WEBVTT 1 00:00:08.240 --> 00:00:10.519 Les fabricants du monde entier adoptent [Text on screen: CIP Security] 2 00:00:10.519 --> 00:00:12.669 une stratégie de transformation numérique [Text on screen: CIP Security] 3 00:00:12.669 --> 00:00:15.400 afin de moderniser et de pérenniser leurs activités. [Text on screen: Défense en profondeur 4 00:00:16.289 --> 00:00:18.379 Un composant clé de cette stratégie est la [Text on screen: Défense en profondeur Appareil, Application, Ordinateur, Réseau, Physique, Politiques, procédures et sensibilisation] 5 00:00:18.379 --> 00:00:20.440 cybersécurité, qui utilise [Text on screen: Défense en profondeur Appareil, Application, Ordinateur, Réseau, Physique, Politiques, procédures et sensibilisation 6 00:00:20.440 --> 00:00:21.789 les principes de défense en profondeur. [Text on screen: Défense en profondeur Appareil, Application, Ordinateur, Réseau, Physique, Politiques, procédures et sensibilisation] 7 00:00:22.250 --> 00:00:23.280 Qu’est-ce que cela signifie ? [Text on screen: Défense en profondeur Appareil, Application, Ordinateur, Réseau, Physique, Politiques, procédures et sensibilisation] 8 00:00:23.850 --> 00:00:26.059 Ce concept inclut des politiques fortes, des protections [Text on screen: Défense en profondeur Appareil, Application, Ordinateur, Réseau, Physique, Politiques, procédures et sensibilisation] 9 00:00:26.059 --> 00:00:28.649 physiques, une infrastructure réseau [Text on screen: Défense en profondeur Appareil, Application, Ordinateur, Réseau, Physique, Politiques, procédures et sensibilisation] 10 00:00:28.750 --> 00:00:30.449 et la sécurisation de votre équipement. [Text on screen: Défense en profondeur Appareil, Application, Ordinateur, Réseau, Physique, Politiques, procédures et sensibilisation] 11 00:00:31.260 --> 00:00:33.369 La première étape de la sécurisation de votre environnement consiste [Text on screen: Vous avez besoin d’un équipement sécurisé] 12 00:00:33.369 --> 00:00:35.420 à définir le niveau de sécurité de vos machines [Text on screen: Comment mesurer le niveau de sécurité ?] 13 00:00:35.420 --> 00:00:37.929 sur la base de la norme CEI 62443-3-3, [Text on screen: La norme CEI 62443-3-3 définit les niveaux de sécurité 14 00:00:40.829 --> 00:00:42.880 la norme la plus robuste du secteur, [Text on screen: Vous avez besoin d’un équipement sécurisé Comment mesurer le niveau de sécurité ? La norme CEI 62443-3-3 définit les niveaux de sécurité] 15 00:00:43.429 --> 00:00:45.780 qui établit des définitions et mesures communes [Text on screen: Meilleures pratiques et normes de cybersécurité CEI 62443] 16 00:00:45.789 --> 00:00:47.789 permettant de quantifier la cybersécurité [Text on screen: Meilleures pratiques et normes de cybersécurité CEI 62443] 17 00:00:47.799 --> 00:00:50.219 des systèmes de commande et d’automatisation industriels [Text on screen: Meilleures pratiques et normes de cybersécurité CEI 62443] 18 00:00:50.219 --> 00:00:50.929 . [Text on screen: Meilleures pratiques et normes de cybersécurité CEI 62443] 19 00:00:51.840 --> 00:00:54.560 Cette norme est axée sur des exigences essentielles, [Text on screen: Meilleures pratiques et normes de cybersécurité Exemple d’exigences de la norme CEI 62443-3-3] 20 00:00:54.619 --> 00:00:57.490 telles que l’identité, l’intégrité, [Text on screen: Meilleures pratiques et normes de cybersécurité Exemple d’exigences de la norme CEI 62443-3-3 SR 1.2 – Identification et authentification des processus logiciels et appareils SR 3.1 – Intégrité et authenticité des