Referentiel Exigences Prestataires Integration Maintenance V1 0.1

Exigences de cyberscurit pour les prestataires dintgration et de
maintenance de systmes industriels
mars 2016
HISTORIQUE DES VERSIONS

DATE
VERSION
1.0
10/03/2016
EVOLUTION DU DOCUMENT
REDACTEUR
Premire version applicable
ANSSI
Cyberscurit des systmes industriels Exigences pour les prestataires dintgration et de maintenance de systmes industriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
2/21
SOMMAIRE
I.
INTRODUCTION ............................................................................................................................4
II.
PRESENTATION GENERALE ......................................................................................................5

II.1. Objet du document ....................................................................................................................5
II.2. Structure du document ..............................................................................................................5
II.3. Identification du document ........................................................................................................5
III.
ACTIVITES DES PRESTATAIRES DINTEGRATION ET DE MAINTENANCE ..........................6

III.1. Spcification ..............................................................................................................................6
III.2. Conception ................................................................................................................................7
III.3. Dveloppement .........................................................................................................................7
III.4. Intgration .................................................................................................................................7
III.5. Mise en service .........................................................................................................................7
III.6. Test / qualification / recette /livraison ........................................................................................8
III.7. Maintenance ..............................................................................................................................8
IV.
EXIGENCES RELATIVES AU PRESTATAIRE D'INTEGRATION ET DE MAINTENANCE .......9

IV.1. Exigences gnrales .................................................................................................................9
IV.1.1. Organisation et contrat ........................................................................................................................................ 9
IV.1.2. Ethique................................................................................................................................................................ 9
IV.1.3. Proprit intellectuelle ....................................................................................................................................... 10
IV.2. Exigences particulires lies aux activits du prestataire .......................................................10

IV.2.1.
IV.2.2.
IV.2.3.
IV.2.4.
IV.2.5.
IV.2.6.
Comptence des intervenants ........................................................................................................................... 10

Documentation .................................................................................................................................................. 10
Mthodes et outils ............................................................................................................................................. 10
Dveloppement /intgration ............................................................................................................................... 11
Traabilit et livraison........................................................................................................................................ 12
Veille ................................................................................................................................................................. 12
IV.3. Protection du systme dinformation du prestataire d'intgration et de maintenance ............12

IV.3.1.
IV.3.2.
IV.3.3.
IV.3.4.
IV.3.5.
IV.3.6.
Exigences gnrales ......................................................................................................................................... 12

Exigences relatives aux outils et l'environnement de dveloppement ............................................................. 13
Exigences relatives aux plateformes de tests et d'intgration ............................................................................ 13
Exigences relatives aux outils de maintenance .................................................................................................. 13
Exigences relatives aux outils de tlmaintenance ............................................................................................ 14
Usage de plateformes de travail collaboratif ...................................................................................................... 14
IV.4. Exigences relatives aux interventions d'intgration et de maintenance chez le

commanditaire ...................................................................................................................................14
IV.4.1.
IV.4.2.
IV.4.3.
IV.4.4.
Protocole d'intervention ..................................................................................................................................... 14

Bons comportements ........................................................................................................................................ 14
Moyens utiliss lors de l'intervention.................................................................................................................. 15
Rapport d'intervention ....................................................................................................................................... 15
ANNEXE 1
REFERENCES DOCUMENTAIRES ........................................................................... 16
ANNEXE 2
DEFINITIONS ET ACRONYMES................................................................................ 17
ANNEXE 3
LISTE DES DOCUMENTS TYPES UTILISES LORS DES PRESTATIONS ............. 19
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
3/21
I.
Introduction
Les systmes industriels sont omniprsents dans notre quotidien, que ce soit en termes dinfrastructures
critiques ou non. Leur cyberscurit est une proccupation majeure prise en compte au plus haut niveau
des Etats. Afin den renforcer le niveau, il est important de pouvoir sappuyer sur des prestataires de
confiance dun point de vue de la cyberscurit, impliqus tout au long du cycle de vie des systmes
industriels.
Le groupe de travail sur la cyberscurit des systmes industriels (GT CSI) pilot par lANSSI a identifi
les prestataires dintgration et de maintenance de systmes industriels comme famille de prestataires
stratgiques. Ils interviennent en effet tout au long du cycle de vie des systmes industriels et de ce fait il
est important quils prennent en compte la cyberscurit dans leurs activits.
Les publications de lANSSI sont diffuses sur son site Internet :

