Cybersécurité des systèmes industriels selon la norme IEC 62 443

Introduction et normes de sécurité

• Introduction avec des concepts clés et des différences entre les environnements IT et OT
• Panorama des menaces et analyse des risques liés à la cybersécurité industrielle
• Introduction à la norme IEC 62443 méthodologie et évaluation des risques

• Ateliers pratiques sur la définition d’un SuC (Système under consideration) et l’évaluation de risque selon la norme IEC 62443

• Concepts clés de la norme IEC 62443 (zones, conduits et méthodologies d'analyse de risque)
• Défense en profondeur et les différentes couches de sécurité (organisationnelle, physique, périmétrique)
• Démonstration : sécurité des systèmes d'accès, exemple avec la technologie Mifare

Sécurité réseau et cryptologie

• Sécurité des systèmes et les principes de base de sécurité réseau
• Démonstration d'une attaque par force brute sur un réseau WPA2
• Introduction à la cryptologie : présentation des concepts clés (chiffrement symétrique et asymétrique, hash, sel et poivre)
• Démonstration exploitation d'une faille sur des fichiers Python précompilés contenant des secrets

Sécurité des produits et architecture sécurisée

• Cycle de vie sécurisé des logiciels (SDLC) et les bonnes pratiques pour le développement de logiciels sécurisés
• Sécurité des hôtes et des applications:
• Démonstration des vulnérabilités affectant des ports USB mal protégés avec personnel non sensibilisé aux attaques provenant des dispositifs apparemment inoffensifs
• Démonstration d’une attaque par rejeu mettant en œuvre des exploits sur un tableau d’affichage
• Sécurité des données
• Ateliers pratiques sur l’évaluation détaillée des risques, estimation des risques et définition des niveaux de sécurité selon la norme IEC 62443
• Méthodes pour identifier et traiter les vulnérabilités
• Présentation des bonnes pratiques pour concevoir une architecture robuste et sécurisée

JOUR 1

Introduction

Cybersécurité dans le monde industriel

• Comprendre la cybersécurité dans le contexte industriel
• Menaces et méthodologies d’attaques
• Divergence et convergence IT / OT

Norme ISA/IEC 62443

• Comprendre les concepts de la norme
• Processus d’évaluation des risques
• Évaluation initiale des risques détaillés
• Acceptation et comparaison des risques

Ateliers

• WS1 – Définir le système considéré
• WS2 – Effectuer l’évaluation initiale des risques
• WS3 – Partitionnement des Zones et conduits

JOUR 2

Norme ISA/IEC 62443

• Processus d’évaluation détaillée des risques

Défense en profondeur

• Systèmes - Sécurité physique
• Systèmes – Sécurité périmétrique
• Systèmes - Sécurité interne des réseaux

Démonstration

• Cas classique de Mifare
• Attaque par Brute force WPA2 et usurpation ARP
• Crypto : Mauvaise implémentation du chiffrement

Cryptographie

• Symétrique et asymétrique
• Certificat et PKI (Infrastructure à clés publiques)
• Fonction de hachage avec “sel” et “poivre”

Ateliers

• WS4 – Évaluation des risques détaillée (1/2) – Scénarios de menaces

JOUR 3

Norme ISA/IEC 62443

• Cycle de vie du développement d’un produit sécurisé
• Exigences fondamentales

Défense en profondeur

• Produit – Sécurité de l’hôte
• Produit – Sécurité des applications
• Produit – Sécurité des données

Démonstration

• Rubber Ducky – Attaque USB
• Radiofréquence – Attaque par rejeu

Ateliers

• WS5 – Évaluation des risques détaillée (2/2) – Estimation des risques
• WS6 – Définition des niveaux de sécurité
• WS7 – Spécification des exigences de cybersécurité

Détails sur les vulnérabilités

• MCS, CVE & CVSS

Méthodes pédagogiques

• Alternance d’exposés théoriques, d’illustrations par des cas concrets, d’exercices individuels ou en groupes de travail et de jeux de rôle.

Modalités d’évaluation :

• Exercices individuels, en binôme, en groupe,
• Débriefing par les groupes,
• Débriefing par le formateur,
• Evaluation des compétences acquises via un questionnaire en fin de formation.