communications SR 4.1 – Protection de la confidentialité en transit via des réseaux non sécurisés Exigences de sécurité des systèmes et niveaux de sécurité] 21 00:00:57.890 --> 00:01:00.600 l’authenticité et la confidentialité. [Text on screen: Meilleures pratiques et normes de cybersécurité Exemple d’exigences de la norme CEI 62443-3-3 SR 1.2 – Identification et authentification des processus logiciels et appareils SR 3.1 – Intégrité et authenticité des communications SR 4.1 – Protection de la confidentialité en transit via des réseaux non sécurisés Exigences de sécurité des systèmes et niveaux de sécurité] 22 00:01:01.700 --> 00:01:03.759 Des normes de communication industrielles [Text on screen: Meilleures pratiques et normes de cybersécurité Exemple d’exigences de la norme CEI 62443-3-3 SR 1.2 – Identification et authentification des processus logiciels et appareils SR 31 – Identification et authentification des processus logiciels et appareils SR 4.1 – Protection de la confidentialité en transit via des réseaux non sécurisés Et bien d’autres exigences associées... Exigences de sécurité des systèmes et niveaux de sécurité] 23 00:01:03.759 --> 00:01:05.769 sont requises pour les communications normales [Text on screen: Meilleures pratiques et normes de cybersécurité Exemple d’exigences de la norme CEI 62443-3-3 SR 1.2 – Identification et authentification des processus logiciels et appareils SR 3.1 – Intégrité et authenticité des communications SR 4.1 – Protection de la confidentialité en transit via des réseaux non sécurisés Et bien d’autres exigences associées... Exigences de sécurité des systèmes et niveaux de sécurité] 24 00:01:05.769 --> 00:01:07.189 entre des fournisseurs d’appareils, [Text on screen: Meilleures pratiques et normes de cybersécurité Exemple d’exigences de la norme CEI 62443-3-3 SR 1.2 – Identification et authentification des processus logiciels et appareils SR 3.1 – Intégrité et authenticité des communications SR 4.1 – Protection de la confidentialité en transit via des réseaux non sécurisés Et bien d’autres exigences associées... Exigences de sécurité des systèmes et niveaux de sécurité] 25 00:01:07.750 --> 00:01:10.000 de sorte qu’il sera pratiquement impossible pour tout [Text on screen: Exigences complexes Comment résoudre ces problèmes ?] 26 00:01:10.000 --> 00:01:11.549 concepteur de systèmes de commande [Text on screen: Exigences complexes Comment résoudre ces problèmes ?] 27 00:01:11.980 --> 00:01:14.359 de mettre en œuvre des communications sécurisées sans [Text on screen: Exigences complexes Comment résoudre ces problèmes ?] 28 00:01:14.370 --> 00:01:16.750 l’aide de leurs fournisseurs d’automates programmables. [Text on screen: Exigences complexes Comment résoudre ces problèmes ?] 29 00:01:17.340 --> 00:01:18.849 Mais il existe l’ODVA. [Text on screen: Exigences complexes ODVA] 30 00:01:19.739 --> 00:01:22.030 L’ODVA est une association mondiale [Text on screen: Exigences complexes ODVA] 31 00:01:22.049 --> 00:01:24.120 qui regroupe les principales sociétés d’automatisation mondiales [Text on screen: Exigences complexes ODVA] 32 00:01:24.120 --> 00:01:24.799 . [Text on screen: Exigences complexes ODVA] 33 00:01:25.340 --> 00:01:27.780 Elle a été à l’avant-garde des organismes d’élaboration de normes [Text on screen: Exigences complexes ODVA] 34 00:01:27.780 --> 00:01:29.980 dans l’intégration de mécanismes de cybersécurité [Text on screen: Exigences complexes ODVA] 35 00:01:29.980 --> 00:01:32.480 dans ses réseaux [Text on screen: Exigences