http://www.ssi.gouv.fr/publications/
Toute remarque sur ce document peut tre adresse : systemes_industriels@ssi.gouv.fr
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
4/21
II.
Prsentation gnrale
II.1.
Objet du document
Ce document constitue les exigences en matire de cyberscurit pour les prestataires dintgration et de
maintenance de systmes industriels.
Les mesures prises pour rfrence ltablissement des exigences du prsent document sont celles
dfinies pour les systmes de classe 2 dans les guides intituls la cyberscurit des systmes industriels,
Mthode de classification et mesures principales [CSI_MESURES_PRINCIPALES] et mesures dtailles
[CSI_MESURES_DETAILLEES].
Une partie des mesures de ces guides concernent effectivement directement ou indirectement les
prestataires dintgration et de maintenance.
Les exigences portent sur le prestataire lui-mme, ses intervenants, son systme dinformation ainsi que
sur le droulement des interventions.
Ce document constitue galement une aide pour les commanditaires qui voudront intgrer dans leur
cahier des charges des clauses de cyberscurit issues des exigences du prsent document. Ils pourront
demander leurs prestataires dtre conformes ce rfrentiel dexigences.
Enfin, ce document pourra voluer pour devenir un rfrentiel dexigence pour la qualification des
prestataires dintgration et de maintenance.
II.2.
Structure du document
Le document dfinit dabord les activits exerces par les prestataires dintgration et de maintenance
(chapitre 3) puis les exigences que ces derniers doivent mettre en uvre (chapitre4).
Les dfinitions et acronymes figurent en annexe.
II.3.
Identification du document
Le prsent document est dnomm Exigences de cyberscurit pour les prestataires dintgration et de
maintenance de systmes industriels. Il peut tre identifi par son nom, numro de version et sa date de
mise jour.
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
5/21
III.
Activits des prestataires dintgration et de maintenance
Ce chapitre prsente les diffrentes activits, que ralisent les prestataires d'intgration et de maintenance
traites dans le prsent document et dont les exigences spcifiques associes sont dcrites au chapitre IV
ainsi que les domaines sur lesquels elles s'emploient.
Sans mention particulire, les exigences sappliquent toutes les activits vises par le rfrentiel.
Ces activits portent sur les types de systmes suivants, regroups sous le terme gnrique de systmes
industriels :
-
les Systmes Automatiss de COntrle de Procds Industriels (SACOPI) ou Industrial Control

Systems (ICS) ;
les systmes de Gestion Technique de Btiments (GTB) ou Building Management Systems (BMS) ;
les Smartgrids, SmartWater, SmartCities, etc. ;
Ces systmes sont mis en uvre dans divers secteurs dactivit1 comme lnergie, le transport, la gestion
de leau, lagroalimentaire, la dfense, laronautique, lautomobile, etc.
Les activits vises par le document couvrent le cycle de vie des types de systmes cits prcdemment.
La dfinition des activits peut tre trs variable suivant les interlocuteurs. L'objectif ici, n'est pas de
proposer une dfinition formelle ou normalise des diffrentes activits mais de fixer une dfinition pour
ce document.
Les consquences de labsence de prise en compte de la cyberscurit sont diffrentes suivants les
activits. Pour certaines, comme la maintenance, les consquences peuvent tre immdiates alors que
pour dautres, comme les spcifications, elles seront indirectes et plus longue chance.
Lannexe A du guide [CSI_MAITRISER_LA_SSI] fournit des vulnrabilits frquemment rencontres et
le guide [CSI_CAS_PRATIQUE] les complte en proposant des illustrations.
De mme le guide [CSI_MESURES_DETAILLEES] liste un ensemble de vulnrabilits et rappelle les
contraintes lies aux systmes industriels.
III.1. Spcification
La spcification du systme est ralise par le Matre duvre (MOE), le commanditaire, ou lAssistance
la Matrise douvrage dlgue (AMOD ou AMOAD) qui peut tre un prestataire de service
dintgration et de maintenance.
Cette phase de spcification doit tre prcde par une tude (tude pralable), qui dcrit l'existant, les
attentes et exigences gnrales exprimes par le commanditaire (maitrise douvrage, MOA) qui peut se
faire aider (assistance maitrise douvrage, AMO ou AMOA). Cette tude du besoin et de lobjectif du
systme construire est formalise dans un document appel Cahier des Charges (CdC) ou Cahier des
Clauses Techniques Particulires (CCTP).
La spcification fonctionnelle est :
-
la description des fonctions d'un systme en vue de sa ralisation ;
LIGI 6600 [IGI-6600] cite 12 secteurs dactivit dimportance vitale,

Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
6/21
la description dans le dtail de la faon dont les exigences seront prises en compte ;
indpendante de la faon dont sera ralis le systme en question.
Il existe plusieurs sortes de spcifications fonctionnelles :

-
les spcifications fonctionnelles gnrales (SFG) : prcisent les fonctionnalits gnrales attendues du
systme;
les spcifications fonctionnelles dtailles (SFD) : prcisent le fonctionnement dtaill attendu du

systme.
III.2. Conception
Ensemble des tudes menant la dfinition organique puis technique du systme industriel dvelopper
afin de satisfaire aux spcifications du commanditaire. La conception conduit la formalisation des
fonctions et de larchitecture du systme dans le dossier de conception.
Conception de larchitecture : dsigne la structure gnrale inhrente un systme, l'organisation des
diffrents lments du systme (logiciels et/ou matriels et/ou humains et/ou informations) et des
relations entre les lments. Cette structure fait suite un ensemble de dcisions stratgiques prises durant
la conception de tout ou partie du systme.
III.3. Dveloppement
Ensemble des prestations menant la ralisation dun systme industriel ou un sous-ensemble de systme
industriel. Ces tudes et processus incluent notamment :
-
le dveloppement des diffrents programmes excuts par les sous-systmes ;
les tests unitaires.
III.4. Intgration
Ensemble des activits de dfinition, dassemblage (de matriels, logiciels, progiciels) et dveloppements
permettant, partir dun ensemble de produits / solutions, de raliser un systme pour un commanditaire
rpondant au besoin fonctionnel quil a exprim.
Cette activit comprend :
-
la configuration des matriels et logiciels ;
la ralisation des tests unitaires et des tests plateformes ou Factory Acceptance Test (FAT).
III.5. Mise en service

Ensemble des tudes et processus menant la mise en uvre dun systme ou dun composant matriel
ou logiciel chez le commanditaire. Ces tudes et processus incluent notamment :
-
la livraison des matriels et logiciels sur site ;
linstallation des matriels et logiciels sur site ;
la configuration ou modification ventuelle de configuration des matriels et logiciels ;
la programmation ou modification mineure de programmes des matriels et logiciels ;

Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
7/21
la validation de lensemble des fonctions dfinies dans lAF lors de tests appels tests sur site ou Site
Acceptance Tests (SAT) ;
le dmarrage de linstallation.
III.6. Test / qualification / recette /livraison

