Exigences de cybersécurité pour les prestataires d’intégration et de maintenanc

Exigences de cybersécurité pour les prestataires d’intégration et de maintenance de systèmes industriels mars 2016 Cybersécurité des systèmes industriels – Exigences pour les prestataires d’intégration et de maintenance de systèmes industriels Version Date Critère de diffusion Page 1.0 10/03/2016 PUBLIC 2/21 HISTORIQUE DES VERSIONS DATE VERSION EVOLUTION DU DOCUMENT REDACTEUR 10/03/2016 1.0 Première version applicable ANSSI Cybersécurité des systèmes industriels – Exigences pour les prestataires d’intégration et de maintenance de systèmes industriels Version Date Critère de diffusion Page 1.0 10/03/2016 PUBLIC 3/21 SOMMAIRE I. INTRODUCTION ............................................................................................................................4 II. PRESENTATION GENERALE ......................................................................................................5 II.1. Objet du document .................................................................................................................... 5 II.2. Structure du document .............................................................................................................. 5 II.3. Identification du document ........................................................................................................ 5 III. ACTIVITES DES PRESTATAIRES D’INTEGRATION ET DE MAINTENANCE ..........................6 III.1. Spécification .............................................................................................................................. 6 III.2. Conception ................................................................................................................................ 7 III.3. Développement ......................................................................................................................... 7 III.4. Intégration ................................................................................................................................. 7 III.5. Mise en service ......................................................................................................................... 7 III.6. Test / qualification / recette /livraison ........................................................................................ 8 III.7. Maintenance .............................................................................................................................. 8 IV. EXIGENCES RELATIVES AU PRESTATAIRE D'INTEGRATION ET DE MAINTENANCE .......9 IV.1. Exigences générales ................................................................................................................. 9 IV.1.1. Organisation et contrat ........................................................................................................................................ 9 IV.1.2. Ethique ................................................................................................................................................................ 9 IV.1.3. Propriété intellectuelle ....................................................................................................................................... 10 IV.2. Exigences particulières liées aux activités du prestataire .......................................................10 IV.2.1. Compétence des intervenants ........................................................................................................................... 10 IV.2.2. Documentation .................................................................................................................................................. 10 IV.2.3. Méthodes et outils ............................................................................................................................................. 10 IV.2.4. Développement /intégration ............................................................................................................................... 11 IV.2.5. Traçabilité et livraison ........................................................................................................................................ 12 IV.2.6. Veille ................................................................................................................................................................. 12 IV.3. Protection du système d’information du prestataire d'intégration et de maintenance ............12 IV.3.1. Exigences générales ......................................................................................................................................... 12 IV.3.2. Exigences relatives aux outils et à l'environnement de développement ............................................................. 13 IV.3.3. Exigences relatives aux plateformes de tests et d'intégration ............................................................................ 13 IV.3.4. Exigences relatives aux outils de maintenance .................................................................................................. 13 IV.3.5. Exigences relatives aux outils de télémaintenance ............................................................................................ 