complexes ODVA] 36 00:01:32.480 --> 00:01:33.180 d’automatisation [Text on screen: Exigences complexes ODVA] 37 00:01:33.549 --> 00:01:35.579 pour permettre la sécurisation des équipements. [Text on screen: Exigences complexes ODVA] 38 00:01:36.290 --> 00:01:38.480 Avec sa communauté de membres, l’ODVA [Text on screen: Exigences complexes ODVA] 39 00:01:38.480 --> 00:01:40.549 a développé CIP Security. [Text on screen: Exigences complexes CIP Security] 40 00:01:41.459 --> 00:01:43.870 Pour aider les utilisateurs finaux à mettre en œuvre des mesures de cybersécurité [Text on screen: Exigences complexes CIP Security] 41 00:01:43.870 --> 00:01:45.879 de manière plus approfondie et plus rapide. [Text on screen: Exigences complexes CIP Security] 42 00:01:46.230 --> 00:01:48.560 L’ODVA et ses membres ont élaboré [Text on screen: Exigences complexes CIP Security] 43 00:01:48.560 --> 00:01:51.159 et publié la spécification CIP Security [Text on screen: Exigences complexes CIP Security] 44 00:01:51.250 --> 00:01:52.579 sur EtherNet/IP, [Text on screen: Exigences complexes CIP Security, EtherNet/IP ODVA] 45 00:01:53.010 --> 00:01:55.480 l’un des plus grands réseaux mondiaux d’automatisation [Text on screen: Exigences complexes CIP Security, EtherNet/IP ODVA] 46 00:01:55.480 --> 00:01:56.200 industrielle. [Text on screen: Exigences complexes CIP Security, EtherNet/IP ODVA] 47 00:01:57.140 --> 00:01:59.530 Cette vidéo présente les caractéristiques du [Text on screen: Exigences complexes CIP Security, EtherNet/IP ODVA] 48 00:01:59.530 --> 00:02:01.650 profil de confidentialité EtherNet/IP. [Text on screen: Exigences complexes CIP Security, EtherNet/IP ODVA] 49 00:02:02.640 --> 00:02:05.269 Les systèmes bancaires et de messagerie électronique disposent de méthodes [Text on screen: Identité des appareils Mécanismes de confiance normalisés] 50 00:02:05.280 --> 00:02:07.409 éprouvées de longue date pour établir la confiance [Text on screen: Identité des appareils Mécanismes de confiance normalisés] 51 00:02:07.409 --> 00:02:08.469 de manière cryptographique. [Text on screen: Identité des appareils Mécanismes de confiance normalisés] 52 00:02:09.039 --> 00:02:11.169 Les systèmes de commande industriels utilisent [Text on screen: Identité des appareils Mécanismes de confiance normalisés] 53 00:02:11.169 --> 00:02:12.349 les mêmes méthodes. [Text on screen: Identité des appareils Mécanismes de confiance normalisés] 54 00:02:13.069 --> 00:02:15.409 La plupart des fournisseurs qui utilisent CIP Security [Text on screen: Identité des appareils La plupart des appareils sont dotés de certificats normalisés X.509v3 lors de leur fabrication] 55 00:02:15.419 --> 00:02:17.490 intègrent un certificat dans l’appareil afin de [Text on screen: Identité des appareils La plupart des appareils sont dotés de certificats normalisés X.509v3 lors de leur fabrication] 56 00:02:17.490 --> 00:02:18.439 l’identifier. [Text on screen: Identité des appareils La plupart des appareils sont dotés de certificats normalisés X.509v3 lors de leur fabrication] 57 00:02:18.789 --> 00:02:21.099 Le certificat peut fournir une [Text on screen: Identité des appareils La plupart des appareils sont dotés de certificats normalisés X.509v3 lors de leur fabrication] 58 00:02:21.099 --> 00:02:22.050 base de confiance vérifiable. [Text on screen: Identité des appareils La plupart des appareils sont dotés de certificats normalisés X.509v3 lors de leur fabrication] 59 00:02:22.969 --> 00:02:25.030 Lorsque vous configurez votre