Ensemble des processus menant la validation dun systme par rapport lensemble dexigences
applicables. Ces exigences peuvent tre dfinies par des besoins utilisateur, une norme ou standard
mtier, une rglementation, etc.
Cette activit comprend galement la rception formelle du systme ainsi que son transfert de
responsabilit vers le commanditaire, parfois appele livraison.
III.7. Maintenance
Ensemble des processus et activits mis en uvre afin de maintenir (maintenance prventive ou
prdictive et corrective), de rtablir (maintenance curative) un systme industriel dans un tat spcifi afin
que celui-ci soit en mesure d'assurer un service dtermin, conforme aux besoins exprims par le
commanditaire.
Ces prestations comprennent par exemple :
-
les interventions curatives (appeles parfois de premier niveau) : remplacement des quipements en
panne, redmarrage des applications, etc. ;
les interventions de maintenance corrective ;
les interventions pour des modifications mineures ;
la gestion des obsolescences matriels et logiciels.
La maintenance comprend le maintien en condition oprationnelle (MCO) et maintien en condition de

scurit (MCS) dun systme.
La maintenance peut comporter des activits volutives afin d'apporter au systme des petites
adaptations ne remettant pas en cause le principe de fonctionnement gnral.
La maintenance est parfois ralise distance, via des dispositifs de tlmaintenance.
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
8/21
IV.
Exigences relatives au prestataire d'intgration et de

maintenance
IV.1. Exigences gnrales

Les exigences listes dans ce chapitre portent sur les aspects suivants : juridique, organisationnel,
responsabilit et impartialit du prestataire d'intgration et de maintenance. Elles ne sont pas spcifiques
aux prestataires dintgration et de maintenance. Elles doivent tre prcises dans le cadre du contrat
tabli entre le commanditaire et le prestataire.
IV.1.1. Organisation et contrat

a) Le prestataire doit tre une entit ou une partie dune entit dote de la personnalit morale de faon
pouvoir tre tenu juridiquement responsable de sa prestation.
b) Le prestataire a, en sa qualit de professionnel, un devoir de conseil vis--vis du commanditaire.
c) Le prestataire d'intgration et de maintenance ralise ses prestations dans le cadre dune convention
(ou d'un contrat) pralablement approuve par le commanditaire.
La loi applicable la convention est la loi franaise.
La convention doit prciser les exigences en matire de cyberscurit comme par exemple le
niveau de cyberscurit vis pour le systme objet de la prestation. Le niveau pourra tre
dfini suivant le guide [CSI_MESURES_PRINCIPALES].
Il est recommand que le commanditaire identifie dans la convention de service les
ventuelles exigences lgales et rglementaires spcifiques auxquelles il est soumis et
notamment celles lies son secteur dactivit.
d) Le prestataire doit dcrire lorganisation de son activit d'intgration et de maintenance en termes de
cyberscurit au bnfice de chaque commanditaire.
e) Le prestataire doit mettre en place une chane de responsabilit de la cyberscurit pour les besoins de
ses prestations. En particulier, il doit dfinir un point de contact pour la cyberscurit lors de la
prestation, qui sera en charge : de la liaison avec la chane de responsabilit du commanditaire, de la
garantie du respect de la politique de cyberscurit, de la communication sur les divergences par
rapport aux exigences et des ventuelles non-conformits.
f) Le prestataire doit accepter les audits demands par son commanditaire ayant pour objectif de vrifier
que l'ensemble des mesures de cyberscurit demandes contractuellement sont bien appliques. Ces
audits seront limits aux moyens techniques et organisationnels relatifs la prestation et respecteront
la dontologie des audits. Il est conseill de suivre le rfrentiel dexigences dfinies pour les
prestataires daudits la scurit des systmes dinformation [PASSI].
g) Le prestataire doit fournir au commanditaire un Plan d'Assurance Scurit (PAS) pour les prestations
qu'il effectue, dtaillant la prise en compte des aspects lis la cyberscurit lors des diffrents types
de prestations d'intgration et de maintenance qu'il effectue, rpondant aux exigences de cyberscurit
demandes par ce dernier.
IV.1.2. Ethique
a) Le prestataire doit disposer dune charte dthique que lensemble de ses intervenants doit signer.
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
9/21
b) Dans le cas o le prestataire intervient comme expert technique pour le compte dun autre prestataire,
il devra respecter les rgles de dontologie et en particulier garantir son impartialit. Sauf cas
exceptionnel o le prestataire est le seul comptent dans un domaine, il ne pourra pas tre expert pour
un systme qu'il a lui-mme intgr ou pour lequel il dispose d'un contrat (contrat de maintenance par
exemple).
IV.1.3. Proprit intellectuelle

a) La proprit intellectuelle, et en particulier, celle des codes sources dvelopps ou intgrs par le
prestataire pour le systme du commanditaire doit tre prcise dans la convention ou le contrat pass
entre le prestataire et le commanditaire.
IV.2. Exigences particulires lies aux activits du prestataire

