Loading...
Reload document 
Open in new tab
- Titre : Guide_pour_une_formation_sur_la_cybers%C3%A9curit%C3%A9_des_syst%C3%A8mes_industriels.pdf
- Submitted by : Anonymous
- Description : - Cybersécurité des systèmes industriels – formation - Version Date Critère de diffusion Page 1.0 01/02/2015 public 5/36 2 Présentation générale 2.1 Objet du document Ce document a pour objectif de définir des exigences pour les organismes souhaitant délivrer une
Transcription
Février 2015
Guide pour une formation
sur la cybersécurité des systèmes industriels
DATE
VERSION
EVOLUTION DU DOCUMENT
REDACTEUR
HISTORIQUE DES VERSIONS
01/02/2015
1.0
Première version applicable.
ANSSI
Version
1.0
Date
01/02/2015
Critère de diffusion
public
Page
2/36
– Cybersécurité des systèmes industriels – formation –
Sommaire
Introduction
Présentation générale
Objet du document
Structure du document
Identification du document
3
Description de la formation
Objectifs de la formation
Public visé
Niveau visé
Durée de la formation
3.5 Méthodes pédagogiques
Connaissances préalables
Profil des formateurs
2.1
2.2
2.3
3.1
3.2
3.3
3.4
3.6
3.7
4
Contenu pédagogique de la formation
4.1
Organisation en modules
4.2 Modules de mise à niveau
4.2.1 Module 1a pour le profil automaticien
4.2.2 Module 1b pour le profil informaticien
4.3 Module principal
4.4 Module complémentaire
5
Évaluation des stagiaires
5.1
5.2
Au début de la formation
A l’issue de la formation
6
Évaluation de la formation
Annexe 1 : Fiche de formation cybersécurité des systèmes industriels
Annexe 2 : Connaissances préalables
Annexe 3 : Questionnaire d’évaluation des stagiaires
Annexe 4 : Formulaire d’évaluation de la formation
Annexe 5 : Définitions et acronymes
Annexe 6 : Références bibliographiques
1
2
Version
1.0
Date
01/02/2015
Critère de diffusion
public
Page
3/36
– Cybersécurité des systèmes industriels – formation –
4
5
5
5
5
6
6
6
6
6
7
7
7
8
8
8
8
10
11
13
14
14
14
15
16
18
21
30
32
34
Introduction
1
De nouvelles actions sur les formations en cybersécurité ont été lancées par l’agence nationale de la
sécurité des systèmes d’information (ANSSI) suite à la publication en 2013 du nouveau livre blanc sur
la défense et la sécurité nationale. Celui-ci indique « qu’il importe également d’accroître le volume
d’experts formés en France et de veiller à ce que la sécurité informatique soit intégrée à toutes les
formations supérieures en informatique ». Ceci s’applique en particulier au domaine des systèmes
industriels et leur sécurité.
Le groupe de travail sur la cybersécurité des systèmes industriels piloté par l’ANSSI, a publié deux
guides en janvier 20141 contenant des mesures visant à renforcer la cybersécurité des systèmes
industriels. Parmi ces mesures, la formation à la cybersécurité occupe une place importante. Le groupe
de travail a donc établi ce document dédié à la formation des intervenants sur les systèmes industriels.
Les publications de l’ANSSI sont diffusées sur son site Internet : http://www.ssi.gouv.fr/publications/
Toute remarque sur ce document peut être adressée à : systemes_industriels@ssi.gouv.fr
1
La cybersécurité des systèmes industriels – Méthodes de classification et mesures principales » [CSI_MESURES_PRINCIPALES] et
« La cybersécurité des systèmes industriels – Mesures détaillées » [CSI_MESURES_DETAILLEES]
– Cybersécurité des systèmes industriels – formation –
Date
01/02/2015
Critère de diffusion
public
Page
4/36
Version
1.0
2 Présentation générale
2.1 Objet du document
Ce document a pour objectif de définir des exigences pour les organismes souhaitant délivrer une
formation relative à la cybersécurité des systèmes industriels.
2.2 Structure du document
Ce document définit d’abord les modalités d’ordre général de la formation (cf. chapitres 2) ainsi que les
exigences pour les formateurs (cf. chapitre 3).
Il définit ensuite les sujets que doit traiter la formation. Ceux-ci sont organisés en quatre modules (cf.
chapitre 4 :
deux modules de mise à niveau ;
un module obligatoire ;
un module optionnel.
Les connaissances préalables, utiles pour les stagiaires qui souhaitent suivre la formation, sont
précisées en annexe 2.
2.3 Identification du document
Le présent document est dénommé « Guide pour une formation à la cybersécurité des systèmes
industriels ». Il peut être identifié par son nom, numéro de version et sa date de mise à jour.
Version
1.0
Date
01/02/2015
Critère de diffusion
public
Page
5/36
– Cybersécurité des systèmes industriels – formation –
3 Description de la formation
3.1 Objectifs de la formation
L’objectif de la formation est de permettre aux stagiaires :
de comprendre les enjeux liés à la cybersécurité des systèmes industriels et les particularités de
ce domaine ;
d’avoir les éléments de base d’identification des points faibles de ces systèmes ainsi que des
recommandations et une méthodologie de renforcement du niveau de cybersécurité de systèmes
existants ;
de comprendre les points clés à examiner lors de la conception de systèmes industriels.
3.2 Public visé
Le public visé est constitué de personnes en charge de la conception, du développement, de
l’intégration, de l’exploitation ou de la maintenance de systèmes industriels (maîtrise d’ouvrage,
maîtrise d’oeuvre, exploitants, intégrateurs, etc.).
