Référentiel Cyber-Sécurité Industriel

Référentiel cyber-sécurité des systèmes informatique industriels SONATRACH
Référentiel Cyber-Sécurité des

Systèmes Informatiques Industriels
SONATRACH
(RCSSII-SH)
Juillet 2022
Direction Centrale Digitalisation et Système d’information 1
Direction Sécurité Systèmes d’Information
SOMMAIRE
AVANT-PROPOS ................................................................................................................................ 6
MESURES TECHNIQUES......................................................................................................... 7
1. PROTECTION DES DONNEES ................................................................................................ 8
1.1. Supports de Stockage ............................................................................................................................................... 9
1.2. Sécurité des données ................................................................................................................................................ 9
1.3. Sauvegarde ............................................................................................................................................................ 10
1.4. Restauration ........................................................................................................................................................... 10
1.5. Plan de sauvegardes et de restauration................................................................................................................... 11
1.6. Archivage .............................................................................................................................................................. 11
1.7. Externalisation des données ................................................................................................................................... 12
2. PROTECTIONS APPLICATIFS ............................................................................................. 12
2.1. Solution antivirale .................................................................................................................................................. 12
2.2. Mise à jour antivirale ............................................................................................................................................. 12
2.3. Solution Whitelisting ............................................................................................................................................. 13
2.4. Complexité du mot de passe .................................................................................................................................. 14
2.5. Accès logique ........................................................................................................................................................ 14
2.6. Durcissement de la configuration .......................................................................................................................... 15
2.7. Gestion des mises à jours et des patches ................................................................................................................ 16
2.8. Protection des applications et logiciels .................................................................................................................. 16

2.8.1. Type d’application .................................................................................................................................. 16
2.8.2. Sécurité des applications & logiciels ....................................................................................................... 16
3. PROTECTION DES EQUIPEMENTS .................................................................................... 17
3.1. Types des équipements OT .................................................................................................................................... 17
3.2. Système Informatique Industriel - ICS (Industriel Contrôle Système) .................................................................. 17
3.3. Mesures de sécurisation des systèmes Informatiques industriels .......................................................................... 18

3.4. Automate programmable industriel (PLC - Programmable Logic Controller) ...................................................... 19
3.5. Serveur Historian ................................................................................................................................................... 20
3.6. Equipement Réseau Industriel ............................................................................................................................... 21

3.6.1. Firewall industriel ................................................................................................................................... 21
3.6.2. Data diode industrielle ........................................................................................................................... 22
3.6.3. Switch industriel ..................................................................................................................................... 22
3.6.4. Borne sans-fil industrielle ....................................................................................................................... 22
3.6.5. Passerelle VPN industrielle ..................................................................................................................... 23
3.7. Systèmes de détection d’intrusion et d’analyse de menaces .................................................................................. 23
3.8. SIEM (Security Incident and Event Monitoring) ................................................................................................... 24
4. PROTECTION RESEAUX ....................................................................................................... 25
4.1. Interconnexion des Réseaux IT & OT ................................................................................................................... 25
4.2. Accès aux données du réseau OT .......................................................................................................................... 26
4.3. Segmentation ......................................................................................................................................................... 27
5. PROTECTION D’ACCES......................................................................................................... 28
5.1. Accès distants ........................................................................................................................................................ 28
5.2. Accès Internet depuis le réseau OT ....................................................................................................................... 29
5.3. La sécurisation des accès aux réseaux sans-fil ...................................................................................................... 31
5.4. Sécurisation des connexions au réseau industriel .................................................................................................. 32
6. PROTECTIONS PHYSIQUES ................................................................................................. 33
6.1. Salles serveurs et locaux techniques ...................................................................................................................... 33
6.2. Contrôle d’accès physique ..................................................................................................................................... 33
6.3. Profils d’accès physique ........................................................................................................................................ 33
6.4. Droit d’accès physique .......................................................................................................................................... 34
6.5. Intervenants sur les équipements ........................................................................................................................... 34

6.5.1. Droit d’intervention ................................................................................................................................ 34
6.5.2. Intervention sur les équipements........................................................................................................... 35

MESURES ORGANISATIONNELLES............................................................................... 36
7. ORGANISATION ET RESPONSABILITES .......................................................................... 37
7.1. Organisation cyber-sécurité ................................................................................................................................... 37
7.2. Chaîne de responsabilités ...................................................................................................................................... 37
7.3. Charte de responsabilité ......................................................................................................................................... 37

7.3.1. Profils de cyber-sécurité ......................................................................................................................... 38
7.3.2. Profils de métiers .................................................................................................................................... 38
8. CARTOGRAPHIE DES EQUIPEMENTS .............................................................................. 38
8.1. Types d’informations d’inventaire : ...................................................................................................................... 38
8.2. Inventaire ............................................................................................................................................................... 39
8.3. Cartographie .......................................................................................................................................................... 39
9. GESTION DES RISQUES ......................................................................................................... 39
9.1. Probabilité d’occurrence des menaces ................................................................................................................... 40
9.2. Gravité des conséquences ...................................................................................................................................... 40
9.3. Matrice de risques .................................................................................................................................................. 41
9.4. Analyse et Traitement des risques ......................................................................................................................... 41
10. GESTION ET TRAITEMENT DES INCIDENTS ................................................................. 42
10.1. Incidents ................................................................................................................................................................ 42
10.2. Chaîne d’alerte ....................................................................................................................................................... 42
10.3. Surveillance et détection des incidents .................................................................................................................. 44
10.4. Alertes et Traitement des incidents ........................................................................................................................ 44
10.5. Plans de reprise d’activité (PRA)........................................................................................................................... 46
10.6. Mode de fonctionnement dégradé.......................................................................................................................... 47
11. VEILLE SUR LES MENACES ET LES VULNERABILITES ............................................. 48
11.1. Vulnérabilités......................................................................................................................................................... 48
11.2. Correction des vulnérabilités ................................................................................................................................. 49

11.3. Processus de Veille ................................................................................................................................................ 49
12. FORMATION ............................................................................................................................. 50
12.1. Niveaux de compétence de cyber-sécurité ............................................................................................................. 51
12.2. Objectifs ................................................................................................................................................................ 52
12.3. Plan de formation................................................................................................................................................... 52
13. SENSIBILISATION ................................................................................................................... 53
13.1. Objectifs de sensibilisation .................................................................................................................................... 53
13.2. Populations cibles .................................................................................................................................................. 53
13.3. Moyens de sensibilisation ...................................................................................................................................... 53
13.4. Action de sensibilisation ........................................................................................................................................ 54

13.4.1. Type des actions de sensibilisation ......................................................................................................... 54
13.4.2. Fréquences des actions .......................................................................................................................... 55
13.5. Rôle de la région .................................................................................................................................................... 55
13.6. Plan de sensibilisation............................................................................................................................................ 55
14. CONTROLE DE CONFORMITE. ........................................................................................... 56
14.1. Barème de conformité............................................................................................................................................ 56
14.2. Indice de cyber sécurité : ....................................................................................................................................... 56
14.3. Conformité ............................................................................................................................................................. 56
14.4. Test de Cyber-sécurité ........................................................................................................................................... 57
15. CONTRAT DE MAINTENANCE ET SUPPORT .................................................................. 58
16. PROJET CYBER-SECURITE .................................................................................................. 58
16.1. Solutions de cyber-sécurité .................................................................................................................................... 58
16.2. Type projet cyber-sécurité industriel ..................................................................................................................... 59
16.3. Périmètre du projet cyber-sécurité industriel ......................................................................................................... 60
16.4. Durée du projet cyber-sécurité industriel ............................................................................................................... 60
16.5. Lancement d’un projet cyber-sécurité ................................................................................................................... 60

16.6. Réalisation d’un projet cyber-sécurité ................................................................................................................... 61
ANNEXES .......................................................................................................................................... 62
ANNEXE 1 : Barème de conformité au référentiel de sécurité de systèmes informatiques industriels.............................. 63
ANNEXE 2 : Architecture Cloisonnement des Réseaux .................................................................................................... 69
ANNEXE 3 : Cadre normatif du référentiel ....................................................................................................................... 72

Avant-Propos
Les systèmes informatiques industriels ont connu une augmentation exponentielle des cyberattaques
au cours de ces dernières années, elles exploitent des vulnérabilités qui représentent des menaces
permanentes au bon fonctionnement de ces systèmes. Pour pallier aux éventuelles vulnérabilités
existantes et faire face aux cyber-menaces, la SONATRACH doit mettre en place une stratégie de
cyber-sécurité industrielle qui préconise les pratiques de cyberdéfense et accroît le niveau de cyber-
sécurité au sein de l’Ecosystème Informatique Industriel à l’échelle entreprise.
La stratégie de cyberdéfense ne s’arrête pas à la vision d'une sécurisation des systèmes informatiques
industriels uniquement, mais elle adopte une vision de « Défense en profondeur » cette vision revient
à sécuriser chaque sous-ensemble de l’écosystème informatique industriel.
La vision de « Défense en profondeur » définie des mesures de cyber-sécurité qui couvrent des aspects
organisationnels ainsi que des aspects techniques en matière de procédures, de personnes et de
technologie. Ces mesures sont classées en plusieurs couches selon le « Modèle de Défense en
Profondeur » :
Mesures Organisationnelles
Protections Physiques
Protections d’Accès
Protections Réseaux
Protections des Equipements
Protections Applicatifs
Protection des Données
Le Référentiel Cyber-Sécurité des Systèmes Informatiques Industriels SONATRACH (RCSSII-

SH) définit les mesures de cyber-sécurité en couches selon le modelé de défense en profondeur. Ce
référentiel est normatif mais n’impose pas de solution, il a comme objectif de normaliser, catégoriser
et lister des exigences et des recommandations par couches de défense, ainsi il soit le repère de la
cyber-sécurité et la cyberdéfense dans l’entreprise.

Mesures Techniques

Les mesures techniques permettent de minimiser les risques liés aux systèmes informatiques industriels
et d’atténuer les éventuelles vulnérabilités. La mise en œuvre de telles mesures technique permet
d’assurer la sécurité des réseaux, des équipements, des applications et des données dans l’écosystème
informatique industriel.
1. Protection des données

La donnée est l’élément vital dans l’écosystème informatique industriel ainsi la protection des données
représente une importance fondamentale, elle est le noyau de la défense en profondeur. Dans ce sens
il est primordial d’établir une catégorisation à travers une évaluation de degré de criticité et sensibilité
des données avant de mettre en place la stratégie de protection de ces données.
TD1 – On distingue 4 catégories de données existantes dans l’écosystème informatique industriel suivant leur
criticité :
 Donnée Critique :
o Données process,
o Fichiers configuration des équipements OT et des système informatiques industriels,
o Mots de passe superuser (administrateur, root) des équipements OT et des système
informatiques industriels
o Images des serveurs et stations du système de contrôle,
o Firmewares et données de configuration de tous les équipements des équipements
OT et des système informatiques industriels,
o Fichiers de configuration des logiciels et applications de la solution cyber-sécurité
 Donnée Sensible :
o Données des Historians,
o Fichiers de configuration des applications et des logiciels d’ingénierie,
o Sauvegardes des fichiers et logiciels,
o Fichiers livrées lors de la réalisation des projets pour les équipements OT et les
système informatiques industriels,
o Cartographie des équipements OT et les système informatiques industriels,
o Images des serveurs et stations tiers faisant partie du système de contrôle,
o Firemeware et données de configuration de tous les équipements réseau faisant partie
du système de contrôle industriel (Switchs, routeurs, Firewalls,..),
o Fichiers des mots de passe des utilisateurs.
 Donnée Importante :
o Architecture du réseau OT et fichiers de configuration des équipements réseau,
o Les différents rapports liés à la production et la maintenance,
o Les fichiers logs des équipements et des systèmes,
o Données archivées du process,
o Cordonnées des responsables et intervenant sur les équipements OT et les système
informatiques industriels.
 Donnée Insignifiante :
o Fichiers bureautiques,
o Documents utilisateurs,
o Tous autres fichiers.

1.1. Supports de Stockage

Compte tenu des nombreux risques qui menacent la sécurité des données des systèmes informatiques
industriels, il est essentiel de recenser les différents types de support de stockage de ces données.
TD2 - On distingue 12 catégories de support de stockage :
 Stockage Local : les données sont stockées sur le disque dur du serveur,
 Serveur NAS : les données sont stockées via le réseau sur un serveur NAS,
 Serveur SAN : les données sont stockées sur un serveur SAN,
 Serveur Fichiers : les données sont stockées dans des partages de fichiers sur le réseau OT,
 Bande Magnétique : les données sont stockées sur des bandes magnétiques,
 CD/DVD : les données sont gravées sur CD ou DVD,
 Disque Externe : les données sont sauvegardées sur disque externe ou clé USB,
 Virtualisation : les données sont stockées sur une plateforme de virtualisation,
 Cloud : les données sont stockées dans cloud privé SONATRACH,
 DR-Cloud : les données sont dans le Disaster-Recovery du cloud privé SONATRACH,
 Base de Données : les données sont stockées dans des bases de données,
 Cloud Public : les données sont stockées dans cloud public ou cloud hybride.
1.2. Sécurité des données

La sécurisation des données est essentielle afin d’assurer le bon fonctionnement des installations, dans
l’écosystème informatique industriel il est préconisé l’ordre de priorité suivant : disponibilité, intégrité
puis confidentialité.
Sécurité de données recommandée
La protection des données doit respecter les critères fondamentaux de la sécurité à savoir :
Disponibilité : la donnée doit d’être accessible et utilisable par son destinataire autorisé à l’endroit et à
l’heure prévue. Ces données doivent être accessibles rapidement et régulièrement.
Intégrité : la donnée n’est modifiée que par des personnes autorisées et selon un procédé défini. Les données
doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante.
Confidentialité : seules les personnes autorisées peuvent avoir accès aux données qui leur sont destinées
(notions de droits ou permissions). Ces utilisateurs doivent prouver leur identité par l'usage de code d'accès
(authentification par mot de passe ou d’autres mécanismes).
TD3 - On distingue 3 catégories sécurité de données :

 Sécurité de Données Optimale : sécurité des données conforme à la sécurité de données
recommandée,
 Sécurité de Données Peu-Fiable : sécurité des données non conforme à la sécurité de données
recommandée,
 Sécurité de Données Inexistante : sécurité des données inexistante.

1.3. Sauvegarde
La sauvegarde est l’opération qui consiste à mettre en sécurité les données d’un système informatique
industriel. Ainsi la stratégie de sauvegarde et de restauration des données est un élément majeur pour
garantir la disponibilité des données en identifiant les données nécessaires à sauvegarder pour répondre
aux besoins du bon fonctionnement des systèmes et leurs restaurations en cas de besoin.
Solution sauvegarde recommandée
Mettre en place un serveur de sauvegarde (SRV-Backup) qui abrite une solution de sauvegarde et de
restauration, dédié à ces opérations.
La solution de sauvegarde doit réaliser périodiquement des sauvegardes de trois niveaux :
Sauvegarde de base : sauvegardes sur le stockage local du serveur SRV-Backup, ou sur un serveur NAS à
l‘intérieur du réseau OT (NAS-OT) accessibles que pour les utilisateurs et les applications de sauvegarde du
réseau OT avec des droits lectures/écritures. Toutes les sauvegardes de base sont faites sur ce NAS-OT ou
bien le SRV-Backup (voir Figure 3 – Annexe 1).
Sauvegarde sur bande : sauvegardes périodiques sur des Bandes magnétiques, ces bandes doivent être
étiquetées et préservées dans des armoires ignifuges, accessibles uniquement par les personnes liées aux
sauvegardes.
Sauvegarde délocalisée : sauvegardes délocalisées faites sur un serveur NAS (NAS-FAR) qui se trouve
dans un lieu géographique autre que le site industriel (voir Figure 3 – Annexe 1).
TD4 - On distingue 5 catégories de sauvegarde :

 Sauvegarde Fiable : sauvegarde conforme à la solution de sauvegarde recommandée,
 Sauvegarde Sure : sauvegarde conforme qu’aux points « Sauvegarde de base » et « Sauvegarde sur
bande » de la solution de sauvegarde recommandée,
 Sauvegarde Acceptable : sauvegarde conforme qu’au point « Sauvegarde de base » de la solution de
sauvegarde recommandée,
 Sauvegarde Inacceptable : sauvegarde bon conforme à tous les point de la solution de sauvegarde
recommandée,
 Sauvegarde Inexistante : sauvegarde inexistante.
1.4. Restauration
Une sauvegarde faite n’est pas forcément valide, pour être sûre de la fiabilité des sauvegardes des tests
de restauration s’impose.
TD5 - On distingue 4 catégories de test de restauration :
 Test Restauration Valide : test de restauration effectué après la sauvegarde et périodiquement sur un
échantillon aléatoire,
 Test Restauration Suffisant : test de restauration effectué après la sauvegarde,
 Test Restauration Moyen : test de restauration effectué périodiquement,
 Test Restauration Inexistant : test de restauration n’est pas effectué.

1.5. Plan de sauvegardes et de restauration

Le plan de sauvegarde des données définit la stratégie de sauvegarde et de test de restauration pour
chaque catégorie de données industrielles.
Plan de sauvegarde et de restauration recommandé
Des plans de sauvegarde des systèmes informatiques industriels doivent être mis en place comme suit :
o Des sauvegardes fiables et des tests restaurations valides pour les données critiques,
o Des sauvegardes sures et des tests restaurations suffisantes pour les données sensibles,
o Des sauvegardes acceptables et des tests restaurations moyens pour les données importantes,
o Des sauvegardes inexistantes pour les données insignifiantes.
TD6 - On distingue 3 catégories de plan de sauvegarde :

 Plan de Sauvegarde et de Restauration Efficace : plan conforme au plan de sauvegardes et de
restauration recommandé,
 Plan de Sauvegarde et de Restauration Pas-Sure : plan non conforme au plan de sauvegardes et de
restauration recommandé,
 Plan de Sauvegarde et de Restauration Inexistante : aucun plan de sauvegarde et de restauration.
1.6. Archivage
Contrairement à la sauvegarde, l’archivage de données consiste à extraire les données inutilisées d’un
système pour les mettre à disposition sur un autre système ou support, libérant ainsi les ressources et
l’espace disque. L'archivage permet d’identifier et de classer les informations pour permettre une
recherche rapide en cas de nécessité technique ou réglementaire.
Politique d’archivage recommandée
La solution de sauvegarde et restauration doit réaliser périodiquement des opérations d’archivages des
données, la stratégie d’archivage doit :
o Faire deux copies d’archives des données critique, avec deux types de sauvegarde : « Sauvegarde sur
bande » et « Sauvegarde délocalisée »
o Faire une copie d’archives des données sensible avec deux types de sauvegarde : « Sauvegarde sur
bande » et « Sauvegarde délocalisée »
o Faire une copie d’archives des données importantes avec un type de sauvegarde : « Sauvegarde sur
bande »
o Effectuer des tests réguliers de restauration des archives.
TD7 - On distingue 3 catégories d’archivage :

 Archivage Fiable : archivage conforme à la politique d’archivage recommandée,
 Archivage Acceptable : archivage n’est pas conforme à la politique d’archivage recommandée,
 Archivage Inexistant : archivage inexistant.