Lobjectif nest pas de dtailler des exigences pour chaque activit listes au chapitre III mais dinsister
sur des points spcifiques.
IV.2.1. Comptence des intervenants

a) Le prestataire doit sassurer, pour chaque prestation, que les intervenants dsigns pour raliser la
prestation ont les qualits et les comptences requises en matire de cyberscurit pour mettre en
uvre les mesures figurant dans les guides [CSI_MESURES_PRINCIPALES] et
CSI_MESURES_DETAILLES]. De ce fait, les intervenants :
doivent avoir suivi une formation en cyberscurit des systmes industriels telle que dfinie
dans le guide portant sur la formation [CSI_GUIDE_FORMATION] ;
devraient tre habilits2 la cyberscurit par le prestataire.
doivent justifier dune exprience suffisante (suprieure deux ans).
IV.2.2. Documentation
a) Le prestataire doit sassurer que les informations relatives ses activits avec le commanditaire sont
traites avec un niveau de confidentialit suffisant. En l'absence d'exigences particulires du
commanditaire, l'ensemble des documents relatifs la conception, la configuration ou au
fonctionnement du systme industriel doivent tre considrs de niveau Diffusion Restreinte . Il
devra sappuyer de l'instruction sur le sensible [II_901] pour la mise en uvre des mesures.
b) Le prestataire doit tre en mesure de dtruire tout ou partie des informations relatives au projet sur
simple demande crite du commanditaire. Le prestataire doit tre en mesure dapporter la preuve de la
destruction de ces informations. Pour les informations sensibles le prestataire doit se rfrer aux
instructions figurant dans [II_901].
IV.2.3. Mthodes et outils

a) Le prestataire est responsable des mthodes et outils (logiciels ou matriels) utiliss par ses
intervenants et de leur bonne utilisation (prcautions dusage, matrise de la configuration, etc.). Pour
Lhabilitation est un acte formel par lequel le prestataire dclare quun intervenant est comptant sur son domaine
dhabilitation.
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
10/21
cela, il doit mettre en uvre un processus de formation des intervenants ses outils et assurer une
veille technologique sur les mises jour, la pertinence de ces outils ainsi que les risques ventuels lis
leur utilisation.
b) Le prestataire doit disposer des licences valides des outils (logiciels ou matriels) utiliss pour la
ralisation de la prestation ;
c) les intervenants ne recourent quaux mthodes et outils valids par le prestataire.
Remarque : cela signifie de prendre en compte les outils et mthodes ncessaires pour les situations
d'intervention lors de rponse aux incidents et autres modes d'urgence.
IV.2.4. Dveloppement /intgration