système, vous avez le [Text on screen: Identité des appareils De nombreuses façons d’établir la confiance entre les appareils, zones et fournisseurs] 60 00:02:25.030 --> 00:02:27.129 contrôle sur les machines ou systèmes [Text on screen: Identité des appareils De nombreuses façons d’établir la confiance entre les appareils, zones et fournisseurs Fournisseur A Fournisseur B Fournisseur C] 61 00:02:27.129 --> 00:02:27.840 auxquels faire confiance, [Text on screen: Identité des appareils De nombreuses façons d’établir la confiance entre les appareils, zones et fournisseurs Fournisseur A Fournisseur B Fournisseur C] 62 00:02:28.460 --> 00:02:30.599 par exemple, un autre appareil unique ou [Text on screen: Identité des appareils De nombreuses façons d’établir la confianôlee entre les appareils, zones et fournisseurs Fournisseur A Fournisseur B Fournisseur C] 63 00:02:30.599 --> 00:02:33.110 une infrastructure de clé publique de niveau entreprise [Text on screen: Identité des appareils De nombreuses façons d’établir la confiance entre les appareils, zones et fournisseurs Fournisseur A Fournisseur B Fournisseur C] 64 00:02:33.180 --> 00:02:34.800 ou tout système intermédiaire. [Text on screen: Identité des appareils De nombreuses façons d’établir la confiance entre les appareils, zones et fournisseurs Fournisseur A Fournisseur B Fournisseur C] 65 00:02:35.400 --> 00:02:37.550 Une fois la connexion établie, un [Text on screen: Identité des appareils Méthode 1. Identité basée sur certificat] 66 00:02:37.550 --> 00:02:39.900 « établissement de liaison TLS » est utilisé pour échanger [Text on screen: Identité des appareils Méthode 1. Identité basée sur certificat] 67 00:02:39.900 --> 00:02:40.750 le certificat. [Text on screen: Identité des appareils Méthode 1. Identité basée sur certificat] 68 00:02:41.330 --> 00:02:43.650 Cette méthode est similaire au mode de fonctionnement des navigateurs Internet. [Text on screen: Identité des appareils Méthode 1. Identité basée sur certificat] 69 00:02:44.340 --> 00:02:46.389 Ces certificats permettent d’identifier [Text on screen: Identité des appareils Méthode 1. Identité basée sur certificat] 70 00:02:46.389 --> 00:02:48.629 l’appareil et de déterminer si la confiance doit exister [Text on screen: Identité des appareils Méthode 1. Identité basée sur certificat] 71 00:02:48.639 --> 00:02:49.819 entre les appareils. [Text on screen: Identité des appareils Méthode 1. Identité basée sur certificat] 72 00:02:50.539 --> 00:02:52.849 À la fin du processus, les appareils [Text on screen: Identité des appareils Méthode 1. Identité basée sur certificat] 73 00:02:52.849 --> 00:02:55.060 partagent une clé secrète qui peut être utilisée [Text on screen: Identité des appareils Méthode 1. Identité basée sur certificat] 74 00:02:55.060 --> 00:02:56.699 pour sécuriser les communications. [Text on screen: Identité des appareils Méthode 1. Identité basée sur certificat] 75 00:02:57.759 --> 00:02:59.990 Lors de la mise en service du système ou du remplacement [Text on screen: Identité des appareils Méthode 2. Établissement manuel de la confiance] 76 00:02:59.990 --> 00:03:01.620 d’un appareil pendant la maintenance, [Text on screen: Identité des appareils Méthode 2. Établissement manuel de la confiance] 77 00:03:01.909 --> 00:03:03.889 vous devez établir son identité. [Text on screen: Identité des appareils Méthode 2. Établissement manuel de la confiance] 78 00:03:04.669 --> 00:03:07.000 Pour établir l’identité, vous pouvez utiliser [Text on screen: Identité des