1.7. Externalisation des données

Les données des systèmes informatiques industriels sont des données très sensibles leur externalisation
sur un cloud public ou hydrique est très délicat.
TD8 - On distingue 4 catégories d’externalisation des données :
 Externalisation des Données Interdite : aucune donnée des systèmes informatiques industriels n’est
hébergée sur un cloud public.
 Externalisation des Données Tolérée : sauf les données Insignifiantes des systèmes informatiques
industriels sont hébergées sur un cloud public.
 Externalisation des Données Partielle : Les données importantes ou Insignifiantes des systèmes
informatiques industriels sont hébergées sur un cloud public.
 Externalisation des Données Complète : toutes les données des systèmes informatiques industriels
sont hébergées sur un cloud public.
2. Protections applicatifs
La protection applicative porte sur la sécurité logique des environnements, des applications comme les
durcissements configuration et les solutions de protections contre les virus et malwares.
2.1. Solution antivirale

Les systèmes informatiques industriels sont ciblés par des virus et malwares qui peuvent avoir des
conséquences néfastes sur le bon fonctionnement des installations industriels, la solution antivirale
permet d’identifier, neutraliser et éliminer ces logiciels malveillants.
Solution antivirale recommandée
Le réseau OT ainsi que les systèmes informatiques industriels doivent être protégés par le déploiement d’une
solution antivirale professionnelle, et que la solution antivirale soit installée sur un serveur (SRV-Antiviral)
qui doit être :
o Installé à l’intérieur du réseau OT (voir Figure 3 – Annexe 1),
o Conforme aux préconisations des fournisseurs des systèmes informatiques industriels,
o Solution centralisée avec mise à jour automatique vers les clients,
o Efficacement paramétrée et configurée selon les meilleurs pratiques et recommandations de l’éditeur.
TA1 - On distingue 3 catégories de solution Antiviral :

 Solution Antivirale Puissante : solution antivirale conforme à la solution antivirale recommandée,
 Solution Antivirale Acceptable : solution antivirale non conforme à la solution antivirale
recommandée,
 Solution Antivirale Inexistante : solution antivirale inexistante.
2.2. Mise à jour antivirale

La solution antivirale non à jour devient inefficace, une mise à jour régulière est une condition
impérative pour faire face aux nouveaux virus, malwares et menaces.

Procédure de mise à jour antivirale recommandée

Les serveurs et les PC-OT du réseau OT dévoient être protégés par le déploiement d’une solution antivirale
doit être installée sur un serveur (SRV-antiviral),
Elle doit être :
o Etre une solution centralisée installée à l’intérieur du réseau OT (voir Figure 3 – Annexe 1),
o Maintenue à jour par les dernières mises à jour,
o Le téléchargement des mises à jour et leurs transferts au serveur antiviral doit être conforme à la
Politique de téléchargement recommandée (décrite dans la section 5.3-Accès Internet depuis le réseau
OT / Protection d’accès),
o La mise à jour antivirale doit être effectuée par l’administrateur systèmes il doit s’assurer qu’elle n’est
pas néfaste pour les serveurs et les applications.
TA2 - On distingue 3 catégories de mise à jour Antivirale :

 Mise à jour Antivirale Efficace : mise à jour antivirale conforme à la procédure de mise à jour
antivirale recommandée.
 Mise à jour Antivirale Non Efficace : mise à jour antivirale non conforme à la procédure de mise à
jour antivirale recommandée.
 Mise à jour Antivirale Inexistante : mise à jour antivirale inexistante.
2.3. Solution Whitelisting

Le Whitelisting consiste à autoriser uniquement l'exécution des applications habilitées lors de la
configuration d'un système. Il assure une protection totale contre les applications indésirables et
protège les fichiers exécutables, bibliothèques, pilotes, applications Java, contrôles ActiveX, scripts et
le code spécialisé.
Solution Whitelisting recommandée
Les serveurs et les PC-OT du réseau OT dévoient être protégés par le déploiement d’une solution whitelisting
professionnelle installée sur un serveur (SRV-Whitelisting) qui doit :
o Etre une solution centralisée installée à l’intérieur du réseau OT (voir Figure 3 – Annexe 1),
o Permettre le verrouillage des systèmes pour empêcher l'installation d'applications indésirables,
o Permettre le verrouillage du système pour empêcher les modifications de fichiers et d'autres objets
système par des exécutables de virus, etc.,
o Permettre le verrouillage et surveillance de l'activité des périphériques externes (clés USB non
autorisées, CD/DVD, lecteurs FireWire, etc.),
o Efficacement paramétrée et configurée selon les meilleurs pratiques et recommandations de l’éditeur,
et conforme aux préconisations des fournisseurs,
o Déclenchement d'alarmes lorsque l'utilisateur effectue des actions non autorisées.
o Stratégies de sécurité autorisant uniquement les mises à jour logicielles répertoriées en liste blanche
avec accès administrateur,
o Aucun impact sur les performances du serveur où elle est installée.

TA3 - On distingue 3 catégories de solution Whitelisting :

 Solution Whitelisting Puissante : solution conforme à la solution Whitelisting recommandée,
 Solution Whitelisting Faible : solution non conforme à la solution Whitelisting recommandée,
 Solution Whitelisting Inexistante : solution Whitelisting inexistante.
2.4. Complexité du mot de passe

Un mot de passe répond à plusieurs règles de complexité, la définition de règles rigoureuses permet de
renforcer la sécurité et la protection des mots de passe.
Règles de complexité du mot de passe recommandées
Le mot de passe doit :
o Avoir au minimum 9 caractères de longueur,
o Constitué d'un mélange de chiffres, lettres, caractère spéciaux, majuscules et minuscules,
o Etre changés régulièrement, au minimum tous les 6 mois.
Et il ne doit pas être :
o Constitué de mots pouvant se trouver dans un dictionnaire (dans toutes les langues),
o Constitué d'informations facile à trouver ou imaginer (date de naissance, noms ou initiales, ascendants
ou descendants, ...),
o Identique au code d'identification (au login),
o Celui livré d'origine (par défaut),
o Stocké dans un fichier ou noté sur écran ou clavier,
o Communiqué (verbalement, mail, sms,…).
TA4 - On distingue 3 catégories de règle de complexité du mot de passe :

 Règles Rigoureuses : conforme aux règles de complexité du mot de passe recommandées,
 Règles Faibles : non conforme aux règles de complexité du mot de passe recommandées,
 Règles Inexistante : règles de complexité du mot de passe non existantes.
2.5. Accès logique

La protection et le contrôle des accès logiques aux systèmes informatiques industriels sont d’une
importance capitale, se fait par des règles d’authentification, d’autorisation et de traçabilité.
TA5 - On distingue 4 catégories de règles accès logique :
 Règles Accès Logique Fortes :
o L’utilisation des clé USB, CD/DVD, carte mémoire et disque externes sont strictement interdits,
o L’authentification active-directory (LDAP) à un domaine IT est strictement interdite,
o Toute relation d'approbation entre un domaine active-directory (LDAP) IT et un domaine
active-directory OT existante est interdite,
o Les règles d’accès logique Assez Fort.
 Règles Accès Logique Assez Fortes :
o Etablir un inventaire exhaustif des comptes à privilèges et disposer d’une procédure de gestion
des comptes utilisateurs,

o Suppression des accès des utilisateurs ayant quittés le site,

o Se baser sur des rôles et n’associer que les privilèges nécessaires aux tâches inhérentes,
o Le rôle administrateur ne doit jamais être utilisé pour les tâches courantes,
o Les règles d’accès logique Moyen.
 Règles Accès Logique Moyennes :
o Adopter des règles de complexité de mot de passe Rigoureuses,
o Distinguer clairement les profils utilisateur et administrateur,
o Utiliser un compte nominatif pour chaque utilisateur et ne jamais utiliser de comptes génériques
(ex : admin, user).
 Règles Accès Logique Faibles :
N’avoir aucune règle accès logique précédemment citées.
2.6. Durcissement de la configuration

Le durcissement de la configuration des équipements a pour objectif de limiter les vulnérabilités et les
risques d’attaque en optimisant la configuration des éléments qui composent un système informatique
industriel.
TA6 - On distingue 5 catégories de configurations des systèmes informatiques industriels :
 Durcissement Configuration Fort :
o L’accès avec un compte active directory (LDAP) d’un domaine IT est interdit,
o L’accès avec un compte active directory (LDAP) d’un domaine OT en utilisant un protocole
sécurisé (AAA, Radius, …) sur les équipements du réseau OT,
o Limiter le rôle /profil de chaque user initialement créé sur un équipement réseau OT
o Les durcissements de configuration Assez Fort.
 Durcissement Configuration Assez Fort :
o Utilisation des protocoles réseaux sécurisés (https, ssh ...),
o Désactivation systématique des protocoles non sécurisés et non utiles (http, netbios, ...),
o Désactivation systématiquement le démarrage automatique des services non nécessaires,
o Activation des logs
o Les durcissements de configuration Moyen.
 Durcissement Configuration Moyen :
o Mettre à jour le système d’exploitation et les logiciels,
o Désactivation des ports ou de services inutiles,
o Désactivation le mode bureau à distance,
o Les durcissements de configuration Faible.
 Durcissement Configuration Faible :
o Éviter lors des installations les choix proposés par défaut,
o Supprimer ou désactiver les fonctions non utilisées mais activées par défaut,
o Ne pas installer des logiciels non nécessaires ou outils de développement.
 Durcissement Configuration Très Faible :
o Aucun des points précédents.

2.7. Gestion des mises à jours et des patches

Les mises à jour jouent un rôle important dans la protection des systèmes car elles permettent
d’éliminer les vulnérabilités et combler des failles de sécurité.
Politique de mises à jours et des patches recommandée
Les téléchargements et transferts des mises à jours, des patchs et des firmewares pour les équipements
industriels, équipements réseaux, systèmes (logiciels hors Microsoft), applications et base de données
doivent être conformes à la Politique de téléchargement recommandée (décrite dans la section 5.3-Accès
Internet depuis le réseau OT / Protection d’accès).
Les mises à jour des logiciels Microsoft doivent être conformes à la Politique de mise à jour des logiciels
Microsoft (décrite dans la section 5.3-Accès Internet depuis le réseau OT / Protection d’accès).
TA7 - On distingue 3 catégories de mise à jours et de patches :

 Gestion de Mise à Jours et des Patches Efficace : conforme à la politique de mises à jours et des
patches recommandée,
 Gestion de Mise à Jours et de Patches Non Efficace : non conforme à la politique de mises à jours et
des patches recommandée,
 Gestion de Mise à Jour et de Patches Inexistant : politique de mises à jours et de patches inexistantes.
2.8. Protection des applications et logiciels

Une application (ou logiciel) industrielle est installée sur un serveur ou PC dans l’écosystème
informatique industriel permettant à l’opérateur humain d’interagir avec un serveur informatique
industriel (par exemple SCADA). L’applicatif permet à l’opérateur de visualiser les données traitées
ou générées par le serveur et d’envoyer des télécommandes ou des téléréglages pour fonctionner.
2.8.1. Type d’application

Les applications existantes dans le réseau OT ont plusieurs vocations, selon leurs rôles ou bien leurs
interactions avec les serveurs et les stations.
TA8 - On distingue 3 catégories d’applications et logiciels dans le réseau OT :
 Applications et logiciels Métier : application qui interagie avec les serveurs,
 Applications et logiciels Non-Métier : application qui n’interagie pas avec les serveurs,
 Applications et logiciels Bureautique : les logiciels de bureautique.
2.8.2. Sécurité des applications & logiciels

La sécurisation des applications et logiciels industriels permettra une meilleure protection des données
exploitées contre tous actes malveillants.
TA9 - On distingue 3 catégories de niveau de sécurité d’application :
 Niveau de Sécurité Elevé :
o Mettre à jour les applications et les logiciels,
o Adopter des règles de complexité de mot de passe rigoureuses,
o Ne garder que les applications & les logiciels indispensables, et définies dans la whitelisting,
o Niveau de Sécurité Moyen.

 Niveau de Sécurité Renforcé :

o Supprimer ou désactiver les fonctions non utilisées activées par défaut,
o Ne pas faire lors des installations les choix proposés par défaut,
o Ne pas installer des applications & des logiciels non nécessaires.
o Centraliser l’installation des logiciels,
 Niveau de Sécurité Faible :

o Aucun des points précédents.
3. Protection des équipements

Au sein du site industriel il existe des différents équipements, des équipements informatiques standards
(Pc, serveur, imprimante, firewall …) et des équipements spécifiques (HMI, station d'ingénierie,
Historian, …). Aussi les équipements se diffèrent par leur l’interaction avec les systèmes informatiques
industriels.
TE1 - On distingue 2 catégories de type d’équipement informatique qui se trouve dans un site :
 Equipement IT : équipement informatique (Pc, serveur, firewall …) qui se trouve physiquement
dans le site industriel mais il n’interagit pas avec les systèmes informatiques industriels, donc
il appartient au réseau IT.
 Equipement OT : équipement informatique (Pc, serveur, firewall …) ou spécifique (HMI,
station d'ingénierie, Historian, …) qui se trouve physiquement dans le site industriel et qui
interagit avec les systèmes informatiques industriels, donc il appartient au réseau OT.
3.1. Types des équipements OT

La protection des équipements OT varie selon leurs natures, rôles et impacts sur le process, d’où des
spécifications de la sécurité pour chaque type d’équipement.
TE2 - On distingue 6 catégories d’équipement OT :
 Système Informatique Industriel ou ICS (Industrial Control System) : DCS, SCADA, ESD,…,
 PLC (Programmable Logic Controller) : automate programmable industriel,
 Equipements réseau : Firewall, data-diode, switch, borne Sans-fil, passerelle vpn …,
 Serveurs SII : serveur lié au système informatique industriel, comme serveur de supervision industriel,
HMI, Station d'ingénierie, Historian,
 Serveurs CSI : serveur lié à la solution cyber-sécurité industrielle, comme serveur antiviral, serveur de
mise à jour, serveur de backup,
 PC-OT : Postes de travail (PC), ou station du réseau OT.
3.2. Système Informatique Industriel - ICS (Industrial Control System)

Dans l’écosystème informatique industriel la notion du système Informatique Industriel est large, de
manière générale, il peut être défini comme tout système « numérique » permettant d’avoir une action
directe dans le monde « physique ». Les acronymes ICS (Industrial Control System) ou IACS
(Industrial Automation and Controls Systems) sont généralement utilisés pour l’identifier.

TE3 - On distingue 6 catégories de système informatique industriel ICS :

 DCS : Distributed Control System,
 SCADA : Supervisory Control And Data Acquisition,
 ESD : Emegency Shut Down,
 F&G : FIRE and GAS systems,
 ELICS System : ELectrical Intergated Control System,
 Metering system : system de comptage transactionnel et fiscal,
 Turbo-Machinery Control and monitoring System : système de control et /ou monitoring pour les
Turbo machines (compresseurs, turbines, turbo-pompes,..etc)..
3.3. Mesures de sécurisation des systèmes Informatiques industriels

Les mesures de sécurisation des systèmes informatiques industriels peuvent être mises en œuvre dans
toutes les phases du cycle de vie des systèmes informatiques industriels.
TE4 - On distingue 6 catégories de Phase de Cycle de vie des ICS :
 Phase Conception,
 Phase Implémentation,
 Phase Exploitation,
 Phase Maintenance,
 Phase Arrêt,
 Phase Retirement.
TE5 - On distingue 5 catégories de type de mesures de sécurisation ICS :

 Mesures de Sécurisation Intégrées : les mesures de sécurisations décrites dans ce document sont mises
en œuvre dans tous les cycles de vie de l’ICS,
 Mesures de Sécurisation Opérationnelles : les mesures de sécurisations décrites dans ce document
sont mises en œuvre dans l’implémentation, l’exploitation et la maintenance de l’ICS,
 Mesures de Sécurisation Fonctionnelles : les mesures de sécurisations décrites dans ce document sont
mises en œuvre dans l’implémentation et l’exploitation de l’ICS,
 Mesures de Sécurisation Exploitations : les mesures de sécurisations décrites dans ce document sont
mises en œuvre dans l’exploitation de l’ICS,
 Mesures de Sécurisation Inexistantes : les mesures de sécurisations décrites dans ce document ne sont
pas mises en œuvre dans aucun des cycles de vie de l’ICS.
TE6 - On distingue 2 catégories de sous-réseau existant système informatique industriel :

 Réseau de supervision : réseau utilisé pour surveiller et superviser les automates et systèmes ICS, et
détection d’anomalie comme HMI, station d’ingénierie
 Réseau de terrain : qui relient les entrées/sorties déportées aux automates.

3.4. Automate programmable industriel (PLC - Programmable Logic Controller)

Un automate programmable industriel (PLC - Programmable Logic Controller) est un équipement qui
permet de réaliser, de façon continue et sans intervention humaine, la commande de processus
industriels (machine ou processus continu). En fonction de ses données d’entrées, reçues des capteurs,
l’automate envoie des ordres vers ses sorties et les actionneurs.
Configuration de PLC recommandée
L’automate doit être relié à ses entrées-sorties et à son interface homme-machine locale via une même
interface de communication, sur le réseau de terrain. Les échanges vers la supervision (HMI) se font à travers
une interface de communication dédiée sur le réseau de supervision.
L’administration de l’automate programmable industriel se fait via une station d’ingénierie.
Il faut appliquer la configuration PLC suivante :
o Désactiver serveur web,
o Désactive serveur FTP et telnet,
o Activation des logs,
o Changer les configurations par défaut (mot de passe par exemple),
o Ne pas utiliser les supports amovibles (cartes SD, clés USB) pour les firmewares,
o Les mises à jour du firmware disponible sur le site du fabricant doivent être envoyées sur l’automate
à travers le réseau OT conformément à Politique de téléchargement recommandée (décrite dans la
section 5.3-Accès Internet depuis le réseau OT / Protection d’accès),
L’automate programmable industriel doit pouvoir fonctionner dans un environnement hostile, il doit pouvoir
fonctionner en présence d’humidité ou de poussière ou avec des températures inhabituelles pour des
équipements informatiques.
TE7 - On définit 3 types configuration du PLC :

 Configuration Forte : configuration conforme à tous les points de la configuration de PLC
recommandée,
 Configuration Acceptable : configuration conforme à quelques points de la configuration de PLC
recommandée,
 Configuration Faible : configuration qui n’est pas conforme à aucun point de la configuration de PLC
recommandée.
TE8 - On définit 3 types de protocoles utilisé par le PLC dans Les réseaux de terrain :
 Protocole Sécurisé : protocole TCP/IP adapté pour l’environnement industriel récent et qui est sécurisé,
 Protocole Non-Sécurisé : protocole TCP/IP largement utilisé en automatisme (Modbus TCP, OPC,
BACnet/IP, …) et qui n’est pas sécurisés,
 Protocole Vulnérable : protocole traditionnel (profibus, CANopen, DeviceNet, Modbus RTU, ...) et
qui n’est pas sécurisés.

TE9 - On définit 3 types de PLC par redondance :

 Redondance Inexistante : PLC avec un module CPU, en configuration simplex, si ce dernier tombait
en panne, le système sera arrêté,
 Redondance DUPLEX : PLC avec deux modules CPU, en configuration double, si l'un des deux
modules CPU perd son programme où tombe en défaut la configuration se dégrade en simplex et l’autre
module CPU prend le rôle instantanément du module hors service,
 Redondance TRIPLEX : PLC avec trois module CPU, utilise un processus de vote majoritaire pour
identifier la source d'un défaut, c'est une architecture tolérante aux pannes du système et offre une haute
disponibilité dans le cadre de ses fonctionnalités inhérentes à la sécurité.
TE10 - On définit 2 types de PLC par rôle de fonctionnement :

 PLC de Contrôle : un composant qui est programmé et utilisé pour la commande ou la régulation d’une
machine ou d’une installation,
 PLC de Sécurité : permet la surveillance de fonctions de sécurité simples à complexes dans toutes les
applications industrielles. Elle associe deux fonctions essentielles : la redondance et l'autocontrôle.
3.5. Serveur Historian

Le serveur Historian (historique), est un serveur SSI qui comporte une base de données, elle permet
de stocker les données process, il peut être local ou centralisé.
Serveur Historian local : est souvent à proximité des équipements industriels dont il enregistre les
données. La durée de rétention des informations est souvent limitée mais la granularité est très fine.
Ce serveur permet aux opérateurs d’effectuer des analyses approfondies en cas d’incident ou
d’anomalie du processus industriel.
Serveur Historian centralisé : collecte souvent les informations de plusieurs systèmes. La durée de
rétention des informations est souvent importante. En contrepartie, la granularité est souvent moins
fine que dans le cas du serveur d’historique local.
TE11- On distingue 3 catégories d’Historians :
 Historian Centralisé : disposer d’un serveur Historian local pour chaque ICS, et d’un un serveur
d’historian centralisé qui consolide tous les serveurs Historians locaux,
 Historian Local : les systèmes informatiques industriels dispose d’un serveur Historian local,
 Historian Inexistant : les systèmes informatiques industriels ne disposent pas d’un serveur Historian.
TE12 - On distingue 4 catégories de durée de rétention des Historians :

 Durée de Rétention Importante : l’Historian dispose d’une durée de rétention 5 ans et plus,
 Durée de Rétention Moyenne : l’Historian dispose d’une durée de rétention plus qu’un an et moins de
5ans,
 Durée de Rétention Courte : l’Historian dispose d’une durée de rétention de 1an au minimum,
 Durée de Rétention Faible : l’Historian dispose d’une durée de rétention moins que 1 ans.

