin inventoriées pour les six domaines fonctionnels considérés comme prioritaires: mesures (AMI), gestion (DGM), accès (DR), requêtes (I2G), stockage (ES) et transport (ET). Chacune de ces interfaces peut alors être associée à l’une des quinze catégories. Identification des interfaces de mesure (AMI) Identification des interfaces de gestion (DGM) Veille Technologique Sécurité N°135 Page 14/35 © DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
OCTOBRE 2009 A ce niveau d’avancement des réflexions, les résultats publiés sont certes intéressants mais encore difficilement exploitables. L’annexe B, ‘Crosswalk Of Cyber Security Documents’, propose un tableau de synthèse mettant en regard les exigences issues de différents documents normatifs américains dont les guides NIST SP800-82 'Guide to Industrial Control Systems (ICS) Security' , NIST SP800-53r3 'Recommended Security Controls for Federal Information Systems', les recommancations NERC CIP ou encore la norme ANSI ISA 99-2. Le sommaire de ce rapport de 236 pages est le suivant: 1 Cyber Security Risk Management Framework And Strategy 1.1 Overview 1.2 Cyber Security and the Electric Sector 1.3 Scope, Risks, and Definitions 1.4 Smart Grid Cyber Security Strategy 1.5 Time Line and Deliverables 2 Privacy And The Smart Grid 2.1 High-Level Smart Grid Consumer-to-Utility Privacy Impact Assessment (PIA) Report 2.2 Summary of PIA Findings 2.3 Purpose of a High-Level PIA 2.4 NIST Smart Grid Description 2.5 Privacy Principles and Relationship to the Smart Grid 2.6 Compliance 3 Logical Interface Analysis 3.1 Categorization of the Logical Interfaces 3.2 Impact Levels 3.3 Logical Interface Category Definitions 3.4 Advanced Metering Infrastructure Categorization of Interfaces 3.5 Distributed Grid Management Categorization of Interfaces 3.6 Demand Response Categorization of Interfaces 3.7 I2G Demand Response Categorization of Interfaces 3.8 Electric Storage Categorization of Interfaces 3.9 Electric Transportation Categorization of Interfaces 3.10 Wide-Area Situational Awareness Categorization of Interfaces 3.11 All Interfaces by Category 4 AMI Security Requirements 4.1 AMI Recommended Requirements DHS-2.8 System and Communication Protection DHS-2.9 Information and Document Management DHS-2.10 System Development and Maintenance DHS-2.12 Incident Response DHS-2.14 System and Information Integrity DHS-2.15 Access Control DHS-2.16 Audit and Accountability 11 Appendix A: Key Power System Use Cases For Security Requirements Appendix B: Crosswalk Of Cyber Security Documents Appendix C: NIST CSCTG Vulnerability Classes Appendix D: Bottom Up Security Analysis Of The Smart Grid Appendix E: Membership Lists Appendix F: Acronyms Hasard de l’actualité mais aussi éclatante démonstration de la criticité de ces infrastructures, le système de gestion du réseau de distribution électrique opéré en Australie par Integral Energy a été atteint par un virus. Celui-ci a infecté plus de 1000 systèmes Windows y compris certains des systèmes des salles de contrôle a priori et fort heureusement sans grandes conséquences sur la distribution. POUR PLUS D’INFORMATION http://csrc.nist.gov/publications/drafts/nistir-7628/draft-nistir-7628.pdf http://www.upi.com/Energy_Resources/2009/10/02/Computer-virus-in-Australian-power-grid/UPI-65111254514968/ ANSSI – CATALOGUE DES PRODUITS QUALIFIES – MISE A JOUR La création de l’ANSSI, qui se substitue à la DCSSI, a donné lieu à un profond remaniement du site WEB, lequel nous apparaît être bien plus accessible. Le catalogue des produits qualifiés est ainsi désormais présenté sur une unique page rendant sa lecture, et l’identification des nouveaux produits, plus aisées notamment par la mention désormais systématique du numéro de version des produits. Notre tableau de synthèse pourrait bien à terme devenir inutile ! Veille Technologique Sécurité N°135 Page 15/35 © DEVOTEAM - Tous droits réservés Diffusion restreinte aux clients abonnés au service de veille technologique
Page 1: Veille Technologique Sécurité Rap
Page 5 and 6: OCTOBRE 2009 Le mot du rédacteur L
Page 7 and 8: OCTOBRE 2009 Le sommaire de ce rapp
Page 9 and 10: OCTOBRE 2009 supports amovibles, DL
Page 11 and 12: OCTOBRE 2009 Avec ce numéro s’ac
Page 13 and 14: T OCTOBRE 2009 futurs - EFR - par l
Page 15 and 16: OCTOBRE 2009 METHODOLOGIES ET STAND
Page 17: OCTOBRE 2009 insistant toutefois su
Page 21 and 22: OCTOBRE 2009 Smart Quantum SQDefend
Page 23 and 24: OCTOBRE 2009 - classe D réservée
Page 25 and 26: OCTOBRE 2009 - DPA Contest 2008 - 2
Page 27 and 28: OCTOBRE 2009 codes obscurcis. Les a
Page 29 and 30: OCTOBRE 2009 SP800-68r1 Guidance fo
Page 31 and 32: OCTOBRE 2009 RAY 4 1.1.1 17/04/09 1
Page 33 and 34: OCTOBRE 2009 IETF - LES NOUVEAUX DR

Veille Technologique SÃ©curitÃ© - cert devoteam

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?