a) Le prestataire doit dmontrer que ses processus de dveloppement emploient des mthodes
d'ingnierie l'tat de l'art, des processus de contrle qualit et des techniques de validation afin de
rduire les dfaillances logicielles et les vulnrabilits. Dans le cadre de cette exigence, le terme
logiciel s'applique aux logiciels dvelopps par le prestataire : dveloppement d'applications
spcifiques ou dveloppement des programmes utilisateurs PLC et SCADA sur la base de
composants logiciels (progiciels par exemple) fournis par un quipementier ou un diteur logiciel.
b) Les caractristiques de cyberscurit des quipements ainsi que leurs certifications doivent tre un
critre de choix dans le processus d'achat du prestataire lorsque les quipements ne sont pas imposs
par le commanditaire. Il pourra sappuyer sur les profils de protection publis sur le site de lANSSI
(http://www.ssi.gouv.fr). Le prestataire doit soumettre validation par le commanditaire la liste et
caractristiques de lensemble des quipements qui seront intgrs chez le commanditaire.
Remarque : lorsque les quipements sont imposs par le commanditaire, le prestataire doit tre en
mesure dapporter un conseil au commanditaire pour lui signaler que le niveau de cyberscurit des
quipements nest pas en adquation avec le niveau de cyberscurit vis pour le systme final.
c) Le prestataire doit dfinir et appliquer des rgles de bonnes pratiques de programmation. En plus de
bonnes pratiques de dveloppement, des rgles de dveloppement de scurit (au sens cyberscurit)
doivent tre mises en place et appliques.
Il faut distinguer les dveloppements mettant en uvre des langages de programmations classiques
(C, Java, ) pour lesquels la mesure prcdente peut s'appliquer, des dveloppements utilisant les
outils des quipementiers (pour dvelopper les applications pour les automates et SCADA par
exemple) pour lesquels la mesure ne peut pas techniquement toujours s'appliquer ;
d) Le prestataire doit vrifier la mise en uvre des rgles de bonnes pratiques. Pour cela, il pourra par
exemple utiliser les options avances de certains compilateurs (y compris pour le dveloppement
d'application automates) ou des outils ddis la vrification des bonnes pratiques de programmation.
e) Le prestataire doit utiliser, lorsque des solutions existent, des outils d'analyse statique et des tests de
robustesse pour les dveloppements qu'il ralise. L'objectif est de vrifier la qualit des
dveloppements et l'absence de bugs lmentaires rgulirement utiliss lors d'attaques
informatique (dbordement de pile buffer overflow , par exemple).
f) Le prestataire doit tre en mesure daccepter, sur demande explicite du commanditaire, un audit des
codes sources dvelopps par ses soins.
g) Le prestataire doit tre en mesure de raliser des tests unitaires et d'ensemble pour vrifier que les
exigences de cyberscurit sont bien implmentes.
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
11/21
IV.2.5. Traabilit et livraison

a) Le prestataire doit tre en mesure de tracer les mises jour et modifications quil a apportes aux
systmes dploys et de fournir ces traces aux commanditaires.
b) Le prestataire doit garantir, dans son processus de livraison, l'intgrit et l'authenticit de l'ensemble
des logiciels, programmes, lments de configuration et documentation. Les lments concerns sont
en particulier : les micro-logiciels ; les systmes d'exploitation; les progiciels SCADA et autres
logiciels utiliss; les programmes d'automates et de SCADA ; les fichiers de configuration des
quipements rseau, les mises jour, etc.
c) Le prestataire doit tre en mesure de garantir la confidentialit des lments prcdents si le
commanditaire en fait la demande. En particulier, il est recommand que la confidentialit des
lments de configuration soit systmatiquement assure.
IV.2.6. Veille
a) Le prestataire doit dployer un processus de veille sur les menaces et vulnrabilits sur les produits et
technologies mises en uvre sur les systmes quil a dploys. Il pourra sappuyer sur les
informations publies par les CSIRT tatiques ou privs ainsi que les sites web des quipementiers.
b) Le prestataire doit mettre en uvre un processus de veille sur l'volution des moyens techniques pour
renforcer le niveau de cyberscurit des systmes industriels.
IV.3. Protection du systme dinformation du prestataire d'intgration et de

maintenance
IV.3.1. Exigences gnrales
a) Le prestataire d'intgration et de maintenance doit tre en mesure de mettre en uvre des mesures
pour protger le systme d'information qu'il utilise pour ses prestations avec le commanditaire et en
particulier s'assurer que son systme dinformation est en mesure d'accueillir des informations
sensibles non classifies de dfense de niveau Diffusion Restreinte. Les exigences spcifiques sont
disponibles dans l'instruction [II_901]. En particulier, le systme devra tre homologu.
b) Ce, ou ces SI, devront tre homologus suivant les processus dtaills dans le guide d'homologation
[HOMOLOGATION]. Lhomologation doit comprendre un audit ralis conformment au rfrentiel
dexigences [PASSI].
N'est concerne par ces mesures que la partie du SI du prestataire ncessaire ses activits d'intgration et
de maintenance pour lesquelles il est qualifi.
Le systme de facturation, par exemple, pourrait tre exclu du primtre. En revanche, le systme de
gestion documentaire, contenant les tudes, les documents des commanditaires sera inclus au primtre,
de mme que les ateliers d'intgration, plateformes de dveloppement et de tests.
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
12/21
IV.3.2. Exigences relatives aux outils et l'environnement de dveloppement