3.6. Equipement Réseau Industriel

Les équipements réseau sont nécessaires à la communication et à l’interaction entre les différents
composant des systèmes informatiques industriels, d’où l’importance de leurs sécurisations.
TE13 - On définit 5 types d’équipement réseau industriel dans l’écosystème informatique industriel OT :
 Firewall industriel
 Data diode industrielle
 Switch industriel
 Borne sans-fil industrielle
 Passerelle VPN industrielle
Spécifications d’équipement réseau industriel recommandées

L’équipement réseau industriel doit comprendre les fonctions suivantes :
Filtrage par adresse MAC : permet de définir des listes blanches d’adresses MAC pour chaque port
Ethernet.
Authentification des terminaux connectés : permet d’authentifier les équipements terminaux connectés
avec un protocole tel que celui décrit dans la norme 802.1x.
Gestion des ports de communication : permet de désactiver les ports physiques non utilisés.
Fonctions d’administration : dispose de fonctions permettant de configurer ou, dans certains cas, de
programmer l’ensemble des autres fonctionnalités. Différentes interfaces d’administration sont
envisageables.
Journalisation locale et distante d’évènements : permet de définir une politique de journalisation locale
et distante d’évènements notamment de sécurité et d’administration.
L’équipement réseau industriel doit appliquer la configuration suivante :
o Désactiver serveur web,
o Désactive serveur FTP,
o Changer les configurations par défaut (mot de passe par exemple),
o Les mises à jour du firmware disponible sur le site du fabricant doivent être envoyées sur l’automate
à travers le réseau OT conformément à Politique de téléchargement recommandée (décrite dans la
section 5.3-Accès Internet depuis le réseau OT / Protection d’accès),
L’équipement réseau industriel doit pouvoir fonctionner dans un environnement hostile, il doit pouvoir
fonctionner en présence d’humidité ou de poussière ou avec des températures inhabituelles pour des
équipements informatiques.
3.6.1. Firewall industriel

Un firewall industriel permet d’assurer l’interconnexion inter-réseaux OT et entre un réseau OT qu’on
cherche à protéger et les autres réseaux notamment le réseau IT.
Ce firewall peut être positionné et agir en tant que routeur IP, proxy TCP ou encore pont Ethernet pour
des protocoles industriels non-IP. Il réalise un contrôle des flux, un filtrage et une réécriture des
protocoles, du niveau 2 jusqu’au niveau applicatif selon les protocoles connus et inspectés.

Spécifications de Firewall industriel recommandées

Le firewall industriel doit être conforme aux Spécifications d’équipement réseau industriel recommandées
et en plus il doit comprendre les fonctions suivantes :
Filtrage réseau : dispose de fonctions de filtrage dynamique aux niveaux 3 et 4. Dispose de fonctions de
filtrage au niveau 2 lorsque l’équipement est en mode transparent.
Analyse protocolaire : vérifie que les paquets reçus sont bien conformes aux normes spécifiant les
protocoles mis en œuvre.
Le firewall industriel en plus doit appliquer la configuration suivante :
o Les ACLs et les règles de firewall doivent très bien configurés et assure une grande sécurité,
o Contient les module IPS et IDS.
3.6.2. Data diode industrielle

Une Data diode industrielle est un équipement qui sert à faire l’interface entre deux réseaux et qui
n’autorise la communication que dans un seul sens et ce sans aucun canal retour. Dans l’écosystème
informatique industriel il interface entre deux réseaux, éventuellement entre un réseau OT et le réseau
IT. Les flux d’information ne seront alors possibles que depuis le réseau OT vers le réseau IT, l’objectif
étant de protéger l’intégrité et la disponibilité du réseau le plus sensible.
Spécifications de data diode industrielle recommandées
La data diode industrielle doit être conforme aux Spécifications d’équipement réseau industriel
recommandées et en plus elle doit comprendre la fonction suivante :
Unidirectionalité des flux : assure l’unidirectionnalité des flux depuis le réseau OT vers le réseau IT,
La data diode industrielle en plus elle doit appliquer la configuration suivante :
3.6.3. Switch industriel

Un switch industriel permet d’interconnecter différents équipements ou segments de réseaux
communiquant en Ethernet. Il supporte les VLAN et permet d’effectuer ainsi la segmentation du
réseau. Les switches industriels peuvent être utilisés dans de nombreux contextes différents, comme
dans les réseaux de terrain et les réseaux de supervision.
Spécifications de switch industriel recommandées
Le switch industriel doit être conforme aux Spécifications d’équipement réseau industriel recommandées et
en plus il doit comprendre la fonction suivante :
Cloisonnement logique : permet d’effectuer du cloisonnement logique (à l’aide de VLAN par exemple)
qu’il est possible de configurer.
Le switch industriel en plus il doit appliquer la configuration suivante :
o Les ACLs sont très bien configurés et assure une grande sécurité.
3.6.4. Borne sans-fil industrielle

Une borne sans-fil industrielle est un équipement qui permet de relier à un réseau industriel, un
ensemble d’équipements avec une connectivité sans-fil. Elle peut utiliser des technologies telles que
les 802.15.4, 802.11, ainsi que des normes industrielles comme SA100 Wireless (IEC 62734),
WirelessHART (IEC 62591).

Spécifications de borne Sans-fil industrielle recommandées

La borne sans-fil industrielle doit être conforme aux Spécifications d’équipement réseau industriel
recommandées et en plus elle doit comprendre les fonctions suivantes :
Connexion sans-fil : des équipements radio (mobile ou autre borne) peuvent se connecter à la borne sans-
fil via une interface sans-fil.
Cloisonnement logique : l’équipement permet d’effectuer du cloisonnement logique (à l’aide de VLAN par
exemple) qu’il est possible de le configurer.
La borne sans-fil industrielle en plus elle doit appliquer la configuration suivante :
o L’authentification doit être assurée par un serveur authentification indépendant de la borne sans-fil,
3.6.5. Passerelle VPN industrielle

La passerelle VPN industrielle permet d’instaurer un tunnel VPN entre le réseau à protéger et un réseau
distant protégé par une passerelle similaire. Les deux équipements assurent l’authenticité, l’intégrité
et la confidentialité des communications entre les deux réseaux. Elle permet également de connecter
un client nomade en VPN pour accéder au réseau industriel protégé.
Spécifications de passerelle VPN industrielle recommandées
La passerelle VPN industrielle doit être conforme aux Spécifications d’équipement réseau industriel
recommandées et en plus elle doit comprendre la fonction suivante :
Fonction de VPN : permet d’établir des tunnels VPN avec une passerelle distante ou avec un client nomade.
La passerelle supporte des protocoles standard (par exemple IPsec) et implémente des mécanismes
cryptographiques.
TE14 - On distingue 3 catégories de protection de d’équipement réseau industriel :

 Protection Hautement Sécurisée : conforme aux spécifications de son type d’équipement réseau
industriel recommandées (exemple : un firewall doit être conforme aux Spécifications de Firewall
industriel recommandées),
 Protection Partialement Sécurisée : conforme à quelques spécifications de son type d’équipement
réseau industriel recommandées,
 Protection Non-Sécurisée : n’est pas conforme à aucun des spécifications de son type d’équipement
réseau industriel recommandées.
3.7. Systèmes de détection d’intrusion et d’analyse de menaces

Un système de détection d’intrusion et d’analyse de menaces a pour objet de surveiller les événements
survenant sur un réseau ou dans un système, afin de détecter des menaces et d’alerter et prévenir
d’éventuelles intrusions.
Solution de détection d’intrusion et d’analyse de menaces recommandée
Le réseau OT ainsi que les systèmes informatiques industriels doivent être protégés par le déploiement
d’une solution de détection d’intrusion et d’analyse de menaces (SDI-AM) qui doit être :
o Installé à l’intérieur du réseau OT (voir Figure 3 – Annexe 1),
o Analyser le réseau OT et les équipements afin de détecter des événements qui indique :
 Une violation des règles de sécurité,
 L’apparition imminente d’une menace,
 Un comportement anormal.

Elle doit implanter des capteurs (sondes) sur :

o Le réseau OT pour surveiller le trafic (le système peut alors fonctionner en prévention d’intrusions),
o Les équipements OT pour surveiller leurs activités.
Les données recueillies doivent être analysées par :
o Signature : par détection d’une séquence de caractère correspondant à une attaque connue,
o Détection d’anomalie : par référence à un modèle d’activité considéré comme normal.
TE15 - On distingue 3 catégories de solution de détection d’intrusion et d’analyse de menaces :

 Solution de Détection d’intrusion et d’analyse de Menaces Puissante : solution conforme à la
solution de détection d’intrusion et d’analyse de menaces recommandée,
 Solution de Détection d’intrusion et d’analyse de Menaces Faible : solution non conforme à la
solution de détection d’intrusion et d’analyse de menaces recommandée,
 Solution de Détection d’intrusion et d’analyse de Menaces inexistante : solution de détection
d’intrusion et d’analyse de menaces inexistante.
3.8. SIEM (Security Incident and Event Monitoring)

Un SIEM permet de centraliser, trier et exploiter les diverses informations reçues sur l’activité d’un
système : trafic bloqué par les firewalls, alertes remontées des IDS, tentatives de login infructueux .
Solution SIEM recommandée
La solution SIEM doit accélérer l'identification et l'analyse des événements de sécurité en combinant au sein
d'un système unique de gestion de la sécurité, deux fonctions de gestion des informations et des événements :
o Un système SEM (Security Event Management) centralise le stockage et l'interprétation des logs, et
permet une analyse en quasi-temps réel. Le personnel de sécurité peut ainsi prendre des mesures
défensives plus rapidement.
o Un système SIM (Security Information Management) collecte des données et les place dans un
référentiel central à des fins d'analyse de tendances. La génération des rapports de conformité est
automatisée et centralisée.
Le SIEM doit collecter tout logs liés à la sécurité, notamment les journaux, à des fins d'analyse. Ainsi il doit
déployer des agents de collecte de manière hiérarchique. Ces agents collectent alors des événements liés à la
sécurité sur les équipements OT, les serveurs, les équipements réseau ainsi les solutions antivirales et anti-
intrusions. Les collecteurs ainsi installés font suivre les événements à une console d'administration
centralisée qui procède à des inspections et signale les anomalies.
TE16 - On distingue 3 catégories de SIEM :

 Solution SIEM Forte : solution conforme à la solution SIEM recommandée,
 Solution SIEM Faible : solution non conforme à la solution SIEM recommandée,
 Solution SIEM Inexistante : Solution SIEM inexistante.
TE17 - On distingue 3 catégories de déploiement de SIEM :

 Déploiement Centrale : la solution cyber-sécurité interagie avec un SIEM au niveau central,
 Déploiement Région : la solution cyber-sécurité interagie avec un SIEM au niveau régional,
 Déploiement Site : la solution cyber-sécurité interagie avec un SIEM au niveau site.

4. Protection réseaux
La protection des systèmes informatiques industriels et du l’écosystème informatique industriel ne
s’arrête pas seulement à la sécurisation contre les menaces extérieures venant d’internet, des réseaux
WAN et du réseau IT. mais doit prendre en charge aussi la protection contre les menaces qui viennent
de l’intérieur du réseau OT.
TR1- On distingue 5 catégories de réseau dans l’écosystème informatique industriel :
 Réseau OT : réseau industriel OT du site industriel qui comporte les équipements OT,
 Réseau IT : réseau de gestion de la région/site/complexe IT, y compris les équipements-IT qui se
trouvent au sein du site industriel,
 WAN-SH : réseau WAN de Sonatrach,
 WAN-AST : réseau WAN des partenaires en association,
 Réseau Extérieur : internet et tout autre réseau.
4.1. Interconnexion des Réseaux IT & OT

Le besoin de partage d’informations et des données ainsi l’accès au réseau OT depuis le réseau IT est
souvent existant d’où la nécessité de l’interconnexion des deux réseaux, quand ce besoin est inexistant,
l’interconnexion des deux réseaux est n’est pas nécessaire.
Il faut noter que au sein du site industriel on trouve deux réseaux, un « réseau OT » et un « réseau IT
du site » qui comporte les équipements-IT qui se trouvent au sein du site industriel. Le réseau IT du
site industriel fait partie du réseau IT de l’entreprise.
Architecture d’interconnexion des réseaux recommandée
La sécurisation du réseau OT connecté physiquement au réseau IT se traduit en mettant en place une
architecture de séparation logique à deux niveaux :
o Deux firewalls industriels de technologies différentes (voir Figure 1 – Annexe 1),
oOu un firewall industriel coté réseau IT et une passerelle de sécurité unidirectionnelle (Data Diode)
coté réseau OT (Figure 2 – Annexe 1).
La zone DMZ (DMZ-OT) sera la zone entre les deux firewalls qui sépare le réseau OT du réseau IT, cette
zone démilitarisée va abriter les équipements suivants :
o Les équipements passerelles utilisés pour les échanges d'information entre les réseaux IT et OT,
o Les équipements du réseau OT qui ont un besoin d'accès au réseau IT.
La zone DMZ (DMZ-OT) sert de passerelle et collecte les informations dans le réseau OT depuis le réseau
IT. L’accès direct depuis le réseau IT aux ressources du réseau OT est strictement interdit.
Il est strictement interdit d'utiliser le dual homing sur :
o Les réseaux DMZ et OT pour tous les serveurs et stations faisant partie du réseau OT,
o Les réseaux IT et DMZ pour tous les serveurs et stations faisant partie du réseau DMZ
TR2 - On distingue 5 catégories d’architecture d’interconnexion entre réseau OT et IT :

 Architecture Isolée : réseaux OT séparé physiquement et complètement isolé du réseau IT et des autres
réseaux,
 Architecture Fortement Séparée : réseau OT conforme à l’architecture d’interconnexion des réseaux
recommandée,

 Architecture Moyennement Séparée : réseau OT connecté physiquement au réseau IT, séparé

logiquement avec 2 niveau de firewalls industriels de la même technologie,
 Architecture Faiblement Séparée : réseau OT connecté physiquement au réseau IT, séparé
logiquement avec 1 niveau de firewall industriel,
 Architecture Exposée : réseau connecté physiquement au réseau IT et n’est pas séparé logiquement
(sans aucun firewall).
4.2. Accès aux données du réseau OT

L’accès aux données OT depuis le réseau IT est très critique, car il est source de menaces et
vulnérabilités qui peuvent être exploitées par un attaquant pour nuire aux systèmes informatiques
industriels, sans négliger les éventuelles menaces de l’intérieur du réseau OT, d’où la nécessité
d’implémenter une stratégie d’accès aux données sécurisée.
La sécurisation des accès aux données OT se traduit par l’implémentation de plusieurs types d’accès
suivant la nature des utilisateurs et source d’accès.
Procédure d’accès aux données dans le réseau OT recommandée
Pour pouvoir échanger les données entre les utilisateurs du réseau OT sans utiliser les clés USB ou autre
périphériques amovibles en toute sécurité, il faut mettre en place un serveur NAS (NAS-OT) protégé par une
solution antivirale, qui se trouve à l’intérieur du réseau OT (voir Figure 3 – Annexe 1).
Le partage entre les différents utilisateurs du réseau OT doit se faire via le serveur NAS-OT en utilisant des
répertoires partagés, avec des droits lecture-écritures aux utilisateurs qui partage les données et lecture-seule
pour les utilisateurs qui ont besoins des données. Il faut assurer une gestion rigoureuse des accès aux
répertoires partagés et droits entre les différents utilisateurs.
Procédure d’accès aux données du réseau OT depuis le réseau IT recommandée

Pour pouvoir partager les données du réseau OT avec des utilisateurs du réseau IT sans utiliser les clés USB
ou autres périphériques amovibles, en toute sécurité il faut mettre en place un deuxième serveur NAS (NAS-
DMZ) protégé par une solution antivirale, qui se trouve dans la zone DMZ-OT (voir Figure 3 – Annexe 1),
Le partage doit se faire via le serveur NAS-OT en utilisant des répertoires partagés et synchronisés vers le
serveur NAS-DMZ, les utilisateurs du réseau OT qui partage les données doivent avoir des droits lecture-
écritures sur les répertoires partagés du serveur NAS-OT et ceux du réseau IT qui ont besoins des données
doivent avoir des droits lecture-seule sur les répertoires synchronisés sur le serveur DMZ-OT.
Les deux NAS doivent être synchronisés automatiquement à travers le firewall, la synchronisation doit se
faire pour les répertoires partagés dans un seul sens du NAS-OT vers le NAS-DMZ.
En cas de besoin d'accès à un serveur (exemple serveur Historian) depuis le réseau IT, il faut implémenter
un réplica (shadow) de ce serveur qui se trouvera dans la DMZ-OT, l’accès depuis le réseau IT se fera sur
ce serveur répliqué OT (voir Figure 3 – Annexe 1).
Les droits et règles d'accès à ce serveur réplica devront être minutieusement implémentés.
Procédure d’accès aux données du réseau OT délocalisées recommandée

Afin de délocaliser les sauvegardes du site il faut mettre en place un troisième serveur NAS (NAS-FAR)
dans un lieu géographiquement diffèrent du site source OT (voir Figure 3 – Annexe 1).
Le serveur NAS-FAR doit être déconnecté physiquement (offline) sauf au cours des opérations de
sauvegarde.

TR3- On distingue 4 catégories d’accès aux données du réseau OT depuis le réseau IT :

 Accès aux données Hautement sécurisé : l’accès aux données conforme aux procédures d’accès aux
données dans le réseau OT, d’accès aux données du réseau OT depuis le réseau IT et d’accès aux
données du réseau OT délocalisées recommandées,
 Accès aux données Moyennement Sécurisé : l’accès aux données du réseau OT est conforme aux
procédures d’accès aux données dans le réseau OT et d’accès aux données du réseau OT depuis le
réseau IT recommandées,
 Accès aux données Faiblement Sécurisé : l’accès aux données du réseau OT est conforme à la
procédure d’accès aux données dans le réseau OT recommandée,
 Accès aux données Non-Sécurisé : l’accès aux données du réseau OT autre que les trois catégories
d’accès aux données précédentes.
4.3. Segmentation
Un réseau non segmenté donne l’accès à l’ensemble des équipements du réseau OT en cas d’intrusion,
d’où la nécessité d’assurer une segmentation adéquate du réseau OT pour garantir la sécurité des
systèmes informatiques industriels.
Segmentation réseau OT recommandée
Pour avoir une sécurité plus renforcée Il faut mettre en place une segmentation du réseau OT en zones qui
est un regroupement logique et/ou physique de ressources ayant des exigences similaires en matière de
sécurité, et des conduits entre les zones qui regroupe des canaux de communication entre deux ou plusieurs
zones.
Lors de la modélisation des zones et des conduits, il faut prendre en compte que :
o Une zone peut avoir des sous-zones,
o Un conduit ne peut pas avoir de sous-conduits,
o Une zone peut avoir plusieurs conduits, les équipements au sein d'une zone utilisent un ou plusieurs
conduits pour communiquer,
o Un conduit ne peut pas traverser plus d'une zone,
o Les conduits servent à l’analyse des vulnérabilités et des risques potentiels pouvant exister au niveau
de la communication à l’intérieur d’une zone et dans les échanges entre zones,
o Les conduits se constitue de firewall, data diode ou switch pour la séparation entre les zones.
Le réseau OT doit être segmenté en zones et conduits (voir Figure 3 – Annexe 1) comme suit :
o Zone DMZ-OT : regroupe les équipements qui se trouve que dans la DMZ,
o Zone partage OT-IT : regroupe les serveurs partages et réplicas de données au réseau IT,
o Zone Accès Internet : regroupe les serveurs CSI qui accède à internet.
o Zone d’Accès Extérieur : regroupe serveurs qui accède à l’extérieurs,
o Zone Réseau Sans-fil OT : regroupe les connexions sans-fil du réseau OT,
o Zone ICS : chaque ICS doit être dans une zone distincte,
o Zone serveurs CSI : regroupe les serveurs communs a toute la solution cyber-sécurité,
o Zone Postes de travail OT : regroupe les PCs qui se connectent au réseau OT.
Eventuellement pour chaque système informatique industriel on définit des sous zones :
o Sous-Zone Réseau de supervision : Pour surveiller les automates et systèmes ICS, et détection
d’anomalie comme HMI, station d’ingénierie
o Sous-Zone PLC : réseau d’administration des automates.
o Sous-Zone Réseau de terrain : qui relient les entrées/sorties déportées aux automates.
o Sous-Zone Serveur : qui regroupe les serveurs du SII comme le serveur Historian local.