appareils Méthode 2. Établissement manuel de la confiance] 79 00:03:07.000 --> 00:03:08.449 le certificat des appareils [Text on screen: Identité des appareils Méthode 2. Établissement manuel de la confiance] 80 00:03:08.840 --> 00:03:10.259 ou employer une méthode manuelle, [Text on screen: Identité des appareils Méthode 2. Établissement manuel de la confiance] 81 00:03:10.539 --> 00:03:12.860 qui établit la confiance à l’aide de clés [Text on screen: Identité des appareils Méthode 2. Établissement manuel de la confiance] 82 00:03:12.870 --> 00:03:13.479 pré-partagées. [Text on screen: Identité des appareils Méthode 2. Établissement manuel de la confiance] 83 00:03:14.460 --> 00:03:16.810 Cette méthode manuelle peut être plus simple à mettre en œuvre [Text on screen: Identité des appareils Méthode 2. Établissement manuel de la confiance] 84 00:03:16.810 --> 00:03:19.009 pour de très petits systèmes, bien qu’elle [Text on screen: Identité des appareils Méthode 2. Établissement manuel de la confiance] 85 00:03:19.009 --> 00:03:20.949 nécessite davantage de planification en amont. [Text on screen: Identité des appareils Méthode 2. Établissement manuel de la confiance] 86 00:03:21.710 --> 00:03:23.759 Quelle que soit la méthode choisie, la clé secrète [Text on screen: Authentification des appareils et intégrité des données] 87 00:03:23.759 --> 00:03:26.199 peut être utilisée pour authentifier le fait que chaque message [Text on screen: Authentification des appareils et intégrité des données EtherNet/IP ODVA Algorithme de hachage avec clé secrète] 88 00:03:26.199 --> 00:03:28.030 a été envoyé à partir de l’appareil correct [Text on screen: Authentification des appareils et intégrité des données EtherNet/IP ODVA Algorithme de hachage et clé secrète] 89 00:03:28.400 --> 00:03:30.400 et que les données n’ont pas été modifiées. [Text on screen: Authentification des appareils et intégrité des données EtherNet/IP ODVA Algorithme de hachage et clé secrète CIP Security] 90 00:03:31.050 --> 00:03:33.050 La norme CIP Security utilise le [Text on screen: Authentification des appareils et intégrité des données EtherNet/IP ODVA Algorithme de hachage et code secret, CIP Security] 91 00:03:33.050 --> 00:03:35.319 code d’authentification des messages hachés, [Text on screen: Authentification des appareils et intégrité des données EtherNet/IP ODVA Algorithme de hachage et clé secrète CIP Security] 92 00:03:35.409 --> 00:03:36.409 ou HMAC, [Text on screen: Authentification des appareils et intégrité des données EtherNet/IP ODVA Algorithme de hachage et clé secrète CIP Security] 93 00:03:36.689 --> 00:03:38.849 qui est couramment utilisé avec les communications TLS [Text on screen: Authentification des appareils et intégrité des données EtherNet/IP ODVA Algorithme de hachage et clé secrète CIP Security] 94 00:03:38.860 --> 00:03:40.860 et DTLS. [Text on screen: Authentification des appareils et intégrité des données EtherNet/IP ODVA Algorithme de hachage et clé secrète CIP Security] 95 00:03:42.039 --> 00:03:44.150 Si un appareil imposteur tente d’envoyer [Text on screen: Authentification des appareils et intégrité des données EtherNet/IP ODVA Algorithme de hachage et code secret CIP Security] 96 00:03:44.150 --> 00:03:46.169 des données ou si une machine intermédiaire [Text on screen: Authentification des appareils et intégrité des données EtherNet/IP ODVA Algorithme de hachage et clé secrète CIP Security] 97 00:03:46.169 --> 00:03:47.689 essaie de modifier les données, [Text on screen: Authentification des appareils et intégrité des données EtherNet/IP ODVA Algorithme de hachage et clé secrète CIP Security] 98 00:03:47.979 --> 00:03:49.669 le code HMAC ne sera pas valable. [Text on screen: Authentification des appareils et intégrité des données EtherNet/IP ODVA Algorithme de hachage et clé secrète CIP Security] 99 00:03:50.520 --> 00:03:52.659 Toutes les données d’automatisation du réseau [Text on screen: Confidentialité des données Switch réseau] 100 00:03:52.659 --> 00:03:53.919 n’ont pas besoin d’être cryptées. [Text on screen: Confidentialité des données Switch réseau] 101 00:03:54.250 --> 00:03:56.629 Ainsi, pour éviter de surcharger le processus de communication, [Text on screen: Confidentialité des données Switch réseau CIP Security] 102 00:03:56.629 --> 00:03:58.750 le cryptage est facultatif. [Text on screen: Confidentialité des données CIP Security avec un code HMAC assure l'authentification CIP Security Switch réseau] 103 00:03:59.639 --> 00:04:02.039 Si vous détenez des informations de procédé confidentielles [Text on screen: Confidentialité des données Données secrètes CIP Security CIP Security avec un code HMAC assure l'authentification CIP Security Switch réseau] 104 00:04:02.039 --> 00:04:03.280 ou des recettes secrètes, [Text on screen: Confidentialité des données, Données secrètes, CIP Security] 105 00:04:03.599 --> 00:04:05.680 vous pouvez sécuriser chaque paquet avec le [Text on screen: Confidentialité des données Données secrètes CIP Security CIP Security avec un code HMAC assure l'authentification CIP Security Switch réseau] 106 00:04:05.680 --> 00:04:07.750 cryptage TLS et DTLS. [Text on screen: Confidentialité des données CIP Security CIP Security avec un code HMAC assure l'authentification CIP Security Switch réseau] 107 00:04:08.759 --> 00:04:10.800 Les appareils compatibles CIP Security [Text on screen: Confidentialité des données Données secrètes] 108 00:04:10.800 --> 00:04:13.039 peuvent jouer un rôle important dans une stratégie [Text on screen: Confidentialité des données CIP Security CIP Security avec un code HMAC assure l'authentification CIP Security Switch réseau Données secrètes] 109 00:04:13.039 --> 00:04:14.159 de défense en profondeur, [Text on screen: Confidentialité des données CIP Security CIP Security avec un code HMAC assure l'authentification CIP Security avec cryptage ajoute la confidentialité à l’authentification CIP Security Switch réseau CIP Security] 110 00:04:14.530 --> 00:04:16.610 permettant ainsi de renforcer le dernier niveau du [Text on screen: Confidentialité des données CIP Security CIP Security avec un code HMAC assure l'authentification CIP Security avec cryptage ajoute la confidentialité à l’authentification CIP Security Switch réseau CIP Security] 111 00:04:16.610 --> 00:04:17.750 système de commande. [Text on screen: Confidentialité des données CIP Security CIP Security avec un code HMAC assure l'authentification CIP Security avec cryptage ajoute la confidentialité à l’authentification CIP Security Switch réseau CIP Security] 112 00:04:19.329 --> 00:04:21.410 Pour savoir comment renforcer la sécurité de vos produits ou [Text on screen: Pour en savoir plus :] 113 00:04:21.410 --> 00:04:23.490 de vos systèmes, contactez [Text on screen: Pour en savoir plus : contactez l’ODVA] 114 00:04:23.490 --> 00:04:25.990 l’ODVA ou visitez le site [Text on screen: Pour en savoir plus : Ou visitez le site www.ODVA.org] 115 00:04:25.990 --> 00:04:28.089 www.odva.org. [Text on screen: Ou visitez le site www.ODVA.org]