a) Le prestataire doit utiliser un environnement de dveloppement scuris afin que celui-ci ne soit pas
le point dentre pour atteindre les systmes chez les commanditaires (par linsertion de codes
malveillants par exemple). Il est conseill de ddier des locaux physiques pour le dveloppement. Le
mcanisme de contrle daccs doit permettre de tracer lidentit des personnes y pntrant et lheure
daccs.
b) Le prestataire doit galement veiller la protection des documents au format papier utiliss dans le
cadre de sa prestation.
c) Il est fortement conseill dappliquer les exigences et recommandations de scurit des systmes de
classe 2 figurant dans [CSI-DETAILLEES] aux outils de dveloppement (en particulier les stations
dingnierie), notamment les rgles de scurisation des quipements (durcissement des
configurations, gestion des vulnrabilits, interfaces de connexion, quipements mobiles, scurit des
consoles de programmation, des stations dingnierie et des postes dadministration).
d) Il est fortement conseill que lenvironnement de dveloppement soit ddi et spar des autres
environnements informatiques du prestataire. En particulier, cet environnement ne doit pas tre
connect internet ni directement (sans filtrage et mesures de scurit) au rseau bureautique du
prestataire.
e) Les outils de gestion des configurations ( versioning ) devront garantir lintgrit, l'authenticit et
la traabilit des lments quils contiennent et suivant les besoins, la confidentialit.
f) Les outils permettant dassurer les exigences prcdentes doivent tre mis en uvre suivant les rgles
de lart. Il est recommand dutiliser des produits qualifis par lANSSI lorsquils existent.
g) Le niveau de scurit de l'environnement de dveloppement doit tre vrifi par des audits
(organisationnels et techniques) rguliers. Il est conseill que lenvironnement de dveloppement soit
homologu en sappuyant pour cela sur le guide dhomologation et les guides de bonnes pratiques
comme le guide dhygine par exemple.
IV.3.3. Exigences relatives aux plateformes de tests et d'intgration

a) Lorsque les plateformes de tests et dintgration appartiennent au prestataire, celui-ci doit appliquer
les mmes exigences que pour les environnements de dveloppement.
b) Lorsque les plateformes de tests et dintgration appartiennent au commanditaire mais sont hberges
chez le prestataire, les mesures de scurit doivent tre prcises par le commanditaire. A dfaut, les
mesures de lalina prcdent seront appliques.
IV.3.4. Exigences relatives aux outils de maintenance

a) Le prestataire doit mettre en place une procdure de gestion des outils de maintenance afin de vrifier
quils sont conformes aux exigences de scurit du systme pour lequel ils seront utiliss chez le
commanditaire. Ces exigences figurent dans le guide [CSI_MESURES_DETAILLEES].
b) Le prestataire doit sassurer que les outils de maintenance ne contiennent pas de donnes sensibles du
commanditaire ou alors que les outils pour en assurer la confidentialit sont bien mis en oeuvre.
c) Le prestataire doit mettre en uvre des lments pour renforcer la scurit des outils de maintenance.
Il pourra pour cela, sappuyer sur les guides et notes techniques publis sur le site de lANSSI.
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
13/21
IV.3.5. Exigences relatives aux outils de tlmaintenance