TR4- On distingue 3 catégories de segmentation du réseau OT :

 Segmentation Forte : un réseau OT segmenté conforme au segmentation réseau OT recommandée.
 Segmentation Moyenne : un réseau OT segmenté non conforme au segmentation réseau OT
recommandée.
 Segmentation Faible : un réseau OT non segmenté.
5. Protection d’accès
La gestion des accès logique a pour objectif de mettre en place un ensemble d’outils et de procédures
permettant de renforcer la sécurité et le contrôle d’accès au diffèrent systèmes et équipements.
5.1. Accès distants

L'accès distant permet d'accéder à un réseau depuis l’extérieur pour intervenir sur un système ou un
équipement, pour tous type d’interventions comme la maintenance.
Solution gestion d’accès distants recommandée
Pour un accès distant sécurisé aux systèmes informatiques industriels, il faut mettre en place une solution de
gestion d’accès distant, implémenté sur un serveur (SRV_Remote) qui se trouve dans la DMZ-OT (voir
Figure 3 – Annexe 1), cette solution répond aux exigences suivantes :
o Gestionnaire d’accès : régit les accès des comptes à privilèges,
o Coffre-fort à mots de passe : stocke les mots de passe de façon sécurisée, tout accès à un système
passe par le coffre-fort,
o Enregistrement d’activité : enregistre toutes les activités d’une session en vue d’une analyse ou d’un
control.
o Gestion d’accès à privilèges : l’application des stratégies de gestion des accès à privilèges via le
gestionnaire d’accès permet :
 La demande d’accès des utilisateurs à privilèges,
 Chaque utilisateur accédé avec un niveau de privilège définie.
 Un super administrateur peut ajouter, modifier ou supprimer de façon centralisée les comptes
d’utilisateurs à privilèges.
 Alerter les administrateurs de l’application de manière automatique pour prévenir des actions
malveillantes ou non autorisées.
 La fermeture automatiquement d’une session à privilèges frauduleuse.
TC1- On distingue 4 catégories d’accès distants :

 Accès Distant Interdit : aucun accès distant au systèmes informatique industriels n’est autorisé,
 Accès Distant Sécurisé : accès distant conforme à la solution gestion d’accès distants recommandée,
 Accès Distant Non-Sécurisé : accès distant non conforme à la Solution gestion d’accès distants
recommandée,
 Accès Distant VPN : Accès VPN en utilisant passerelle VPN industrielle.

5.2. Accès Internet depuis le réseau OT

L’accès à internet est une source de menace au réseau OT et aux systèmes informatiques industriels,
néanmoins il reste indispensable pour télécharger les différents patches et firmewares ainsi aux mises
a jours comme les mises à jours antivirales.
L’accès des PC-OT à l’internet est strictement interdit, le besoin de téléchargement et des mises à jour
et patches est diffèrent pour les softwares Microsoft ou autre softwares, qui mènent à mettre en place
des politiques distinctes pour les deux aspects.
Politique de téléchargement recommandée
Pour pouvoir télécharger en toute sécurité depuis un réseau OT, il faut mettre en place une politique
rigoureuse et sécurisée, via un serveur (SRV-Downloads) dédié au téléchargement qui soit autorisé d’accès
à l’Internet ,
Le SRV-download se trouve dans la zone DMZ-OT (voir Figure 3 – Annexe 1), la procédure de
téléchargement doit respecter :
o Avoir deux carte réseaux, une pour la connexion internet et l’autre pour la connexion au DMZ-OT,
les deux cartes doivent être identifiées et étiquetées,
o La connexion physique à internet (carte réseau physiquement connectée) ne doit se faire que pendant
la période de téléchargement,
o Le téléchargement doit être fait par l’administrateur systèmes, il copie les fichiers téléchargés vers les
partages adéquates dans le serveurs NAS-DMZ.
o La connexion au réseau OT (carte réseau physiquement connecté) doit se faire que pendant la période
du transfert des téléchargements vers NAS-DMZ,
o La synchronisation automatique entre les deux serveur NAS est interdite elle doit être une
synchronisation unidirectionnelle manuelle, faite par l’administrateur systèmes,
o Les partages sur le NAS-OT pour les utilisateurs OT doivent être en lecture seul.
o Avant la synchronisation l’administrateur système doit s’assurer de l’intégrité des données et les
scanner avec l’antivirus.
Le SRV-downloads doit :
o Avoir un système exploitation linux,
o Avoir une image système du SRV-downloads prête, et périodiquement encrasser SRV-downloads
avec l’image,
o La politique de filtrage des URLs doit être spécifique au sites de téléchargement, il est strictement
interdit de naviguer à internet du SRV-downloads.
TC2 - On distingue 4 catégories de téléchargement depuis le réseau OT :

 Téléchargement Sécurisée : une politique conforme à la politique de téléchargement recommandée,
 Téléchargement Moyennement Sécurisé : une politique est partialement conforme à la politique de
téléchargement recommandée,
 Téléchargement Non-Sécurisé : une politique non conforme à la politique de téléchargement
recommandée,
 Téléchargement Inexistante : une politique de téléchargement inexistante.

Politique de mise à jour des logiciels Microsoft

Pour pouvoir mettre à jour les logiciels Microsoft en toute sécurité depuis un réseau OT, il faut mettre en
place une politique rigoureuse et sécurisée, via deux serveurs d’update :
o Un serveur Upstream (SRV-UpdateUp) dédié pour le des correctifs des logiciels Microsoft qui soit
autorisé d’accès à l’Internet, et qui se trouve dans la zone DMZ-OT (voir Figure 3 – Annexe 1),
o Un serveur Downstream (SRV-UpdateDown) synchronisé avec SRV-UpdateUp pour récupérer les
correctifs des logiciels Microsoft téléchargés, qui se trouve à l’intérieur du réseau OT (voir Figure 3
– Annexe 1).
Le SRV-UpdateUp doit respecter la procédure de l’update suivante :
o Avoir deux cartes réseaux, une pour la connexion internet et l’autre pour la connexion au DMZ-OT,
les deux cartes doivent être identifiées et étiquetées,
o La connexion physique à internet (carte réseau physiquement connectée) périodiquement pour pouvoir
récupérer les dernières mises à jour,
o L’approbation des correctifs doit être faite par l’administrateur systèmes.
Le SRV-UpdateUp doit :
o Avoir un système exploitation linux,
o Avoir une image système du SRV-UpdateUp prête, et périodiquement encrasser le SRV- UpdateUp
avec l’image,
o La politique de filtrage des URLs doit être spécifique aux sites d’update des logiciels Microsoft, il
est strictement interdit de naviguer à internet de ce SRV-UpdateUp.
Le SRV-UpdateDown doit respecter la procédure de l’update suivante :
o Avoir deux carte réseaux, une pour la connexion réseau OT et l’autre pour la synchronisation avec le
SRV-UpdateUp, les deux cartes doivent être identifiées et étiquetées,
o La connexion physique de synchronisation avec SRV-UpdateUp (carte réseau physiquement
connectée) ne doit se faire que pendant la période de la synchronisation,
o La synchronisation unidirectionnelle entre SRV-UpdateUP et SRV-UpdateDown doit se faire
manuellement, La synchronisation automatique entre les deux serveurs est interdite,
o Une autre opération pour approuver les correctifs plus spécifique au niveau PC-UpdateDown doit être
faite par l’administrateur systèmes en prenant compte des spécifications des constructeurs et éditeurs
des systèmes et applications qui tournent sur ces serveurs ciblés,
o L’administrateur système doit s’assurer que ces correctifs n’ont pas un effet néfaste sur les machines
ou les systèmes informatique industriels,
o La connexion physique avec le réseau OT (carte réseau physiquement connectée) ne doit se faire que
périodiquement pour pouvoir diffuser les dernières mises à jour.
TC3 - On distingue 4 catégories de politique de mise à jour des logiciels Microsoft depuis le réseau OT :
 Mise à Jour Microsoft Sécurisée : conforme à la politique de mise à jour des logiciels Microsoft,
 Mise à Jour Microsoft Moyenne : partialement conforme à la politique de mise à jour des logiciels
Microsoft,
 Mise à Jour Microsoft Non-Sécurisé : non conforme à la politique de mise à jour des logiciels
Microsoft,
 Mise à Jour Microsoft Inexistante : mise à jour des logiciels Microsoft inexistante.

TC4 - On distingue 5 catégories d’accès internet :

 Accès Internet Interdit : Aucun accès internet ne doit être toléré,
 Accès Internet Hautement Sécurisé : Aucun accès internet, sauf pour les téléchargements conformes
à la politique de téléchargement recommandée, et des mises à jour des logiciels Microsoft conformes à
la politique de mise à jour des logiciels Microsoft,
 Accès Internet Moyennement Sécurisé : Aucun accès internet, sauf pour les téléchargements
conformes à la politique de téléchargement recommandée, et des mises à jour des logiciels Microsoft
non conformes à la politique de mise à jour des logiciels Microsoft,
 Accès Internet Peu Sécurisé : Aucun accès internet, sauf pour les téléchargements non conformes à la
politique de téléchargement recommandée, et des mises à jour des logiciels Microsoft conformes à la
politique de mise à jour des logiciels Microsoft,
 Accès Internet Faiblement Sécurisé : Aucun accès internet, sauf pour les téléchargements non
conformes à la politique de téléchargement recommandée, et des mises à jour des logiciels Microsoft
non conformes à la politique de mise à jour des logiciels Microsoft,
 Accès Internet Libre : un accès internet libre existe depuis le réseau OT.
5.3. La sécurisation des accès aux réseaux sans-fil

Les réseaux sans fil sont intrinsèquement moins sûrs que les connexions câblées et ils peuvent être
vulnérables à une intrusion de l’extérieur comme de l’intérieur du site et constituent une vecteur
d’attaque important donc il est indispensable d’assurer une sécurité maximale.
TC5 - On distingue 3 catégories de réseaux sans-fil :
 Réseau Sans-fil OT : réseau sans-fil connecté au réseau OT,
 Réseau Sans-fil IT : réseau sans-fil connecté au réseau IT,
 Réseau Sans-fil Externe : réseau sans-fil connecté à d’autres réseaux.
TC6 - On distingue 2 catégories d’équipements nomades dans l’écosystème informatique industriel :

 Laptop : Pc portable,
 Smartphone : tablettes, smartphone et téléphones portables.
Politique de sécurité des réseaux sans-fil recommandée

Pour avoir une sécurité plus renforcée pour les réseaux sans-fil industriels (Sans-fil OT), Il faut mettre en
place une politique qui répond aux exigences suivantes :
o Les connexions à ces réseaux sont strictement interdites pour tous les équipements nomades laptop
et smartphone,
o Toutes les bornes sans-fil doivent être reliées au réseau OT avec un support câblé.
o Les réseaux sans-fil OT doivent être dans une zone spécifique « zone sans-fil OT » (voir Figure 3 –
Annexe 1).
o L’authentification des équipements aux bornes sans-fil OT doit être assurée par un serveur
d’authentification indépendant de la borne sans-fil.
o La connexion de tous les équipements du réseau OT aux réseaux sans-fil IT et sans-fil externe est
strictement interdite.

TC7 - On distingue 3 catégories d’accès aux réseaux Sans-fil :

 Accès Réseaux Sans-fil OT Hautement sécurisé : accès conforme totalement à la politique de sécurité
des réseaux sans-fil OT recommandée,
 Accès Réseaux Sans-fil OT Moyennement sécurisé : accès non conforme partiellement à la politique
de sécurité des réseaux sans-fil OT recommandée,
 Accès Réseaux Sans-fil OT Faiblement sécurisé : accès non conforme totalement à la politique de
sécurité des réseaux sans-fil OT recommandée.
5.4. Sécurisation des connexions au réseau industriel

Dans un site industriel selon le type de connexion et le réseau au quel sont connectés, que les
connexions réseaux sont identifiés.
TC8 - On distingue 3 catégories de type de connexion des équipements :
 Connexion Directe : l’équipement est connecté directement au réseau OT,
 Connexion Prise Réseau : l’équipement est connecté à travers une prise réseau OT,
 Connexion Sans-Fil : l’équipement est connecté à travers un réseau sans fil au réseau OT.
TC9 - On distingue 3 catégories de prises réseau existante dans les sites industriels :
 Prises Réseau Industriels : prises réseau connectés au réseau OT,
 Prises Réseau Informatiques : prises réseau connectés existantes dans le site industriel qui se
connectent au réseau IT,
 Prises Réseau Non-Utilisées : prises réseau ne se connectent à aucun réseau.
TC10 - On distingue 3 catégories de connexion des équipements aux prises réseau prises :
 Connexion au Réseau OT : les équipements du réseau OT sont connectés aux prises réseau industriels
 Connexion au Réseau IT : les équipements du réseau OT sont connectés aux prises réseau
informatiques
 Connexion Simultanée : les équipements du réseau OT sont connectés simultanément aux prises des
deux réseaux industriels et informatiques
Politique de raccordement des prises réseau industriel recommandée
Les systèmes informatiques industriels et équipements OT ne doivent jamais avoir une connexion au réseau
IT ni une connexion simultanée.
Les prises réseau industriels ne doivent pas être accessibles dans les lieux publics,
Les prises réseau non-utilisées doivent être désactivées.
La connexion au réseau OT des équipements nomades laptop et smartphone est strictement interdite.
TC11 - On distingue 3 catégories de prise réseau industriel :

 Raccordement Hautement Sécurisé : raccordement conforme à la politique de raccordement des prise
réseau industriel recommandée,
 Raccordement Moyennement Sécurisé : raccordement conforme partiellement à la politique de
raccordement des prise réseau industriel recommandée,
 Raccordement Faiblement Sécurisé : raccordement non conforme totalement à la politique de
raccordement des prise réseau industriel recommandée.

6. Protections physiques
La sécurité physique traite les aspects de la sécurité relative à l’emplacement physique et les contrôles
d’accès des équipements, elle influe directement sur la sécurité de ces équipements.
6.1. Salles serveurs et locaux techniques

Les équipements des systèmes informatiques industriels peuvent être installés dans plusieurs zones et
emplacements, ces zones sont accessibles par plusieurs intervenants. Le contrôle des accès à ces zones
représente la première barrière sécurisant les systèmes d'informatiques industriels contre d'éventuelles
attaques ou malveillances.
TP1- On distingue 6 catégories de zone à protéger :
 Salle Serveurs : salles serveurs, locaux techniques qui abritant principalement des serveurs et
équipements OT,
 Local Technique Instrumentation : local abritant principalement les équipements de contrôle et/ou
de sécurité (armoires d’instrumentation, automates, contrôleurs, cartes d'E/S, etc…),
 Local Sous-station Electrique : local abritant principalement les équipements électriques (onduleurs,
TGBT, groupes électrogène, IED et automate électriques, etc…),
 Salle Contrôle : local abritant principalement les postes de supervision,
 Zone Externe : les zones hors sites industriels comme les puits, les manifolds qui abrite des
équipements,
 Lieux Publiques : bureaux, couloirs, et autre lieu publique dans le site industriel.
6.2. Contrôle d’accès physique

Le contrôle d’accès physique aux salles serveur et locaux techniques permet de contrôler et gérer
l’accès à ces lieux, afin de mieux sécuriser les équipements sensibles qu’elles hébergent.
TP2 - On distingue 4 catégories de contrôle d’accès physique :
 Contrôle Accès Strict : contrôle d’accès avec badge, clavier à code, clé magnétique ou lecteur
biométrique, avec solution de vidéosurveillance,
 Contrôle Accès Haut : contrôle d’accès avec badge, clavier à code, clé magnétique ou lecteur
biométrique,
 Contrôle Accès Serrure : serrures, cadenas fermées à clés,
 Contrôle Accès Inexistant : accès libre.
6.3. Profils d’accès physique

Les populations qui accèdent aux salles serveur et locaux techniques peuvent avoir plusieurs profils
(des employés, des sous-traitants ou des visiteurs), les autorisations attribuées sont spécifiques à
chaque profil.
TP3 - On distingue 3 catégories de profils d’accès physiquement :
 Populations Interne Autorisé : administrateur systèmes, ingénieur systèmes (instrumentiste,
électricien, process), operateurs et responsables d'exploitation, opérateurs HSE et agents de sureté,
 Populations Interne Non-Autorisées : les populations non autorisées,
 Populations Externes : prestataires externes, sous-traitants, stagiaires.

6.4. Droit d’accès physique

Les droits d’accès aux lieux critiques comme les salle serveurs et locaux technique varient selon les
populations demandeurs d’accès, la définition de ces droits d’accès aux populations autorisées
contribue à une meilleure protection des équipements.
TP4 - On distingue 4 catégories d’accès physique :
 Accès Sécurisé : les accès sont strictement interdits aux populations externes s’ils ne sont pas
accompagnés, ils sont journalisés et audités. Les droits d’accès aux populations Interne autorisés sont
revus régulièrement,
 Accès Moyennement Sécurisé : les accès sont strictement interdits aux populations externes s’ils ne
sont pas accompagnés, ils sont journalisés et audités,
 Accès Faiblement Sécurisé : les accès sont strictement interdits aux populations externes s’ils ne sont
pas accompagnés,
 Accès Non Sécurisé : les accès sont autorisés aux populations externes.
6.5. Intervenants sur les équipements

Les intervenants sur un équipement sont les personnes censées apporter des modifications ou faire de
la maintenance sur ces équipements.
TP5 - On distingue 4 catégories d’intervenant sur les équipements des systèmes informatiques industriels :
 Intervenant Qualifié : l’intervenant a reçu une formation spécifique à son rôle sur le système
informatique industriel et qu’il a été sensibilisé à la sécurité des systèmes informatiques industriels,
 Intervenant Formé : l’intervenant a reçu une formation spécifique à son rôle sur le système
informatique industriel, et qu’il n’a pas été sensibilisé à la sécurité des systèmes informatiques
industriels,
 Intervenant Sensibilisé : l’intervenant n’a pas reçu une formation spécifique à son rôle sur le système
informatique industriel, et qu’il a été sensibilisé à la sécurité des systèmes informatiques industriels,
 Intervenant Non-Qualifié : l’intervenant n’a pas reçu une formation spécifique à son rôle sur le
système informatique industriel, et qu’il n’a pas été sensibilisé à la sécurité des systèmes informatiques
industriels.
6.5.1. Droit d’intervention

Les interventions sur les équipements des systèmes informatiques industriels font objet à des droits
d’intervention selon les profils des intervenants, ainsi il est d’une grande importance de suivre et
journaliser les interventions sur ces équipements.
TP6 - On distingue 4 catégories de droit pour les intervenants sur un système informatique industriel :
 Droit Accordé : Intervenant a été autorisé explicitement à intervenir et ses actions peuvent être tracées,
 Droit Non-Journalisé : Intervenant a été autorisé explicitement à intervenir et ses actions ne peuvent
pas être tracées,
 Droit Non-Autorisé : Intervenant n’est pas autorisé explicitement à intervenir et ses actions peuvent
être tracées,
 Droit Non-Accordé : Intervenant n’est pas autorisé explicitement à intervenir et ses actions ne peuvent
pas être tracées.