14 IV.3.6. Usage de plateformes de travail collaboratif ...................................................................................................... 14 IV.4. Exigences relatives aux interventions d'intégration et de maintenance chez le commanditaire ...................................................................................................................................14 IV.4.1. Protocole d'intervention ..................................................................................................................................... 14 IV.4.2. Bons comportements ........................................................................................................................................ 14 IV.4.3. Moyens utilisés lors de l'intervention.................................................................................................................. 15 IV.4.4. Rapport d'intervention ....................................................................................................................................... 15 ANNEXE 1 REFERENCES DOCUMENTAIRES ........................................................................... 16 ANNEXE 2 DEFINITIONS ET ACRONYMES ................................................................................ 17 ANNEXE 3 LISTE DES DOCUMENTS TYPES UTILISES LORS DES PRESTATIONS ............. 19 Cybersécurité des systèmes industriels – Exigences pour les prestataires d’intégration et de maintenance de systèmes industriels Version Date Critère de diffusion Page 1.0 10/03/2016 PUBLIC 4/21 I. Introduction Les systèmes industriels sont omniprésents dans notre quotidien, que ce soit en termes d’infrastructures critiques ou non. Leur cybersécurité est une préoccupation majeure prise en compte au plus haut niveau des Etats. Afin d’en renforcer le niveau, il est important de pouvoir s’appuyer sur des prestataires de confiance d’un point de vue de la cybersécurité, impliqués tout au long du cycle de vie des systèmes industriels. Le groupe de travail sur la cybersécurité des systèmes industriels (GT CSI) piloté par l’ANSSI a identifié les prestataires d’intégration et de maintenance de systèmes industriels comme famille de prestataires stratégiques. Ils interviennent en effet tout au long du cycle de vie des systèmes industriels et de ce fait il est important qu’ils prennent en compte la cybersécurité dans leurs activités. Les publications de l’ANSSI sont diffusées sur son site Internet : http://www.ssi.gouv.fr/publications/ Toute remarque sur ce document peut être adressée à : systemes_industriels@ssi.gouv.fr Cybersécurité des systèmes industriels – Exigences pour les prestataires d’intégration et de maintenance de systèmes industriels Version Date Critère de diffusion Page 1.0 10/03/2016 PUBLIC 5/21 II. Présentation générale II.1. Objet du document Ce document constitue les exigences en matière de cybersécurité pour les prestataires d’intégration et de maintenance de systèmes industriels. Les mesures prises pour référence à l’établissement des exigences du présent document sont celles définies pour les systèmes de classe 2 dans les guides intitulés la cybersécurité des systèmes industriels, Méthode de classification et mesures principales [CSI_MESURES_PRINCIPALES] et mesures détaillées [CSI_MESURES_DETAILLEES]. Une partie des mesures de ces guides concernent effectivement directement ou indirectement les prestataires d’intégration et de maintenance. Les exigences portent sur le prestataire lui-même, ses intervenants, son système d’information ainsi que sur le déroulement des interventions. Ce document constitue également une aide pour les commanditaires qui voudront intégrer dans leur cahier des charges des clauses de cybersécurité issues des exigences du présent document. Ils pourront demander à leurs prestataires d’être conformes à ce référentiel d’exigences. Enfin, ce document pourra évoluer pour devenir un référentiel d’exigence pour la qualification des prestataires d’intégration et de maintenance. II.2. Structure du document Le document définit d’abord les activités exercées par les prestataires d’intégration et de maintenance (chapitre 3) puis les exigences que ces derniers doivent mettre en œuvre (chapitre4). Les définitions et acronymes figurent en annexe. II.3. Identification du document Le présent document est dénommé «Exigences de cybersécurité pour les prestataires d’intégration et de maintenance de systèmes industriels». Il peut être identifié par son nom, numéro de version et sa date de mise à jour. Cybersécurité des systèmes industriels – Exigences pour les prestataires d’intégration et de maintenance de systèmes industriels Version Date Critère de diffusion Page 1.0 10/03/2016 PUBLIC 6/21 III. Activités des prestataires d’intégration et de maintenance Ce chapitre présente les différentes activités, que réalisent les prestataires d'intégration et de maintenance traitées dans le présent document et dont les exigences spécifiques associées sont décrites au chapitre IV ainsi que les domaines sur lesquels elles s'emploient. Sans mention particulière, les exigences s’appliquent à toutes les activités visées par le référentiel. Ces activités portent sur les types de systèmes suivants, regroupés sous le terme générique de « systèmes industriels » : - les Systèmes Automatisés de COntrôle de Procédés Industriels (SACOPI) ou Industrial Control Systems (ICS) ; - les systèmes de Gestion Technique de Bâtiments (GTB) ou Building Management Systems (BMS) ; - les Smartgrids, SmartWater, SmartCities, etc. ; Ces systèmes sont mis en œuvre dans divers secteurs d’activité1 comme l’énergie, le transport, la gestion de l’eau, l’agroalimentaire, la défense, l’aéronautique, l’automobile, etc. Les activités visées par le document couvrent le cycle de vie des types de systèmes cités précédemment. La définition des activités peut être très variable suivant les interlocuteurs. L'objectif ici, n'est pas de proposer une définition formelle ou normalisée des différentes activités mais de fixer une définition pour ce document. Les conséquences de l’absence de prise en compte de la cybersécurité sont différentes suivants les activités. Pour certaines, comme la maintenance, les conséquences peuvent être immédiates alors que pour d’autres, comme les spécifications, elles seront indirectes et à plus longue échéance. L’annexe A du guide [CSI_MAITRISER_LA_SSI] fournit des vulnérabilités fréquemment rencontrées et le guide [CSI_CAS_PRATIQUE] les complète en proposant des illustrations. De même le guide [CSI_MESURES_DETAILLEES] liste un ensemble de vulnérabilités et rappelle les contraintes liées aux systèmes industriels. III.1. Spécification La spécification du système est réalisée par le Maître d’œuvre (MOE), le commanditaire, ou l’Assistance à la Maîtrise d’ouvrage déléguée (AMOD ou AMOAD) qui peut être un prestataire de service d’intégration et de maintenance. Cette phase de spécification doit être précédée par une étude (étude préalable), qui décrit l'existant, les attentes et exigences générales exprimées par le commanditaire (maitrise d’ouvrage, MOA) qui peut se faire aider (assistance à maitrise d’ouvrage, AMO ou AMOA). Cette étude du besoin et de l’objectif du système à construire est formalisée dans un document appelé Cahier des Charges (CdC) ou Cahier des Clauses Techniques Particulières (CCTP). La spécification fonctionnelle est : - la description des fonctions d'un système en vue de sa réalisation ; 1 L’IGI 6600 [IGI-6600] cite 12 secteurs d’activité d’importance vitale, Cybersécurité des systèmes industriels – Exigences pour les prestataires d’intégration et de maintenance de systèmes industriels Version Date Critère de diffusion Page 1.0 10/03/2016 PUBLIC 7/21 - la description dans le détail de la façon dont les exigences seront prises en compte ; - indépendante de la façon dont sera réalisé le système en question. Il existe plusieurs sortes de spécifications fonctionnelles : - les spécifications fonctionnelles générales (SFG) : précisent les fonctionnalités générales attendues du système; - les spécifications fonctionnelles détaillées (SFD) : précisent le fonctionnement détaillé attendu du système. III.2. Conception Ensemble des études menant à la définition organique puis technique du système industriel à développer afin de satisfaire aux spécifications du commanditaire. La conception conduit à la formalisation des fonctions et de l’architecture du système dans le dossier de conception. Conception de l’architecture : désigne la structure générale inhérente à un système, l'organisation des différents éléments du système (logiciels et/ou matériels et/ou humains et/ou informations) et des relations entre les éléments. Cette structure fait suite à un ensemble de décisions stratégiques prises durant la conception de tout ou partie du système. III.3. Développement Ensemble des prestations menant à la réalisation d’un système industriel ou un sous-ensemble de système industriel. Ces études et processus incluent notamment : - le développement des différents programmes exécutés par les sous-systèmes ; - les tests unitaires. III.4. Intégration Ensemble des activités de définition, d’assemblage (de matériels, logiciels, progiciels) et développements permettant, à partir d’un ensemble de produits / solutions, de réaliser un système pour un commanditaire répondant au besoin fonctionnel qu’il a exprimé. Cette activité comprend : - la configuration des matériels et logiciels ; - la réalisation des tests unitaires et uploads/Industriel/ referentiel-exigences-prestataires-integration-maintenance-v1-0-1 1 .pdf

Documents similaires

Implémentation de « Six Sigma » dans le processus de production au sein d’entre 0 0

 Remerciements…………………………………………………….…...3  Introduction…………………………………………………………. 0 0

Elvis Fidèle Dérick CHEIKPOH Age : 22 ans Adresse : Abomey-calavi, Houèto Maiso 0 0

Page 1 – Les apports du CBOK face aux exigences de la version 2015 de l’ISO9001 0 0

Docs_ressources_Statégies de maintenance 1 DEMONTAGE ET REMONTAGE DES MECANISME 0 0

Management de la qualité dans les laboratoires de biologie médicale Formation d 0 0

Conditions d’exercice et aptitudes Mon métier FEMME/HOMME L’automaticien ou l’i 0 0

Université Mohammed V de Rabat Ecole Supérieure de Technologie – Salé Départeme 0 0

Consultation RFQ (Request For Quotation) des flux d’approvisionnement Europe ⇔ 0 0

1 © Dunod – La photocopie non autorisée est un délit. AVANT-PROPOS « Ne réfléchi 0 0

• Détails
• Publié le Sep 15, 2021
• Catégorie Industry / Industr...
• Langue French
• Taille du fichier 0.5875MB