La formation s’adresse aussi aux personnes susceptibles de réaliser des audits ou d’accompagner des
clients dans leurs projets de renforcement de la cybersécurité des systèmes industriels.
Ce public se répartit en deux profils :
Le profil « automaticien » : personne ayant un bagage technique dans le domaine de
l’automatisme et des systèmes industriels ;
Le profil « informaticien » : personne ayant un bagage technique dans le domaine informatique
et tout particulièrement la sécurité des systèmes d’information (SSI).
3.3 Niveau visé
La formation permettra à un public d’automaticiens et d’informaticiens d’acquérir les bases de la
cybersécurité des systèmes industriels ainsi qu’un vocabulaire commun leur permettant ensuite de
travailler ensemble sur des projets relatifs à la cybersécurité d’installations industrielles.
La formation n’a pas comme vocation de faire des stagiaires des experts de ce domaine.
3.4 Durée de la formation
Les organismes de formation peuvent adapter la durée de la formation à leur besoin mais elle sera au
minimum de 2,5 jours. Le chapitre 4 donne le détail du contenu pédagogique pour chaque journée, la
dernière journée étant optionnelle et reste à la discrétion de l’organisme de formation.
Version
1.0
Date
01/02/2015
Critère de diffusion
public
Page
6/36
– Cybersécurité des systèmes industriels – formation –
3.5 Méthodes pédagogiques
La formation devra comprendre des cours théoriques, des exercices et des travaux pratiques. Sans
préciser outre mesure la part occupée dans la formation par ces trois activités, il doit être clair que pour
atteindre les objectifs cités précédement, l’activité dominante consistera en travaux pratiques et
exercices. La théorie doit servir à les éclairer. Les exercices doivent servir à montrer comment la
théorie permet la compréhension de situations diverses et non encore examinées en travaux pratiques.
Les travaux pratiques devront être mis en œuvre sur une plateforme simplifiée mais représentative d’un
système industriel réel.
3.6 Connaissances préalables
Afin de pouvoir suivre la formation, il est souhaitable que les stagiaires aient les connaissances
préalables figurant à l’annexe 2.
L’organisme de formation peut proposer des modules portant sur les connaissances préalables au profit
des stagiaires qui le souhaiteraient mais les modalités relatives à ces modules n’entrent pas dans le
périmètre de ce document.
3.7 Profil des formateurs
Les formateurs devront justifier d’une expérience pratique de 3 à 5 ans dans le domaine de la
cybersécurité des systèmes industriels, par exemple en ayant été en charge de l’exploitation
d’installations. A défaut, la présence de deux formateurs au moins, l’un expérimenté en sécurité des
systèmes d’information, l’autre en systèmes industriels, est nécessaire. Leur expérience doit être d’au
moins 3 ans dans leur domaine respectif. Il est recommandé à l’organisme de formation de porter
l’expérience et les compétences des formateurs à la connaissance des stagiaires.
Version
1.0
Date
01/02/2015
Critère de diffusion
public
Page
7/36
– Cybersécurité des systèmes industriels – formation –
4 Contenu pédagogique de la formation
4.1 Organisation en modules
La formation est organisée en quatre modules :
Module 1a : mise à niveau à destination des automaticiens (½ à 1 journée)
Module 1b : mise à niveau à destination des informaticiens (½ à 1 journée)
Module 2 : module principal (2 journées)
Module 3 : module complémentaire (optionnel)
Les stagiaires étant répartis en deux groupes suivant leur profil, la première demi-journée a pour
objectif de donner aux automaticiens le vocabulaire et les notions nécessaires en matière de
cybersécurité tels qu’ils sont connus par les informaticiens et, de même, de donner aux informaticiens
les notions de bases sur l’automatisme et les systèmes de contrôle des procédés industriels.
La suite de la formation doit être consacrée à la cybersécurité des systèmes industriels, les stagiaires
étant réunis en un seul groupe.
Le module complémentaire est optionnel et pourra être consacré à une étude de cas complète.
4.2 Modules de mise à niveau
4.2.1
Module 1a pour le profil automaticien
L’objectif essentiel de ce module est de donner les concepts principaux de la sécurité des systèmes
d’information (SSI) à un public d’automaticiens. Pour cela, les éléments suivants doivent être présentés
dans un but précis spécifié sous chaque élément :
Définitions de la cybersécurité/SSI et principaux concepts :
o Connaître l’objet de la sécurité dans les systèmes d’information et ses piliers : la
disponibilité, l’intégrité, la confidentialité, l’authentification, la traçabilité, l’auditabilité,
la non répudiation, etc.
Enjeux de la cybersécurité/SSI ;
Catégories d’attaques (DDOS, Advanced Persistent Threat (APT), Vers, MITM, spoofing,
ingénierie sociale, détournement de sessions, etc.) et modes opératoires ;
Exemples d’attaques ;
Grands principes de déploiement d’un projet cybersécurité (analyse de risque, DEP, PSSI, etc.) :
o Connaître les grands principes à prendre en compte pendant les différentes phases d’un
projet : phase de spécification, phase de conception, phase d’intégration, phase de test, et
processus de transfert en exploitation.
Bonnes pratiques :
o Connaître les bonnes pratiques décrites par exemple dans le « Guide d’hygiène
informatique » [GUIDE_HYGIENE] publié par l’ANSSI : la formation devra présenter
ces bonnes pratiques en détaillant leurs objectifs et les moyens de les réaliser.
Panorama des normes et standards :
Version
1.0
Date
01/02/2015
Critère de diffusion
public
Page
8/36
– Cybersécurité des systèmes industriels – formation –