6.5.2. Intervention sur les équipements

Les interventions des populations sur les systèmes informatiques industriels peut engendrer des failles
de sécurité si elle ne suit pas des procédures adéquates est nécessaire pour garantir l’intégrité et la
confidentialité des données.
TP7 - On distingue 4 catégories d’intervention des populations externes sur un système informatique industriel :
 Intervention Rigoureuse :
o Les intervenants sont qualifiés avec un droit d’intervention accordé,
o Les interventions sont planifiées précédemment (mots de passe, accès, …),
o Les intervenants n’utilisent pas leurs propres outils (pc, disque externe, clé USB, …).
 Intervention Modérée :
o Les interventions sont planifiées précédemment (mots de passe, accès, …),
o Les intervenants utilisent leurs propres outils (pc, disque externe, clé USB, …).
 Intervention Faible :
o Les interventions ne sont pas planifiées précédemment (mots de passe, accès, …),
 Intervention Exposée :
o Les intervenants sont non-qualifiés avec un droit d’intervention non-accordé,
o Les interventions ne sont pas planifiées précédemment (mots de passe, accès, …),

Mesures Organisationnelles

En plus des mesures techniques nécessaires pour sécuriser les systèmes informatiques industriels, il est
essentiel aussi de prévoir des mesures organisationnelles qui définies des exigences organisationnelles pour
but d’accroitre la sécurité de l’écosystème informatique industriel. La mise en œuvre de telles mesures
organisationnelles permet d’assurer plusieurs aspects de sécurité humains et procédurales.
7. Organisation et responsabilités
L’organisation joue un rôle essentiel dans la cyber-sécurité informatique industrielle, elle se traduit par la
définition des rôles et des responsabilités en matière de cyber-sécurité à tous les niveaux de l’entreprise,
cela permettra une meilleure prise en charge de la cyber-sécurité au sein de l’écosystème informatique
industriel.
7.1. Organisation cyber-sécurité

L’organisation cyber-sécurité s’étale sur plusieurs niveaux afin de répondre aux besoins de la cyberdéfense
à tous ces niveaux, en définissant plusieurs entités responsables.
OB1- On distingue 3 catégories niveau d’organisation cyber-sécurité :
 Entité Centrale : l’entité responsable de la cyber-sécurité et la cyberdéfense industriel au niveau central
(Entreprise),
 Entité Régionale : une entité qui dépend directement de l’entité centrale, elle est responsable de la cyber-
sécurité industrielle au niveau région cyber-sécurité industrielle, elle représente une région TRC, DP, AST,
l’activité LQS et l’activité RPC,
 Entité Site : une entité qui dépend directement de l’entité régionale, elle est responsable de la cyber-sécurité
industrielle au niveau du site cyber-sécurité industriel, elle représente une station TRC, un site industriel DP,
AST, un complexe LQS, RPC.
7.2. Chaîne de responsabilités

Idem pour les entités de la cyber-sécurité le besoin de définir la responsabilité de cyber-sécurité hiérarchisée
dans tous les niveaux existants.
OB2- On distingue 3 catégories de responsable de cyber-sécurité industrielle :
 Responsable Central Cyber-Sécurité Industrielle : il est le responsable de la cyber-sécurité et la
cyberdéfense industriel au niveau central (entreprise),
 Responsable Régional Cyber-Sécurité Industrielle : il est le responsable de la cyber-sécurité et la
cyberdéfense industriel au niveau régional, Il dépend directement du responsable central de cyber-sécurité
Industriel. Pour les régions dont le régime du travail est en back-to-back il faut avoir un responsable vis-à-
vis,
 Responsable Site Cyber-Sécurité Industrielle : il est le responsable de la cyber-sécurité et la cyberdéfense
industriel au niveau site, Il dépend directement du responsable régional de cyber-sécurité Industriel. Pour les
sites dont le régime du travail est en back-to-back il faut avoir un responsable vis-à-vis.
7.3. Charte de responsabilité

La charte de responsabilités est une charte qui décrit et régit les interventions et les interfaces entre les
différents profils cyber-sécurité et profils métiers acteurs dans la protection, l’exploitation et la maintenance
des systèmes informatiques industriels.

7.3.1. Profils de cyber-sécurité

La cyber-sécurité dans un site industriel comporte des divers profils, chaque profil prend en charge un
aspect diffèrent de la cyber-sécurité.
OB3- On distingue 3 catégories de profils de cyber-sécurité :
 Administrateur Réseau OT : prend en charge l’administration des équipements réseau OT,
 Administrateur Système OT : prend en charge l’administration des systèmes, sauvegardes, …
 Administrateur Sécurité OT : prend en charge l’administration des équipements de surveillance, détection
des vulnérabilités et solution antivirale…
7.3.2. Profils de métiers

L’exploitation et la sécurité fonctionnelle des systèmes informatiques industrielles et prises en charge par
d’autres profils fonctionnels interagissant avec ces systèmes.
OB4- On distingue 5 catégories de profils métiers :
 Responsable Fonctionnel ICS,
 Intervenant Fonctionnel ICS ,
 Operateur Fonctionnel ICS
 Ingénieur Process,
 Exploitant Fonctionnel ICS,
8. Cartographie des équipements

Une cartographie complète des systèmes Informatiques industriels est un élément indispensable pour
instaurer une cyber-sécurité efficace car cela offre une connaissance fine de l’écosystème informatique
industriel et de son environnement.
À titre d’exemple, cela permet d’évaluer rapidement l’impact d’une vulnérabilité découverte dans un
produit ou de mesurer l’étendue d’une compromission. Une cartographie des systèmes industriels permettra
également de résoudre les incidents cyber-sécurité plus rapidement.
8.1. Types d’informations d’inventaire :

Les informations à inventorier qui concernent les équipements et les intervenants existants dans
l’écosystème informatique industriel sont variés selon leurs nature et fonctionnalité.
OE1 - On distingue 8 catégories de type d’informations à inventorier sur les systèmes informatiques industriels :
 Architectures Réseau OT : architectures d’interconnexion réseau des équipements et types d’architecture
du réseau OT (isolé, séparé, …),
 Equipement ICS : les informations techniques de l’équipement ICS (serveur, HMI, station d'ingénierie,
PLC, applications)
 Equipement Réseau : les informations techniques des équipements réseau (firewall ,routeur, Switch, ….)
 Responsables des Systèmes ICS : coordonnées des responsables des systèmes ICS (structure, département,
nom, prénom, numéro téléphone, …),

 Intervenant sur les Systèmes ICS : coordonnées des intervenants sur les systèmes ICS (structure,
département, nom, prénom, numéro, ...),
 Interfaces : les interfaces existantes entre les systèmes,
 Normes : les normes adoptées au niveau des sites,
 Protocoles : les protocoles utilisés au niveau des sites industriels,
 Local Technique et Salle Machines : zones d’emplacements des équipements.
8.2. Inventaire
L’inventaire pertinent des informations recensées permet d’établir une cartographie complète des
équipements et des intervenants existants au sein de l’écosystème informatique industriel.
OE2- On distingue 4 catégories d’inventaire :
 Inventaire Basique : équipements ICS, Responsables des Systèmes ICS et intervenants sur les systèmes
ICS,
 Inventaire Réseau : architectures réseau OT, équipement réseau
 Inventaire Détaillé : protocoles, local technique et salle machines,
 Inventaire Additif : normes et interfaces, et autre.
8.3. Cartographie
La cartographie complète est essentielle pour permettre d'avoir connaissance de l'ensemble des composants
dans l’écosystème informatique industriel et permet d'obtenir une meilleure lisibilité afin d’assurer une
bonne orientation lors des actions de sécurisation.
OE3- On distingue 5 catégories de cartographie :
 Cartographie Complète : inventaire basic, réseau, détaillé et additif,
 Cartographie Générale : inventaire basic, réseau, détaillé,
 Cartographie Partielle : inventaire basic, réseau,
 Cartographie Basique : inventaire basic,
 Cartographie Inexistante : pas inventaire.
OE4- On distingue 4 catégories de périodicité de la cartographie :

 Cartographie Fréquente : une fois par an,
 Cartographie Régulière : une fois dans les 3 ans,
 Cartographie Occasionnelle : une fois dans les 5 ans,
 Cartographie Rare : une fois dans les 10 ans.
9. Gestion des risques

La gestion des risques constitue le cœur des mesures organisationnelles. Elle est le point de départ de toute
démarche de cyber-sécurité, d’autres mesures dépendent d’elle directement, d’où l’importance d’avoir une
bonne méthodologie d’analyse et de traitement des risques.

9.1. Probabilité d’occurrence des menaces

Le risque est la probabilité qu’une menace particulière puisse exploiter une vulnérabilité, notamment une
donnée du système, d’application ou d’équipement.
OR1- On distingue 5 catégories de probabilité d’occurrence des menaces :
 Fréquent : se produit une fois tous les 1 mois,
 Probable : se produit une fois tous les 6 mois,
 Possible : se produit une fois par an,
 Peu-probable : se produit une fois tous les 3 ans,
 Non-probable : se produit une fois tous les 10 ans.
9.2. Gravité des conséquences

La mise en œuvre d'une échelle de gravité unique est essentielle pour l'adoption d'un langage commun et
d'un processus décisionnel vue les conséquences possibles.
OR2- On distingue 5 catégories de gravité selon les conséquences :
Disponibilité Intégrité Confidentialité

Niveau Indisponibilité de Données Données
Equipement
l’équipement Compromise Exfiltrées
ICS <= 1 minute
PLC <= 2 minutes
Serveurs SII <= 5 minutes
Minime Aucune Aucune
Serveurs CSI <= 5 minutes
Equipements réseau <= 1 heure
ICS > 1 minute & <= 5 minutes

PLC > 2 minute & <= 10 minutes
Serveurs SII > 5 minutes & <= 30 minutes Insignifiantes Insignifiantes
Mineur Serveurs CSI > 5 minute & <= 1 heure
Equipements réseau > 1 heure & <= 6 heure
ICS > 5 minutes & <= 1 heure

PLC > 10 minute & <= 2 heures
Serveurs SII > 30 minutes & <= 4 heures Importantes Importantes
Sérieux Serveurs CSI > 1 heure & <= 6 heures
Equipements réseau > 6 heures & <= 1 jour
ICS > 1 heure & <= 6 heure

PLC > 2 heures & <= 6 heure
Serveurs SII > 4 heures & <= 1 jour Importantes Importantes
Majeur Serveurs CSI > 6 heures & <= 1 jour
Equipements réseau > 1 jour & <= 1 semaine
ICS > 6 heures

PLC > 6 heures
Serveurs SII > 1 jour
Critique Serveurs CSI > 1 jour Critiques Critiques
Equipements réseau > 1 semaine

9.3. Matrice de risques

On déduit les niveaux de risque en suivant une approche qualitative, à l'aide d'une matrice de criticité du
risque.
Gravité des conséquences
Minime Mineur Sérieux Majeur Critique
Fréquent Elevé Elevé Elevé Extrême Extrême

d’occurrence
Probabilité
Probable Modéré Elevé Elevé Extrême Extrême
Possible Tolérable Modéré Elevé Extrême Extrême
Peu-probable Tolérable Tolérable Modéré Elevé Extrême
Non-probable Tolérable Tolérable Modéré Elevé Elevé
OR3- On distingue 4 catégories de niveau de risque :

 Tolérable : risque accepté,
 Modéré : risque accepté et monitoré.
 Elevé : action obligatoire et prévue (planifiée).
 Extrême : action immédiate requise.
9.4. Analyse et Traitement des risques

L’analyse et le traitement des risques a pour but de faire sortir les menaces et les risques existants dans le
site industriel, qui touche tous les niveaux de l’écosystème informatique industriel, ainsi une prise de
décision sur l'ensemble des risques dégagés.
Méthode d’analyse et traitement des risques recommandée
L’analyse et le traitement des risques sur un site industriel doit se faire conforme à la norme 62443-3-2 et en
respectant les étapes :
 ZCR 1 : Identification du SUC « System Under Consideration »
 ZCR 2 : Appréciation initiale du risque de cyber-sécurité
 ZCR 3 : Division du SUC en zones et conduits
 ZCR 4 : Comparaison des risques
 ZCR 5: Réalisation d'une appréciation détaillée du risque de cybersécurité
 ZCR 6: Documentation des exigences, hypothèses et contraintes liées à la cybersécurité
 ZCR 7: Approbation du propriétaire de l'actif

OR4 - On distingue 3 catégories d’analyse et traitement des risques de cyber-sécurité industrielle :

 Analyse et Traitement de Risque Détaillée : conforme à la méthode d’analyse et traitement des
risques recommandée,
 Analyse et Traitement de Risque Non- Détaillée : non conforme à la méthode d’analyse et traitement des
risques recommandée,
 Analyse de et Traitement Risque Absente : analyse et traitement des risques non réalisée.
OR5 - On distingue 3 catégories de périodicité d’analyse des risques de cyber-sécurité industrielle :

 Périodicité Régulière : l’analyse et traitement de risque se fait une fois par an,
 Périodicité Occasionnel : l’analyse et traitement de risque se fait une fois par 3 ans,
 Périodicité Rare : l’analyse et traitement de risque se fait une fois par 5 ans.
OR6- On distingue 3 catégories de prestataire de cyber-sécurité industrielle :

 Prestataire Labellisé : prestataire avec des certifications, et référence dans le domaine de l’analyse des
risques,
 Prestataire Non-Labellisé : prestataire avec des certifications, et pas de référence dans le domaine de
l’analyse des risques,
 Prestataire Ordinaire : prestataire n’a pas des certifications, et n’a pas de référence dans le domaine de
l’analyse des risques.
10.Gestion et Traitement des incidents

Un processus de gestion des incidents cyber-sécurité se définie par les opérations de détection, d'analyse et
de réponse aux incidents, pour but de les traiter dans les meilleurs délais et minimiser tout
dysfonctionnement ou arrêt des systèmes informatiques industriels.
10.1. Incidents
Un incident est tout événement qui ne fait pas partie du fonctionnement standard d'un service et qui cause,
ou peut causer, une interruption ou une diminution de la qualité de ce service.
OI1 - On distingue 5 types d’incidents liées à la gravité d’occurrences des risques :
 Incident Minime : incident avec une gravité minime,
 Incident Mineur : incident avec une gravité mineure,
 Incident Sérieux : incident avec une gravité sérieuse,
 Incident Majeur : incident avec une Gravité majeure,
 Incident Critique : incident avec une gravité critique.
10.2. Chaîne d’alerte

Il est nécessaire de prévoir les réactions en cas de survenance d’un incident de sécurité afin de réagir le plus
efficacement et le plus rapidement possible. En remontant l’information, et en agissant par des procédures
prédéfinies.

OI2 - On distingue 8 catégories de population à alerter :

 Manager Région : chef région DP, AST, TRC, et VP activité LQS, RPC,
 Manager Site : directeur site industriel (DP, AST), chef station (TRC), directeur complexe (LQS, RPC),
 Responsable cyber-sécurité central,
 Responsable cyber-sécurité régional,
 Responsable cyber-sécurité site,
 Responsable structure métier : le responsable de la structure métier responsable du système informatique
industriel,
 Responsable métier : le responsable métier du système informatique industriel,
 Responsable IT région,
OI3 - On distingue 6 catégories de groupe d’alertes d’Incident :
 Groupe Managers Région : tous les managers métier région,
 Groupe Managers Site : tous les managers métier site de la région,
 Groupe Responsables Cyber-sécurité : responsable cyber-sécurité central, tous les responsables cyber-
sécurité régionales,
 Groupe Responsables Cyber-sécurité global : responsable cyber-sécurité central, tous les responsables
cyber-sécurité régionales, tous les responsables cyber-sécurité sites,
 Groupe Responsables Cyber-sécurité Région : responsable cyber-sécurité région, tous les responsables
cyber-sécurité sites de la région,
 Groupe Managers IT Région : tous les managers IT des régions,
OI4 - On distingue 5 catégories de niveau d’alerte pour types d’Incident
 Alerte Minimes : alerte pour les incidents minimes.
 Alerte Mineures : alerte pour les incidents mineurs.
 Alerte Sérieuses : alerte pour les incidents sérieux.
 Alerte Majeures : alerte pour les incidents majeurs.
 Alerte Critiques : alerte pour les incidents critiques.
OI5 - On distingue 10 catégories de chaine d’alertes d’Incident :
 Chaine d’alertes Minime Informer,
 Chaine d’alertes Minime Agir,
 Chaine d’alertes Mineure Informer,
 Chaine d’alertes Mineure Agir,
 Chaine d’alertes Sérieux Informer,
 Chaine d’alertes Sérieux Agir,
 Chaine d’alertes Majeure Informer,
 Chaine d’alertes Majeure Agir,
 Chaine d’alertes Critique Informer,
 Chaine d’alertes Critique Agir.

Chaines d’alertes recommandées :
Chaine d’alertes INFOMER AGIR

Manager région Responsable cyberdéfense central
Groupe Managers IT Région Chaine d’alertes Majeure Agir
Critique Groupe Managers Site
Chaine d’alertes Majeure Informer
Manager site Groupe Responsables Cyber-sécurité Région

Majeur Chaine d’alertes Sérieux Informer Chaine d’alertes Sérieux Agir
Responsable IT région Responsable cyber-sécurité régional
Sérieux Responsable structure métier Chaine d’alertes Mineure Agir
Chaine d’alertes Mineure Informer
Responsable métier Responsable cyber-sécurité site
Mineur Chaine d’alertes Minime Informer Chaine d’alertes Minime Agir
Responsable cyber-sécurité site -
Minime
10.3. Surveillance et détection des incidents

La mise en place des moyens de surveillance et de détection permet d’avoir une meilleure visibilité sur les
comportements des systèmes informatiques industriels et des équipements du réseau OT qui permettras de
réagir à temps en cas d’attaque et limiter les conséquences.
Les incidents peuvent être détectés de différents moyens, soit automatisées à travers les IDS/IPS, les
logiciels antivirus et SIEM, Ou bien manuels tels que les problèmes signalés par les utilisateurs.
OI6- On distingue 3 catégories de surveillance et détection d’incidents :
 Détection Automatique : la surveillance et la détection, puis l’alerte d'un incident se fait automatiquement
dès qu'il survient,
 Détection Manuelle : la surveillance et la détection, puis l’alerte d'un incident se fait en découvrant le
dysfonctionnement lié à la cyber-sécurité d’un équipement industriel par les utilisateurs,
 Détection Inexistante : la surveillance et la détection ainsi que l’alerte des incidents sont inexistantes.
10.4. Alertes et Traitement des incidents

Les procédures de traitement des incidents cyber-sécurité industriels normalisés et arrêtés, permet de faire
face à toutes les éventualités des incidents.
Procédure de planification et préparation recommandée
La procédure de traitement des incidents doit être préparée préalablement au niveau régionale pour tout sites y
dépendent. Elle doit fournir les principales démarches formellement documentées pour assurer une mise en œuvre
cohérente et appropriée des processus et démarches.
La phase de préparation et planification comprend entre autre :
o Définition du but, des objectifs et de la portée de la gestion et traitement des incidents,
o Composition d’une équipe de réponse aux incidents,
o Déploiement des outils (méthodes et équipements) de détection et de des incidents et de contrôle,
o Définition des rôles et les responsabilités pour chaque phase du processus de gestion des incidents de cyber-
sécurité, y compris les entités externes,
o Définition des canaux de communication en interne et avec les entités externes notamment des éventuel
contrats de supports et de maintenances.

Procédure traitement des incidents recommandée

Compte tenu de la spécificité de chaque site, cette procédure de traitement des incidents peuvent être
personnalisées pour chaque région et site, en apportant les ajouts adéquats à sa particularité en établissant des
procédures de traitement des incidents spécifique au site.
Ainsi que les chaines d’alertes recommandées peuvent être ajustées afin d’ajouter des personnes et des groupes
site et région définies localement.
Des actions de traitement des incidents sont définies pour chaque niveau de gravité d’incident, et doivent être
appliquées :
1- Traitement des incidents critiques
o Avertir la chaine d’alerte « agir critique »,
o Informer la chaine d’alerte « informer critique »,
o Isoler physiquement le réseau OT du réseau It et de l’extérieur,
o Isoler physiquement et les ICS pour limiter les risques de propagation,
o Isoler physiquement et interdire l’accès à la DMZ-OT,
o Isoler physiquement et arrêter les serveurs NAS (NAS-OT, NAS-DMZ),
o Arrêter les équipements réseaux avant leurs dégradations si des données de configuration ne sont plus
intègres,
o Appliquer les procédures de traitement des incidents critiques spécifique au site.
2- Traitement des incidents majeurs
o Avertir la chaine d’alerte « agir majeur »,
o Informer la chaine d’alerte « informer majeur »,
o Supprimer l’accès des systèmes depuis l’extérieur et leurs faire des sauvegardes et garder les traces et les
logs,
o Examiner toutes équipements pouvant être compromises,
o Changer tous les mots de passe,
o Appliquer les procédures site de traitement des incidents majeurs spécifique au site.
3- Traitement des incidents sérieux
o Avertir la chaine d’alerte « agir sérieux »,
o Informer la chaine d’alerte « informer sérieux »,
o Faire une première évaluation des dégâts,
o Déterminer le type d’intrusion,
o Appliquer les procédures site de traitement des incidents sérieux spécifique au site.
4- Traitement des incidents mineurs
o Avertir la chaine d’alerte « agir mineur »,
o Informer la chaine d’alerte « informer mineur »,
o Déterminer quels sont les fichiers compromis et/ou ceux qui ont été ajoutés,
o Examiner les traces et tous les répertoires,
o Appliquer les procédures site de traitement des incidents mineurs spécifique au site.
5- Traitement des incidents minimes
o Avertir la chaine d’alerte « agir minime »,
o Informer la chaine d’alerte « informer minime ».
o Appliquer les procédures site de traitement des incidents minimes spécifique au site.

Procédure poste traitement des incidents recommandée

Après la fin de l’incident et suivant son type, il faut entreprendre les actions suivantes :
o Sauvegarder les fichier traces et des analyses de l’incident,
o Réinstaller les équipements compromises en ayant soin d’avoir corrigé la/les failles de sécurité,
o Faire une restauration des systèmes corrompus,
o Faire une restauration des fichiers corrompus,
o Réinitialiser les comptes utilisateurs,
o Reconnecter le réseau OT et les équipements s’ils ont étés isolés dans la procédure de traitement des
incidents,
o Faire une analyse post incident qui permettra d’améliorer l’efficacité des mesures déployées initialement,
o Faire un rapport détaillé sur l’incident.
Processus de gestion et traitement des incidents recommandé

Le processus de gestion et traitements des incidents doit suivre les quatre étapes :
o Planification et Préparation : le processus de planification et préparation des incidents doit suivre la
procédure de planification et préparation recommandée.
o La détection d’incidents : doit être une détection automatique et prise en charge par la solution de cyber-
sécurité implémentée au sein du site industriel, aussi le processus de lancement d’alertes au différentes
chaine d’alertes informer et agir doivent être automatique selon la gravité de l’incidents.
En cas d’une détection manuelle des incidents les administrateurs et les responsables cyber-sécurité du site
et/ou région doivent déclencher manuellement le processus d’alertes avec les informations requises à entrer.
o Le Traitement des incidents : Le processus de traitements des incidents doit suivre la procédure traitement
des incidents recommandée.
o Le Poste incidents : après la fin de l’incident la procédure poste traitement des incidents recommandée
doivent être appliquée.
Ce processus de gestion et traitement des incidents doit subir des mises à jour régulières, ainsi que des tests
réguliers de vérification doivent être régulièrement planifié.
OI7- On distingue 3 catégories de processus gestion et traitement des incidents :

 Processus Gestion et Traitement Adéquat : processus conforme au processus gestion et traitement des
incidents recommandé,
 Processus Gestion et Traitement Inadéquat : processus non conforme au processus gestion et traitement
des incidents recommandé,
 Processus Gestion et Traitement Inexistant : processus gestion et traitement des incidents inexistant.
10.5. Plans de reprise d’activité (PRA)

L’objectif du plan de reprise d’activité (PRA) est de se préparer à faire face à des incidents graves qui
provoques l’arrêt d’une partie ou la totalité des systèmes informatiques industriels avec l’impossibilité de
redémarrage normale. Afin de minimiser les impacts et permettre d’assurer la reprise de l’activité le plus
rapidement possible.
Il se compose d’actions à mettre en œuvre après la survenue de l’incident pour permettre aux sites
industriels de reprendre son activité normale directement ou progressivement, afin de limiter le temps
d'indisponibilité et réduire les pertes de données.

Plan de reprise d’activité recommandé

Les procédures décrites dans le PRA n’ont qu’un objectif, assurer un redémarrage rapide et sûre, de l’activité des
sites industriels, et de vérifier qu’aucune perte de données s’est produit.
Il est donc nécessaire de mettre en place des procédures de « sauvegarde délocalisée » et de restauration des
données depuis et à partir du serveur NAS (NAS-FAR).
Le plan PRA doit comporter :
1- Documentations :
o L’architecture et configuration réseaux,
o La configuration des sous-réseaux.
2- Des sauvegardes :
o De chaque automate (PLC),
o Des fichiers de configuration de tous les équipements réseau,
o Des données Historians,
o Des images de tous les serveurs et stations,
o Des documentations techniques et procédurales,
3- Les sauvegardes doivent être faites sur plusieurs support :
o Délocalisées sur des serveur NAS (NAS-FAR),
o Des bandes magnétiques,
o Sur des supports amovibles,
4- L’ensemble des procédures nécessaires à un redémarrage au plus vite du système informatique industriel.
5- La nature et l’ordre des actions à mettre en place pour remettre les systèmes et les données dans l’état dans
lequel elles étaient avant l’incident.
6- Le PRA doit être régulièrement mis à jour, en fonction de :
o Evolutions de l’infrastructure (maintenance, intégration de nouveaux composants, qui peuvent introduire
de nouvelles vulnérabilités),
o L’évolution des menaces.
OI8 - On distingue 3 catégories de Plan de reprise d’activité après incidents :

 Plan de Reprise d’Activité Adéquat : plan conforme au plan de reprise d’activité recommandé,
 Plan de Reprise d’Activité Inadéquat : plan non conforme au plan de reprise d’activité recommandé,
 Plan de Reprise d’Activité Inexistant : plan de reprise d’activité inexistant.
10.6. Mode de fonctionnement dégradé

Dans le cas où il est impossible de revenir au mode de fonctionnement normal, il est important de prévoir
un mode de fonctionnement dégradé, ou seulement les systèmes informatiques industriels, et équipements
clés nécessaires pour la reprise de l’activité sont en marche, ainsi seulement les applications et les données
critiques sont incluses dans le mode dégradé.
OI9 - On distingue 3 catégories de mode de fonctionnement des systèmes informatiques industriels :
 Mode Normal : tous les systèmes informatiques industriels, équipements et applications sont en marche,
 Mode Dégradé : seulement les systèmes informatiques industriels, et équipements clés nécessaires pour la
reprise de l’activité sont en marche,
 Mode Arrêt : Les systèmes informatiques industriels sont en arrêt.

Plan de reprise d’activité mode dégradé recommandé

Prévoir un PRA spéciale pour un mode de fonctionnement dégradé ou il définit la liste des tous les système
informatique industriels, équipements et applications nécessaires pour la reprise de l’activité du site industriel en
mode dégradé :
o Définir les système informatique industriels vitaux,
o Les équipements réseaux et serveurs, applications critiques mis en œuvre dans ces systèmes,
o Les ressources informatiques critiques (NAS, lecteur de bande, …) utilisées dans la mise en œuvre.
OI10 - On distingue 3 catégories de plan de reprise d’activité mode dégradé :

 Plan de Reprise d’Activité Dégradé Valide : plan conforme au plan de reprise d’activité mode dégradé
recommandé,
 Plan de Reprise d’Activité Dégradé Non- Valide : plan non conforme au plan de reprise d’activité mode
dégradé recommandé,
 Plan de Reprise d’Activité Dégradé Inexistant : plan de reprise d’activité mode dégradé inexistant.
OI11 - On distingue 3 catégories de périodicité de mise à jour du PRA :

 Mise à jour Régulière : une fois par an,
 Mise à jour Insuffisante : une fois par 3 ans,
 Mise à jour Inacceptable : Une fois par plus de 3 ans.
11.Veille sur les menaces et les vulnérabilités

La cyber sécurité ne consiste pas uniquement à mettre des mesures réactives, mais aussi avoir une approche
proactive en assurant une veille continue qui découvre et prend en charge des éventuelles nouvelles
menaces et vulnérabilités, ainsi que les évolutions technologiques dans le domaine cyber-sécurité.
11.1. Vulnérabilités
La vulnérabilité est une faiblesse du système qui le rend sensible à une menace. Ces vulnérabilités pourront
être exploités par un attaquant afin qu’il porte atteinte à l’intégrité, la confidentialité et la disponibilité des
systèmes informatiques industriels et qui peut nuire à leurs bons fonctionnements.
OV1 - On distingue 4 catégories de types de vulnérabilités :

 Vulnérabilité Matériel : vulnérabilités relatif aux matériels,
 Vulnérabilité Logiciel : vulnérabilités relatif aux logiciels,
 Vulnérabilité Procédure : vulnérabilités relatif aux procédures,
 Vulnérabilité Humaine : vulnérabilités relatif aux personnes.
OV2 - On distingue 4 catégories de vulnérabilité matériel :

 Vulnérabilité Matériel ICS : vulnérabilité des systèmes informatiques industriels DCS, SCADA
(firmeware, etc.),
 Vulnérabilité Matériel PLC : vulnérabilité des automates PLC (firmeware,etc.),
 Vulnérabilité Matériel réseau et équipements de supervision : vulnérabilité des équipements réseaux et
équipement de supervision (firmeware, serveur, hmi, convertisseur etc.),
 Vulnérabilité Matériel NAS : vulnérabilité par rapport à la tolérance de panne RAID du serveur NAS.

OV3 - On distingue 3 catégories de vulnérabilité logiciel :

 Vulnérabilité Logiciels Microsoft : vulnérabilité au niveau du système d’exploitation Windows et logiciels
Microsoft,
 Vulnérabilité Logiciels hors Microsoft : vulnérabilité au niveau du système d’exploitation hors Windows
(linux, unix, etc.) et des application et logiciels non métier hors Microsoft,
 Vulnérabilité Logiciels Applicatif : vulnérabilité au niveau des logiciels et applications métier.
11.2. Correction des vulnérabilités

La correction des vulnérabilités pour les équipements des systèmes informatiques industriels est nécessaire
afin d’assurer une meilleur protection en éliminant les éventuelles menaces, elle peut se faire d’une manière
automatique en utilisant des outils dédies, ou manuellement avec intervention humaine.
OV4 - On distingue 4 catégories de types de correction :
 Correction Automatique : correction automatique des vulnérabilités,
 Correction Assistée : correction manuelle des vulnérabilités par constructeurs en suivant ces
recommandations,
 Correction Manuelle : correction manuelle des vulnérabilités,
 Correction Absente : aucune correction des vulnérabilités.
11.3. Processus de Veille

Un processus de veille au niveau centrale est élémentaire pour établir une stratégie unifiée pour toute
l’entreprise, quoique compte tenu la spécificité de chaque site et région, un processus de veille
complémentaire au niveau régional et indispensable pour une veille plus active.
Politique de veille centrale recommandée
Le processus de veille au niveau central doit prendre en charge la veille pour :
1- Vulnérabilités Matériels et Logiciels :
o Les vulnérabilités identifiées, les menaces qui découlent et leurs exploitations,
o Les mises à jour et firmewares disponibles pour ces vulnérabilités,
o L’évolution des menaces et techniques d’attaque,
o L’évolution des mécanismes de protection.
Ainsi veiller à les communiquer à l’ensembles des responsables cyber-sécurité régions et sites, et la diffusion des
bulletins d’alertes à l’ensemble des intervenants et s’assurer l’application des recommandations générées par le
processus.
2- Vulnérabilités Procédures : établir et mettre à jour les directives et procédures de cyber-sécurité des systèmes
informatiques industriels et les diffuser à l’ensembles des intervenants notamment les responsables de cyber-
sécurité sites et régions.
3- Vulnérabilités Humaine : veiller à la sensibilisation de tous les intervenants sur les systèmes informatiques
industriels, notamment l’établissement du plan de sensibilisation annuel pour toute la l’entreprise, comme c’est
décrit dans la section sensibilisation de ce document. Ainsi réalisation des objectifs quantitatifs et qualitatifs
fixés dans le plan de formation entreprise comme c’est décrit dans la section formation de ce document

OV5 - On définit 3 types de Veille au niveau central :

 Processus de Veille centrale Permanent : processus conforme à la politique de veille centrale
recommandée,
 Processus de Veille centrale Non-Conforme : processus non conforme à la politique de veille centrale
recommandée,
 Processus de Veille centrale Inexistant : politique de veille centrale inexistante.
Politique de veille régionale recommandée

Le processus de veille au niveau régional doit appliquer la politique de veille communiquée par l’entité centrale.
En plus il doit prendre en charge tous les types de Vulnérabilités :
1- Vulnérabilités Matériels :
o Appliquer les correctifs,
o Mettre à jour régulièrement les micro logiciels (firmewares) des automates et les équipements réseau,
o Les serveur NAS doit avoir une tolérance de panne (minimum RAID 5) avec disque hotspare au
minimum.
2- Vulnérabilités Logiciels :
o Mettre à jour régulièrement les correctifs et mise à jour des systèmes d’exploitation et les applications sur
les PC-OT, serveurs, et bases de données,
o Désactiver la fonctionnalité générant la vulnérabilité.
3- Vulnérabilités Procédures :
Veiller à appliquer l’ensemble des directives et recommandations communiquées par l’entité centrale,
notamment la dernière version de la « politique de sécurité des systèmes informatique industriels Sonatrach ».
4- Vulnérabilités Humaines :
L’exécution, la participation ou la réalisation de toutes les actions de sensibilisations fixés dans le plan de
sensibilisation entreprise suivant le rôle de la région, ainsi la réalisation des objectifs quantitatifs et qualitatifs
fixés dans le plan de formation entreprise pour la région.
OV6 - On distingue 3 catégories de Veille au niveau régional :

 Processus de Veille Régionale Active : processus conforme à la politique de veille régionale recommandée.
 Processus de Veille Régionale Non-Active : processus non conforme à la politique de veille régionale
recommandée.
 Processus de Veille Régionale Inexistante : politique de veille régionale inexistante.
12.Formation
La formation des différents profils cyber-sécurité qui interviennent sur les équipements de la cyber-sécurité
informatique industriels, est un élément indispensable pour assurer un niveau adéquat de cyberdéfense afin
de faire face à les menaces et les vulnérabilités liées aux cyber-attaque et cyber-sécurité.
OF1 - On distingue 3 catégories de profils de formations de cyber-sécurité OT :

 Administration Réseau OT : l’administration des équipements réseau OT (firewalls, datadiodes, switch…),
 Administration Système OT : l’administration des systèmes, sauvegardes, ….
 Administration Sécurité OT : l’administration des équipements de surveillance et détection des
vulnérabilités, la solution antivirale, ….

OF2 - On distingue 3 catégories de niveau de profils de formations de cyber-sécurité OT :

 Niveau Formation Base : les formations basiques de cyber-sécurité liées au profile,
 Niveau Formation Avancé : les formations avancées de cyber-sécurité liées au profile,
 Niveau Formation Expert : les formations expertes de cyber-sécurité liées au profile.
OF3 - On distingue 9 catégories de niveau de formations cyber-sécurité :

 Administration Réseau OT Base : les formations bases sur les équipements et les techniques de cyber-
sécurité et cyberdéfense du réseau OT,
 Administration Réseau OT Avancée : les formations avancées sur les équipements et les techniques de
cyber-sécurité et cyberdéfense du réseau OT,
 Administration Réseau OT Expert : les formations évoluées sur les équipements et les techniques de
cyber-sécurité et cyberdéfense du réseau OT,
 Administration système OT Base : les formations bases sur les équipements et les techniques de cyber-
sécurité et cyberdéfense du système OT,
 Administration système OT Avancée : les formations avancées sur les équipements et les techniques de
cyber-sécurité et cyberdéfense du système OT,
 Administration système OT Expert : des formations évoluées sur les équipements et les techniques de
cyber-sécurité et cyberdéfense du système OT,
 Administration sécurité OT Base : les formations bases sur les équipements et les techniques de cyber-
sécurité et cyberdéfense du sécurité OT,
 Administration sécurité OT Avancée : les formations avancées sur les équipements et les techniques de
cyber-sécurité et cyberdéfense du sécurité OT,
 Administration sécurité OT Expert : les formations évoluées sur les équipements et les techniques de
cyber-sécurité et cyberdéfense du sécurité OT.
12.1. Niveaux de compétence de cyber-sécurité

L’objectif essentiel pour définir des niveaux de compétences de cyber-sécurité est d’attribuer des niveaux
de formation et habilitation d’intervenir sur les équipements de cyber-sécurité des systèmes informatique
industriels par profil et niveau.
OF4- On distingue 4 catégories de niveau de Compétence de Cyber-sécurité :

 Niveau de Compétence Beginner : personne qui a bénéficiée des formations administration réseau OT base
et administration système OT base.
 Niveau de Compétence Junior : personne avec un niveau de compétence beginner qui a bénéficiée de
formations administration réseau OT avancée, administration système OT avancée et administration sécurité
OT base.
 Niveau de Compétence Senior : personne avec un niveau de compétence junior qui a bénéficiée de
formations administration système OT expert et administration sécurité OT avancée
 Niveau de Compétence Expert : personne avec un niveau de compétence senior qui a bénéficiée de
formations administration réseau OT expert et administration sécurité OT expert

12.2. Objectifs
OF5 - On distingue 2 catégories d’objectif de Cyber-sécurité :
 Objectif Quantitatif : objectif à atteindre par le plan de formation mesuré en nombre de personnes à former,
 Objectif Qualitatif : objectif à atteindre par le plan de formation mesuré en niveaux de compétence pour les
personnes formées.
12.3. Plan de formation

Le but du plan de formation est d’élaborer un cadre de référence des formations pour les divers intervenants
en cyber-sécurité sur les systèmes informatiques industriels. Ainsi de fixer des objectifs à atteindre par
niveau de compétence pour l’ensemble des intervenants cyber-sécurité.
OF6 - On distingue 3 catégories de plan de formations cyber-sécurité :
 Plan de Formation Central : plan de formation établie par l’entité centrale pour toute l’entreprise, au profit
des personnes concernées par la cyber-sécurité OT au niveau de toutes les régions,
 Plan de Formation Régionale : la partie du plan de formation central qui concerne la région avec les
objectifs quantitatifs et quantitatifs fixés pour la région,
 Plan de Formation Site : la partie du plan de formation central qui concerne le site avec les objectifs
quantitatifs et quantitatifs fixés pour e site.
Procédure de formation centrale recommandée

L’entité centrale doit établir chaque année le plan de formation central de cyber-sécurité des systèmes
informatiques industriels, ou les formations sont détaillées et classées par profils de cyber-sécurité, ainsi que des
objectifs de formation cyber-sécurité à atteindre par les régions seront fixés pour l’année en cours, ces objectifs
doivent être exprimés en quantitatifs et qualitatifs
Chaque région veille à réaliser le plan de formation central et à atteindre les objectifs quantitatifs et quantitatifs
fixés pour la région.
Le budget de ces formations sera pris en charge par la région.
OF7 - On distingue 3 catégories de plan de formation central de cyber-sécurité

 Plan de Formation Entreprise : plan conforme à la procédure de formation centrale recommandée,
 Plan de Formation Incomplet : plan non conforme à la procédure de formation centrale recommandée,
 Plan de Formation Inexistant : plan de formation centrale inexistant.
OF8 - On distingue 3 catégories de réalisation des objectifs du plan de formation central par la région :
 Objectifs du Plan de Formation Entreprise Réalisé : les objectifs quantitatifs et qualitatifs fixés pour la
région dans le plan de formation entreprise sont réalisés,
 Objectifs du Plan de Formation Entreprise Insuffisant : les objectifs quantitatifs ou qualitatifs fixés pour
la région dans le plan de formation entreprise sont réalisés,
 Objectifs du Plan de Formation Entreprise Non-Réalisé : les objectifs quantitatifs et qualitatifs fixés pour
la région dans le plan de formation entreprise sont pas réalisés.

13.Sensibilisation
En plus les mesures techniques qui protègent les systèmes informatiques industriels, il est impératif d’avoir
une réelle stratégie de sensibilisation liée au facteur humain qui vise à accroitre la conscience des risques
et menaces relatifs aux négligences ou les méconnaissances des intervenants.
13.1. Objectifs de sensibilisation

La stratégie de sensibilisation a pour objectif principal de faire évoluer la culture individuelle et collective
du personnel exploitant les systèmes informatiques industriels dans le but de produire une évolution dans
leurs comportements. Ce qui va permettre à terme de réduire les négligences et par conséquent les chances
d’être victime de cyber-attaques.
OS1 – On distingue 5 catégories d’objectifs de sensibilisation :

 Conformité : Mise en conformité avec les directives et la réglementation en vigueur liées à la sécurité des
systèmes informatiques industriels,
 Réduction des Vulnérabilités et Risques : Réduire les risques et les vulnérabilités intrinsèques aux
systèmes informatiques industriels. Et instaurer les bonnes pratiques,
 Sensibilisation Cyber-Risques : Informer et sensibiliser sur les enjeux et risques liés aux cyber-attaques,
 Information Cyber-Sécurité : Informer sur la cyber-sécurité et travaux et les actions entreprises au sein de
l’entreprise,
 Partage des Connaissances : Partage des connaissances et expérience.
13.2. Populations cibles

Les populations cibles est précisément les groupes de personnes que l’on souhaite toucher par le biais de la
campagne de sensibilisation. Elles comportent tous les profils intervenants dans l’écosystème informatique
industriel.
OS2 – On distingue 7 catégories de populations dans la stratégie de la sensibilisation :

 Les responsables cyber-sécurité des systèmes informatiques industriels,
 Les responsables métier des systèmes informatiques industriels,
 Les responsables des régions et sites industriels,
 Les administrateurs qui interviennent sur les systèmes informatiques industriels,
 Les intervenants sur les systèmes informatiques industriels,
 Les exploitants des systèmes informatiques industriels,
 Autres employés qui accèdent au réseau OT.
13.3. Moyens de sensibilisation

La diversification des moyens de sensibilisation permet d’atteindre un éventail plus large d’intervenants
sur les systèmes informatiques industriels avec un apprentissage facile et une souplesse dans l’exécution
du plan arrêté.

OS3 – On distingue 9 moyens de sensibilisation :

 Site DSSI (www.sonatrach.dz/ssi) : il sera utilisé pour diffuser les politiques, circulaires et alertes sur les
vulnérabilités,
 Portail SSII : le portail sécurité des systèmes informatiques industriels inclura une rubrique
« sensibilisation » contenant des animations, des conseils et autres outils ludiques sur la thématique de
sécurisation des SII,
 Réunion : se servir des salles de réunions pour faire des rencontres et réunions en présentiels avec les acteurs
concernés par la sensibilisation,
 Télé Présence : utilisation de moyens de télé présence tel que les outils de visioconférence pour les réunions
et présentations sans déplacement des acteurs concernés par la sensibilisation,
 Courrier Electronique : utilisation du courrier électronique pour informer ou alerter une population ciblée,
 Rencontre : mode de rassemblement et de réflexion plus formel, qui vise une population plus large et qui
donne la possibilité à la prise de parole et au débat au profit des personnes directement liées à la sécurisation
des systèmes informatiques industriels, ainsi que les intervenants professionnels ou même des experts en la
matière cyber sécurité industrielle,
 Affiches, Posters et Autocollant : utilisation des affiches et posters de sensibilisation dans les entrées,
couloirs et tableaux d’affichage au niveau des salles de contrôle des unités opérationnelles même au niveau
des écrans, des PC, des bureaux et des portes,
 Téléaffichage : utilisation des outils audiovisuels disponibles pour diffusion à travers des écrans de
téléaffichage permettant une sensibilisation beaucoup plus attractive,
 Réseaux Sociaux SONATRACH : utilisation des réseaux sociaux (youtube, facebook, linkedin, …) pour
faire de la sensibilisation et avoir des feedbacks de la part des différents acteurs.
13.4. Action de sensibilisation

Afin de faire évoluer les comportements de l’ensemble de la population qui exploite les systèmes
informatiques industriels, une stratégie de sensibilisation est nécessaire. Cette stratégie se caractérise par
l’élaboration d’un plan de sensibilisation qui se compose de plusieurs actions de sensibilisation.
Chaque action de sensibilisation dans le plan de sensibilisation est identifiée par un nom, un type et une
fréquence.
13.4.1. Type des actions de sensibilisation

La bonne exécution d’une action de sensibilisation dépend des objectifs de cette action et de son type, afin
d’assurer l’efficacité d’une action de sensibilisation, il est nécessaire de faire évoluer la culture
comportementale en combinant informer et sensibiliser.
OS4 – On distingue 2 catégories de type des actions de sensibilisation :

 Informer : elle constitue une des premières étapes concrètes de sensibilisation, elle consiste à faire partager
ou transmettre de l’information,
 Sensibiliser : signifie rendre des populations cibles capables de prendre conscience et de bien réagir.

13.4.2. Fréquences des actions

L’exécution des actions se fait selon des fréquences variées en fonction de type d’actions, des moyens
utilisés et de l’objectif escompté.
OS5 – On distingue 2 catégories de type de fréquences des actions :

 Périodique : par exemples : une fois par mois (1x/mois), une à deux fois par mois (1-2x/mois), ou une à
deux fois par an (1-2x/an),
 Événementielle : doit se faire à chaque fois qu’un évènement est survenu sur les systèmes informatiques
industriels,
13.5. Rôle de la région

Le rôle de la région dans l’exécution des actions de sensibilisation de type « Sensibiliser » varie selon le
type de l’action, ces rôles sont définis pour chaque actions afin d’arrêter et cibler l’agissement de la région
à l’égard de cette action. Pour les actions de sensibilisation de type « Informer » la région n’a pas de rôle à
jouer que d’être informer.
OS6 – On distingue 3 catégories de type de rôle de la région dans l’exécution des actions de type :
 Exécuter : la région doit exécuter ce type d’action, et faire un Feedback à l’entité central par rapport au
résultat de l’exécution de l’action,
 Participer : la région doit participer dans l’exécution ce type d’action, un Feedback à l’entité central n’est
pas nécessaire,
 Réaliser : la région doit réaliser ce type d’action, et faire des Feedbacks à l’entité central par rapport à la
réalisation de l’action.
13.6. Plan de sensibilisation

Le plan de sensibilisation se constitue d’un ensemble d’actions, la réalisation de ces actions avec la
fréquence définie, implique l’atteinte des objectifs de sensibilisation fixés, qui invoque la réussite de ce
plan en lui-même.
Plan annuel de sensibilisation recommandé

Chaque action de sensibilisation est identifiée par son nom, son type et sa fréquence, elle cible des populations
et utilise un ou plusieurs moyens selon une fréquence donnée, pour l’atteinte d’un ou plusieurs objectifs, ainsi le
rôle de la région dans l’exécution du plan annuel de sensibilisation, ce dernier se présente comme suit :
N° Actions Descriptions Types Moyens Fréquences Rôle région Populations Objectifs
OS7 – On distingue 4 catégories de Plan de sensibilisation :

 Plan de sensibilisation Entreprise : plan conforme au plan annuel de sensibilisation recommandé,
 Plan de sensibilisation Partiel : plan conforme partiellement au plan annuel de sensibilisation recommandé,
 Plan de sensibilisation Non-Conforme : plan non conforme au plan annuel de sensibilisation recommandé,
 Plan de sensibilisation Inexistant : plan annuel inexistant.

OS8 – On distingue 4 catégories de bon exécution du Plan de sensibilisation par la région :

 Plan de sensibilisation Complètement Exécuté : la région a exécuté les rôles pour toutes les actions de
type « Sensibiliser » et elle a fait un feedback pour les actions qui nécessite un feedback,
 Plan de sensibilisation Moyennement Exécuté : la région a exécuté les rôles pour toutes les actions de type
« Sensibiliser » sans feedback pour les actions qui nécessite un feedback,
 Plan de sensibilisation Peu-Exécuté : la région a exécuté les rôles pour quelques actions de type
« Sensibiliser »,
 Plan de sensibilisation Inexécuté : la région n’a exécuté aucun des rôles affecter,
14.Contrôle de conformité.
Le contrôle de conformité consiste à s’assurer du respect des mesures de sécurité techniques et
organisationnelles décrits dans ce document, et dégage les risques liés au non-respect de ces mesures.
14.1. Barème de conformité

La conformité des sites industriels aux mesures de sécurité techniques et organisationnelles est quantifiées
suivant le « barème de conformité au référentiel de sécurité de systèmes informatiques industriels » (voir
Annexe 1).
14.2. Indice de cyber sécurité :

L’indice de cyber sécurité est le degré de conformité suivant le « barème de conformité au référentiel de
sécurité de systèmes informatiques industriels », il est défini par une note sur 1000,
OC1- On distingue 4 catégories de type d’indice de cyber-sécurité :
 Indice de cyber-sécurité Site : la note obtenu suivant le barème de conformité pour un site industriel,
 Indice de Cyber-Sécurité Région : la moyenne des notes obtenu suivant le barème de conformité pour tous
les sites industriels de la Région,
 Indice de Cyber-Sécurité Activité : la moyenne des notes obtenu suivant le barème de conformité pour tous
les Régions de l’Activités,
 Indice de Cyber-Sécurité Entreprise : la moyenne des notes obtenu suivant le barème de conformité pour
tous Activités de l’entreprise.
14.3. Conformité
En générale la conformité peut avoir deux valeurs conforme ou non-conforme, la conformité adoptée dans
ce document varie suivant la note obtenu suivant le barème de conformité sur 1000 points, même la
conformité par couche de défense aura une valeur sur 100 pour les mesures techniques et 40 sur les mesures
organisationnelles. Ainsi il permet de mesurer le degré de conformité pour chaque site industriel.
OC2 - On distingue 6 catégories de conformité :

 Conformité Complète : conformité avec indice de Cyber-sécurité égale à 1000,
 Conformité Tolérable : conformité avec indice de Cyber-sécurité entre 800 et 999,
 Conformité Acceptable : conformité avec indice de Cyber-sécurité entre 600 et 799,

 Conformité Moyenne : conformité avec indice de Cyber-sécurité entre 400 et 599,

 Conformité Maigre : conformité avec indice de Cyber-sécurité entre 200 et 399,
 Conformité Faible : conformité avec indice de Cyber-sécurité entre 1 et 199,
 Conformité Nulle : conformité avec indice de Cyber-sécurité égale à 0.
OC3 - On distingue 3 catégories de périodicité de contrôle de conformité :

 Contrôle de Conformité Régulière : une fois par 3 ans,
 Contrôle de Conformité Occasionnelle : une fois par 5 ans,
 Contrôle de Conformité Rare : une fois par plus de 5 ans.
14.4. Test de Cyber-sécurité

Un test de cyber-sécurité consiste à tester la sécurité des systèmes informatiques industriels dans le
but d’identifier les vulnérabilités et cyber-risques des systèmes et dégager des actions pour abolir ces failles.
OC4 - On distingue 3 catégories de type de test de Cyber-sécurité :
 Test Cyber-Sécurité Approfondi : test cyber-sécurité qui toucher toutes les couches de la sécurité en
profondeur,
 Test Cyber-Sécurité Partiel : test cyber-sécurité touche une partie des systèmes industriels, équipements et
zones du site,
 Test Cyber-Sécurité Insuffisant : test cyber-sécurité touche un système industriel, équipements et zones du
site.
Test de cyber-sécurité recommandée

Des tests cyber-sécurité sur les équipements OT et les systèmes Informatiques industriels au niveau régions et
sites doivent être réalisés en collaboration avec un prestataire labélisé, Le test cyber-sécurité doit :
o Etre un test approfondi
o Englober tous les systèmes industriels, équipements et zones du site
o Être sanctionné par un rapport de test qui comporte un état descriptif des failles cyber-sécurité constatées,
ainsi les recommandations et les mesures cyberdéfense à appliquer.
La région notamment le responsable cyber-sécurité industriel doit veiller à se mettre en application des
recommandations et mesures générés par le test de cyber-sécurité et validées par l’entité centrale.
OC5 - On distingue 3 catégories de test cyber-sécurité :

 Test Cyber-sécurité Efficace : test conforme au test de cyber-sécurité recommandé,
 Test Cyber-sécurité Inefficace : test non conforme au test de cyber-sécurité recommandé,
 Test Cyber-sécurité Inexistant : aucun test de cyber-sécurité n’est effectué.
OC6 - On distingue 3 catégories de périodicité des tests :

 Période Régulière : une fois par 3 ans,
 Période Occasionnel : une fois par 5 ans,
 Période Rare : une fois par plus de 5 ans.

15. Contrat de maintenance et support

Le contrat de maintenance permet de gérer le support et l’assistance des interventions du prestataire sur les
équipements et les solutions existantes dans l’écosystème informatique industriel.
Contrat de maintenance et support recommandé :
Des contrats de maintenance doivent être établis pour le support des solutions de cyber-sécurité ainsi que les
équipements existants dans le réseau OT qui permet de :
o Rester informé sur les vulnérabilités et les failles de sécurité,
o Bénéficier des mises à jour des systèmes et des correctifs de sécurité sur les applications et firmewares,
o Avoir un niveau de sécurité optimal dans la durée,
o Prévoir dans le contrat du support des tests cyber-sécurité.
Une attention particulière doit être portée sur les points suivants :
o Prévoir dans les contrats de support une exigence d’être informé sur les vulnérabilités ou failles de
sécurité avant la publication sur le web,
o Anticiper le renouvellement du support avant échéance.
OM1- On distingue 3 catégories de Contrats de maintenance et support

 Contrat de Maintenance et Support Valide : contrat conforme au contrat de maintenance et
support recommandé,
 Contrat de Maintenance et Support Non-Valide : contrat non conforme au contrat de maintenance et
support recommandé,
 Contrat de Maintenance et Support Inexistant : contrat de maintenance et support inexistant.
OM2- On distingue 3 catégories de prestataire de maintenance :

 Constructeur : la maintenance et support est faite par le constructeur,
 Prestataire Certifié : la maintenance et support faite par un prestataire certifié par le constructeur,
 Prestataire Non-Certifié : la maintenance et support est faite par prestataire non certifié par le constructeur.
16.Projet cyber-sécurité
L’objectif principal d’un projet de cyber-sécurité est de protéger l’écosystème informatique industriel
notamment les systèmes informatiques industriels et les données, en mettant en place une solution cyber-
sécurité qui permet de faire faces aux cyber-menaces et minimiser les risques d’attaque, en se mettant en
conformité avec la politique de cyber-sécurité de SONATRACH.
16.1. Solutions de cyber-sécurité

Une solution de cyber-sécurité prend en charge tous les aspects de cyber-sécurité dans l’écosystème
informatique industriel et assure une vision centralisée de l’ensemble des équipements existants et de leurs
l’état de protection, ainsi elle propose des solutions de sécurité adéquates.

OP1 - On distingue 5 catégories de type de solutions de cyber-sécurité :

 Solution de Cyber-Sécurité Région : solution cyber-sécurité industrielle qui englobe toutes la région,
 Solution de Cyber-Sécurité Site : solution cyber-sécurité industrielle qui englobe tout le site,
 Solution de Cyber-Sécurité Editeur : solution cyber-sécurité industrielle par éditeur d’un système
informatique industriel dans la région ou dans le site,
 Solution de Cyber-Sécurité ICS : solution cyber-sécurité industrielle qui touche un ICS,
 Solution de Cyber-Sécurité Inexistante : solution cyber-sécurité industrielle inexistante.
Solution de cyber-sécurité recommandée

La solution de cyber-sécurité doit être implémentée au niveau site, avec la possibilité d’avoir une administration
centralisée pour toutes les solutions existantes dans les sites au niveau régionale. Elle doit :
o Mettre en œuvre toutes les mesures techniques citées dans ce document,
o Respecter toutes les mesures organisationnelles décrites.
OP2- On distingue 3 catégories de solution de cyber-sécurité :

 Solution de Cyber-Sécurité Complète : solution conforme à la solution de cyber-sécurité recommandée.
 Solution de Cyber-Sécurité Partielle : solution conforme partiellement à la solution de cyber-sécurité
recommandée.
 Solution de Cyber-Sécurité Non-Conforme : solution non conforme à la solution de cyber-sécurité
recommandée.
 Solution de Cyber-Sécurité Inexistante : aucune solution de cyber-sécurité.
16.2. Type projet cyber-sécurité industriel

Un projet cyber-sécurité peut venir comme solution globale pour implémenter et sécuriser tous les aspects
de cyber menaces et failles existantes dans l’écosystème informatique industriel, ou comme solution
immédiate afin d’améliorer les aspects de la cyber-sécurité nécessaires.
OP3 - On distingue 6 catégories de type de projet cyber-sécurité industriel :
 Projet Réalisation Solution Cyber-Sécurité Industriel : l’élaboration d’une solution de cyber-sécurité
industriel,
 Projet Mise à Niveau Solution Cyber-Sécurité Industriel : mise à niveau d’une solution de cyber-sécurité
industriel, la mise à niveau peut être d’équipements ou softwares de cyber-sécurité ou les deux,
 Projet Evaluation Cyber-Sécurité Industriel : évaluation d’une solution d’une solution de cyber-sécurité
industriel existante, ou évaluation de la situation cyber-sécurité sans avoir une solution existante,
 Projet de Service d’Accompagnement : la mise à disposition de prestation (Hommes/Heures) d’assistance,
de conseil et d’intervention d’urgence des experts du domaine cyber-sécurité industrielle,
 Projet Acquisition Equipements Cyber-Sécurité Industriel : projet d’acquisition d’équipements de cyber-
sécurité, ou d’équipements, serveurs, équipements réseau ou autre dans l’environnement cyber-sécurité OT,
 Projet Acquisition Softwares Cyber-Sécurité Industriel : projet d’acquisition d’un software de cyber-
sécurité, ou application dans l’environnement cyber-sécurité OT,
 Projet Métier avec Partie Cyber-Sécurité Industriel : projet métier qui peut être acquisition ou upgrade
d’un système ICS, ou la construction d’un nouveau site industriel, qui comporte dans son cahier des charges
une partie de réalisation d’une solution cyber-sécurité OT.

16.3. Périmètre du projet cyber-sécurité industriel

Un projet cyber-sécurité industriel peut toucher différents périmètres de la cyber-sécurité, pour permettre
de couvrir tous les niveaux afin de garantir des actions de cyber-sécurité globales.
OP4- On distingue 3 catégories de périmètre du projet cyber-sécurité industriel :

 Périmètre Projet Cyber-Sécurité Industriel Central : projet cyber-sécurité industriel réalisé au niveau
central pour un site ou ensemble de sites, une région ou ensemble de régions, ou pour toutes l’entreprise,
 Périmètre Projet Cyber-Sécurité Industriel Régional : projet cyber-sécurité industriel réalisé au niveau
régional pour un site ou ensemble de sites de la région,
 Périmètre Projet Cyber-Sécurité Industriel Site : projet cyber-sécurité industriel réalisé au niveau site.
16.4. Durée du projet cyber-sécurité industriel

La durée approximative d’un projet cyber-sécurité varie selon l’ampleur du projet, la durée réelle du projet
dépend des contraintes durant la réalisation du projet.
OP5 - On distingue 3 catégories de durée du projet cyber-sécurité industriel :
 Durée Longue : durée du projet cyber-sécurité supérieur à 1an,
 Durée Moyenne : durée du projet cyber-sécurité entre 6 mois et 1 an,
 Durée Courte : durée du projet cyber-sécurité inférieur de 6 mois.
16.5. Lancement d’un projet cyber-sécurité

Le succès d’un projet cyber-sécurité dépend de la bonne préparation de la phase de lancement, tout en
prévoyant les étapes nécessaires à suivre lors du projet afin d’aboutir aux résultats attendus.
Etapes de lancement projet cyber-sécurité industriel recommandées :
Le lancement du projet cyber-sécurité des systèmes informatiques industriels doit suivre :
1- Demande de validation :
Le responsable de cyber-sécurité région ou site doit établir une demande de validation adressée à l’entité centrale
pour approbation, elle doit contenir les éléments suivants : type, périmètre, durée et résultats attendus pour le
projet.
Tous les projets de réalisation ou de mise à jour de cyber-sécurité industriel doivent être précédés d’une action
d’évaluation notamment l’analyse de risque et l’analyse des vulnérabilité et menaces, à cet effet pour ces types
de projets la demande de validation doit être accompagnée par les résultats de l’action d’évaluation.
2- Etablissement du cahier des charges
En cas d’approbation par l’entité centrale, le responsable de cyber-sécurité doit établir un cahier des charges,
pour les type de projets réalisation et mise à niveau, il se basera sur les résultats de l’action d’évaluation.
Le cahier des charges une fois établie doit être communiqué à l’entité centrale pour validation et éventuelle
recommandation.
3- Validation cahier des charges :
L’entité centrale après études et avec la participation de la région et du site, arrête la version finale du cahier de
charge.
4- Lancement du projet :
Le responsable régional doit désigner le chef et l’équipe du projet, en consultant l’entité centrale.

OP6- On distingue 3 catégories de lancement de projet cyber-sécurité industriel

 Procédures de Lancement Valide : procédures de lancement conforme aux étapes de lancement projet
cyber-sécurité industriel recommandées,
 Procédures de Lancement Insuffisant : procédures de lancement conforme à au moins une étape de
lancement projet cyber-sécurité industriel recommandée,
 Procédures de Lancement Non-Valide : procédures de lancement non conforme à toutes les étapes de
lancement projet cyber-sécurité industriel recommandées.
16.6. Réalisation d’un projet cyber-sécurité

Le bon déroulement d’un projet cyber-sécurité dépend du respect d’étapes de réalisation nécessaire pour
atteindre les objectifs définis, afin de garantir le succès du projet.
Etapes de réalisation projet cyber-sécurité industriel recommandées
Afin d’harmoniser et optimiser la réalisation des projets cyber-sécurité, la définition d’un cadre de réalisation
permettra aux structures SONATRACH d’entreprendre les projets cyber-sécurités industrielles d’une façon
unifier et conforme.
1- Suivi du projet :
Se servir d’un logiciel dédié à la gestion de projets (Primavera, MS project …). Afin de garantir un bon suivi du
projet, l’entité centrale doit rester informée de son avancement.
2- Etapes de validation des tests d'acceptation :
La validation des tests d'acceptation se fait en collaboration avec l’entité centrale.
3- Formations :
Un transfert de compétence pour l’équipe sur le contenu du projet doit être effectué pendant ou après la
réalisation du projet, des formations complètes pour toute l’équipe du projet est exigé.
4- Clôture du projet :
La clôture du projet se fait après validation des tests d’acceptation et réception de toute la documentation et les
produits livrables. L’entité centrale doit être informée de la clôture.
OP7- On distingue 3 catégories de réalisation de projet cyber-sécurité industriel :

 Procédures de Réalisation Valide : procédures de réalisation conforme aux étapes de réalisation projet
 Procédures de Réalisation Non-Valide : procédures de réalisation non conforme étapes de réalisation projet
 Procédures de Réalisation Inexistante : procédures de réalisation d’un projet cyber-sécurité industriel non
accomplie.

ANNEXES

Référentiel Cyber-Sécurité des Systèmes informatique industriels SONATRACH
ANNEXE 1 : Barème de conformité au référentiel de sécurité de systèmes informatiques

industriels
Sécurité de données Optimale (25)

Sécurité des données
Sécurité de données Peu-Fiable (10)
/25
Sécurité de données Inexistante (0)
Plan de sauvegarde et de Plan de sauvegarde et de restauration Efficace (25)

restauration Plan de sauvegarde et de restauration Pas-Sure (10)
/25 Plan de sauvegarde et de restauration Inexistant (0)
Protection des
données Archivage Fiable (25)
/100 Archivage
Archivage Acceptable (10)
/25
Archivage Inexistant (0)
Externalisation des données Interdite (25)
Externalisation des données Externalisation des données Tolérée (0)
/25
Externalisation des données Partielle (0)
Externalisation des données Complète (0)
Solution Antivirale Puissante (30) Mise à jour Antiviral Mise à jour Antivirale Efficace (20)
Solution Antivirale /20 Mise à jour Antivirale Non Efficace (5)
Solution Antivirale Acceptable (10)
/50 Mise à jour Antivirale Inexistante (0)
Solution Antivirale Inexistante (0)
Protections Protection Whitelisting Puissante (20)

Solution Whitelisting
Applicatifs /20
Protection Whitelisting Faible (10)
/100 Protection Whitelisting Inexistante (0)
Règles Accès logique Fortes (30)
Accès logique aux systèmes Règles Accès logique Assez Fortes (15)
informatiques industriels
/30 Règles Accès logique Moyennes (10)
Règles Accès logique Faibles (0)

Durcissement Configuration Fort (30)
Durcissement de la Durcissement Configuration Assez Fort (15)

configuration Durcissement Configuration Moyen (10)
/30 Durcissement Configuration Faible (5)
Durcissement Configuration Très Faible (0)
Gestion des mises à jours et Mise à jours et des patches Efficace (40)
Protections des patches
Mise à jours et des patches Non Efficace (15)
/40
Applicatifs Mise à jours et des patches Inexistante (0)
/100
Niveau de Sécurité Elevé (20)
Applications et logiciels Métiers
/20 Niveau de Sécurité Renforcé (10)
Protection des applications
et logiciels Niveau de Sécurité Faible (0)
/30 Niveau de Sécurité Elevé (10)
Applications et logiciels Non Métiers ou
bureautiques Niveau de Sécurité Renforcé (10)
/10
Niveau de Sécurité Faible (0)
Mesures de sécurisation Intégrés (20)
Mesures de sécurisation des Mesures de sécurisation Opérationnelles (15)

systèmes Informatiques Mesures de sécurisation Fonctionnelles (10)
industriels /20 Mesures de sécurisation Exploitations (5)
Mesures de sécurisation Inexistantes (0)
Configuration Forte (5)
Protection des Configuration
Configuration Acceptable (2)
équipements /5
Configuration Faible (0)
/100
Automate programmable Protocole Sécurisé (5)
industriel (PLC) Protocoles PLC
Protocole Non-Sécurisé (2)
/20 /5
Protocole Vulnérable (0)
Redondance Inexistante (0)
Redondance PLC
Redondance Duplex (5)
/10
Redondance Triplex (5)

Protection Hautement Sécurisé (20)

Equipements réseaux
Protection partialement Sécurisé (10)
/20
Protection Non Sécurisé (0)
Historian Centralisé (10)
Type serveur Historian
Historian Local (5)
/10
Historian Inexistant (0)
Serveur Historian
Durée de rétention Importante (10)
/20
Durée de rétention Durée de rétention Moyenne (5)
Protection des /10 Durée de rétention Courte (2)
équipements
Durée de rétention Faible (0)
(suite)
/100 Systèmes de détection Solution de détection d’intrusion et d’analyse de menaces Puissante (10)
d’intrusion et d’analyse de
Solution de détection d’intrusion et d’analyse de menaces Faible (5)
menaces
/10 Solution de détection d’intrusion et d’analyse de menaces inexistante (0)
Solution SIEM Forte (5)
Catégorie solution SIEM
Solution SIEM Faible (2)
/5
Solution SIEM Solution SIEM Inexistante (0)
/10 Déploiement Centrale (5)
Déploiement de la solution SIEM
Déploiement Région (5)
/5
Déploiement Site (4)
Architecture Isolé (70)
Architecture Fortement séparer (40) Accès aux données Hautement sécurisé (30)
Interconnexion du Réseau Architecture Moyennement séparer (15) Accès aux données du réseau OT Accès aux données Moyennement Sécurisé (10)
Protection réseaux OT au Réseau IT/70 /30 Accès aux données Faiblement Sécurisé (2)
/100 Architecture Faiblement séparer (5)
Accès aux données Non Sécurisé (0)
Architecture Exposé (0)
Segmentation Forte (30)
Segmentation
Segmentation Moyenne (10)
/30
Segmentation Fiable (0)

Accès distants Interdit (25)

Accès distants Accès distants Sécurisé (25)
/25
Accès distants Non-Sécurisé (5)
Accès distants VPN (0)
Accès internet Interdit (25)
Accès internet Hautement Sécurisé (25)
Accès Internet depuis le
réseau OT Accès internet Moyennement Sécurisé (15)
/25 Accès internet Peu Sécurisé (5)
Protection d’accès Accès internet Faiblement Sécurisé (2)
/100
Accès internet Libre (0)
Connexion Directe (25)
Sécurisation des connexions Raccordement Hautement sécurisé (25)
au réseau industriel Connexion Prise réseau Raccordement Moyennement sécurisé (10)
/25 /25
Raccordement Faiblement sécurisé (0)
Accès réseaux Sans-fil Hautement sécurisé (25)
Sécurisation des accès aux Accès réseaux Sans-fil Moyennement sécurisé (5)
réseaux sans-fil /25
Accès réseaux Sans-fil Faiblement sécurisé (0)
Contrôle Accès Strict (30)
Equipements installés dans des Salles serveurs,
et Local technique Contrôle Accès Haut (15)
/30 Contrôle Accès Serrure (10)
Contrôle d’accès physique Contrôle Accès Inexistant (0)

/60 Contrôle Accès Strict (30)
Protections
physiques Equipements placés dans des salles contrôles, Contrôle Accès Haut (30)
les lieux publics et les Zones Externes
/100 Contrôle Accès Serrure (30)
/30
Contrôle Accès Inexistant (0)
Accès Sécurisé (20)
Droit d’accès aux Salles Accès Moyennement sécurisé (5)
serveurs, Local technique Accès Faiblement Sécurisé (2)
Accès Non Sécurisé (0)

Intervention sur les Intervention Rigoureuse (20)

Protections
équipements pour des Intervention Modérée (8)
physiques populations externes
(suite) /20 Intervention Exposée (0)
Responsable régional de cyber-sécurité Mis en place (15)
Chaîne de responsabilité Industriel Non Mis en place (0)
/30 /15
Rôle et Responsable site de cyber-sécurité Industriel Mis en place (15)
responsabilités /15 Non Mis en place (0)
/40
Elaborée (10)
Charte de responsabilité /10
Non Elaborée (0)
Complète (30) Fréquente (10)
Générale (20) Régulière (5)
Cartographie des Périodicité de la cartographie
équipements Partielle (10) /10 Occasionnelle (2)
/40 Basique (3) Rare (0)
Inexistante (0)
Gestion des Analyse et Traitement de Risque Détaillée (20) Régulière (10) Labellisé (10)
Périodicité Prestataire
risques /10 Occasionnel (5) /10 Non-labellisé (2)
Analyse et Traitement de Risque Non- Détaillée (5)
/40 Rare (0) Ordinaire (0)
Analyse et Traitement de Risque Absente (0)
Alertes et Traitement des Processus alertes et traitement Adéquat (20)

incidents Processus alertes et traitement Inadéquat (5)
/20 Processus alertes et traitement Inexistant (0)
Mise à jour Régulière (5)
Plans de Reprise d’Activité Plan de reprise d’activité Adéquat (5) Mise à jour du PRA
Gestion et Mise à jour Insuffisante (2)
(PRA) /5
Traitement des Plan de reprise d’activité Inadéquat (2) Mise à jour Inacceptable (0)
incidents /10
Plan de reprise d’activité Inexistant (0)
/40
Mise à jour Régulière (5)
Mode de fonctionnement Plan de reprise d’activité Valide Adéquat (5)
Mise à jour du PRA Mise à jour Insuffisante (2)
dégradé /5
Plan de reprise d’activité dégradé Non- Valide
/10 Mise à jour Inacceptable (0)
(2)
Plan de reprise d’activité dégradé Inexistant (0)

Veille sur les Veille régionale Active (40)

menaces et les Processus de Veille
Veille régionale Non-Active (5)
vulnérabilités /40
/40 Veille régionale Inexistante (0)
Plan de formation Objectifs du Plan de Formation Entreprise Réalisés (40)

Formation
/40 Objectifs du Plan de Formation Entreprise Incomplets (10)
/40
Objectifs du Plan de Formation Entreprise Non-Réalisés (0)
Plan de sensibilisation Complètement Exécuté (40)
Plan de sensibilisation Plan de sensibilisation Moyennement Exécuté (10)
Sensibilisation
/40
/40 Plan de sensibilisation Peu-Exécuté (2)
Plan de sensibilisation Inexécuté (0)
Test Cyber-sécurité Efficace (30) Période Régulière (10)

Contrôle de Périodicité
conformité Test de Cyber-sécurité /10 Période Occasionnel (2)
/40 Test Cyber-sécurité Inefficace (5)
/40 Période Rare (0)
Test Cyber-sécurité Inexistant (0)
Contrat de Contrat de maintenance et Contrat de Maintenance et Support Valide (30) Prestataire de Constructeur (10)
maintenance et support/ maintenance
Contrat de Maintenance et Support Non-Valide (5) /10 Prestataire Certifié (10)
support 40
/40 Prestataire Non-Certifié (0)
Contrat Inexistant (0)
Solution de cyber-sécurité Complète (20)
Solutions de cyber-sécurité Solution de cyber-sécurité Partielle (8)
/20 Solution de cyber-sécurité Non-Conforme (5)
Projet cyber- Solution de cyber-sécurité Inexistante (0)
sécurité
Procédures de lancement Procédures de lancement Valide (10)
/40
d’un projet cyber-sécurité Procédures de lancement Insuffisant (4)
/10 Procédures de lancement Non-Valide (0)
Procédures de réalisation Procédures de réalisation Valide (10)
d’un projet cyber-sécurité Procédures de réalisation Non-Valide (4)
/10 Procédures de réalisation Inexistante (0)

ANNEXE 2 : Architecture Cloisonnement des Réseaux
Figure 1 : Architecture Fortement séparer

Deux firewalls industriels de technologies différentes

Figure 2 : Architecture Fortement séparer

Un firewall et une Data Diode

Figure 3 : Schéma Synoptique de l’architecture du Réseau OT recommandée

ANNEXE 3 : Cadre normatif du référentiel

Le référentiel cyber-sécurité SONATRACH « RCSSII-SH» puise ces principes des normes et standards cyber sécurité
industriels internationales à savoir :
Norme/Standard Description
ISA/IEC 62443 Une série de normes multi-industries définissant les méthodes et techniques de
protection cyber classées et qui s'applique à toutes les parties prenantes
ISO/IEC 27005 Décrit les grandes lignes de la gestion des risques. Elle est conçue pour aider à
la mise en place de la sécurité de l'information basée sur une approche de
gestion des risques.
NIST 800-61 Norme qui décrit la gestion des incidents cyber sécurité IT .


Référentiel Cyber-Sécurité Industriel

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Référentiel Cyber-Sécurité Industriel

Transféré par

Droits d'auteur :

Formats disponibles

Référentiel cyber-sécurité des systèmes informatique industriels SONATRACH

Référentiel Cyber-Sécurité des

1. PROTECTION DES DONNEES ................................................................................................ 8

1.1. Supports de Stockage ............................................................................................................................................... 9

1.2. Sécurité des données ................................................................................................................................................ 9

1.3. Sauvegarde ............................................................................................................................................................ 10

1.4. Restauration ........................................................................................................................................................... 10

1.5. Plan de sauvegardes et de restauration................................................................................................................... 11

1.6. Archivage .............................................................................................................................................................. 11

1.7. Externalisation des données ................................................................................................................................... 12

2. PROTECTIONS APPLICATIFS ............................................................................................. 12

2.1. Solution antivirale .................................................................................................................................................. 12

2.2. Mise à jour antivirale ............................................................................................................................................. 12

2.3. Solution Whitelisting ............................................................................................................................................. 13

2.4. Complexité du mot de passe .................................................................................................................................. 14

2.5. Accès logique ........................................................................................................................................................ 14

2.6. Durcissement de la configuration .......................................................................................................................... 15

2.7. Gestion des mises à jours et des patches ................................................................................................................ 16

2.8. Protection des applications et logiciels .................................................................................................................. 16

3. PROTECTION DES EQUIPEMENTS .................................................................................... 17

3.1. Types des équipements OT .................................................................................................................................... 17

3.2. Système Informatique Industriel - ICS (Industriel Contrôle Système) .................................................................. 17

3.3. Mesures de sécurisation des systèmes Informatiques industriels .......................................................................... 18

Direction Centrale Digitalisation et Système d’information 1

3.4. Automate programmable industriel (PLC - Programmable Logic Controller) ...................................................... 19

3.5. Serveur Historian ................................................................................................................................................... 20

3.6. Equipement Réseau Industriel ............................................................................................................................... 21

3.7. Systèmes de détection d’intrusion et d’analyse de menaces .................................................................................. 23

3.8. SIEM (Security Incident and Event Monitoring) ................................................................................................... 24

4. PROTECTION RESEAUX ....................................................................................................... 25

4.1. Interconnexion des Réseaux IT & OT ................................................................................................................... 25

4.2. Accès aux données du réseau OT .......................................................................................................................... 26

4.3. Segmentation ......................................................................................................................................................... 27

5.1. Accès distants ........................................................................................................................................................ 28

5.2. Accès Internet depuis le réseau OT ....................................................................................................................... 29

5.3. La sécurisation des accès aux réseaux sans-fil ...................................................................................................... 31

5.4. Sécurisation des connexions au réseau industriel .................................................................................................. 32

6. PROTECTIONS PHYSIQUES ................................................................................................. 33

6.1. Salles serveurs et locaux techniques ...................................................................................................................... 33

6.2. Contrôle d’accès physique ..................................................................................................................................... 33

6.3. Profils d’accès physique ........................................................................................................................................ 33

6.4. Droit d’accès physique .......................................................................................................................................... 34

6.5. Intervenants sur les équipements ........................................................................................................................... 34

Direction Centrale Digitalisation et Système d’information 2

7. ORGANISATION ET RESPONSABILITES .......................................................................... 37

7.1. Organisation cyber-sécurité ................................................................................................................................... 37

7.2. Chaîne de responsabilités ...................................................................................................................................... 37

7.3. Charte de responsabilité ......................................................................................................................................... 37

8. CARTOGRAPHIE DES EQUIPEMENTS .............................................................................. 38

8.1. Types d’informations d’inventaire : ...................................................................................................................... 38

8.2. Inventaire ............................................................................................................................................................... 39

8.3. Cartographie .......................................................................................................................................................... 39

9. GESTION DES RISQUES ......................................................................................................... 39

9.1. Probabilité d’occurrence des menaces ................................................................................................................... 40

9.2. Gravité des conséquences ...................................................................................................................................... 40

9.3. Matrice de risques .................................................................................................................................................. 41

9.4. Analyse et Traitement des risques ......................................................................................................................... 41

10. GESTION ET TRAITEMENT DES INCIDENTS ................................................................. 42

10.1. Incidents ................................................................................................................................................................ 42

10.2. Chaîne d’alerte ....................................................................................................................................................... 42

10.3. Surveillance et détection des incidents .................................................................................................................. 44

10.4. Alertes et Traitement des incidents ........................................................................................................................ 44

10.5. Plans de reprise d’activité (PRA)........................................................................................................................... 46

10.6. Mode de fonctionnement dégradé.......................................................................................................................... 47