a) Lorsque la tlmaintenance est autorise sur le systme du commanditaire, le prestataire doit tre en
mesure de ddier un poste pour la tlmaintenance du systme industriel du commanditaire la
demande de ce dernier.
b) Le prestataire doit tre en mesure de mettre en uvre les recommandations et directives figurant dans
le guide [CSI_MESURES_DETAILLEES]
c) Les solutions de tlmaintenance devront tre audites rgulirement afin de vrifier la bonne mise en
uvre des mesures de vrifier le niveau rel de scurit. Laudit est ralis conformment au
rfrentiel dexigences [PASSI].
d) Le prestataire doit tre en mesure d'effectuer les oprations de tlmaintenance depuis des locaux
matriss disposant du mme niveau de scurit que le systme du commanditaire si celui-ci le
demande.
IV.3.6. Usage de plateformes de travail collaboratif

a) Dans le cas o le prestataire mettrait disposition du commanditaire une plateforme de travail
collaboratif pour changer des donnes (pour les tudes par exemple), le niveau de scurit de celle-ci
doit tre clairement indique et porte la connaissance du commanditaire.
c) Le niveau rel de scurit doit tre vrifi rgulirement par des audits raliss conformment au
rfrentiel dexigences [PASSI].
IV.4. Exigences relatives aux interventions d'intgration et de maintenance

chez le commanditaire
Les exigences ci-dessous portent sur les interventions ralises sur les systmes chez les commanditaires.
Cela concerne en premier lieu les intervenants ralisant des activits de maintenance mais cela peut
galement concerner les intervenants ralisant des activits de mise en service par exemple. Certaines
mesures peuvent tre redondantes avec celles dcrites prcdemment.
IV.4.1. Protocole d'intervention

a) Les intervenants devant intervenir sur les systmes du commanditaire doivent tre individuellement
clairement identifis et leurs rles prciss. En particulier, un rfrent cyber (assur par le chef
dquipe par exemple) doit tre identifi.
b) Laccs aux installations doit tre valid par le commanditaire.
c) Les intervenants doivent respecter les rgles de cyberscurit du commanditaire et s'tre assurs qu'un
protocole d'intervention, identifi dans un permis ou bon de travail par exemple, a bien t valid par
les deux parties.
IV.4.2. Bons comportements

a) Les intervenants appliquent les bonnes pratiques lors de leurs interventions chez le commanditaire
sans que celles-ci ne soient systmatiquement rappeles par ce dernier.
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
14/21
b) Les intervenants se conforment aux rgles en vigueur chez le commanditaire.

c) Les intervenants doivent tre capables de signaler au commanditaire, des situations anormales quil
aurait constates, prsentant des risques en termes de cyberscurit.
IV.4.3. Moyens utiliss lors de l'intervention

a) Les interventions sur linstallation du commanditaire doivent tre ralises avec des outils valids.
Cest--dire qui respectent les exigences dtailles au chapitre IV.3.4 et IV.3.5.
b) L'ensemble des quipements matriels et logiciels utiliss pour les interventions sur les systmes
industriels (comme les consoles de programmation et de maintenance) doit tre recens dans la
gestion du parc afin d'tre bien identifi pour faciliter leur maintien en condition de scurit.
c) Les quipements utiliss doivent tre exclusivement ddis aux systmes industriels (pas de
bureautique). Les quipements utiliss devraient tre exclusivement ddis aux systmes industriels
du commanditaire.
d) En cas de besoin particulier, suite un incident (de cyberscurit ou autres) par exemple ncessitant
l'utilisation d'outils spcifiques non identifis parmi les outils habituels, l'intervenant doit tre en
mesure d'analyser, avec le commanditaire, les risques lis leur utilisation et de mette en uvre les
mesures pour traiter ces risques.
IV.4.4. Rapport d'intervention

a) La fourniture dun rapport ou compte-rendu dintervention doit tre systmatique.
b) Le rapport doit contenir une liste de contrle (check-list) des actions raliser aprs lintervention, et
en particulier vrifier que les sauvegardes des donnes (donnes de configuration, modifications de
programmes, etc.) ont t ralises.
c) Le rapport doit lister les anomalies constates et assurer une traabilit des actions ralises et des
modifications apportes sur le systme du commanditaire.
d) Le rapport dintervention doit permettre au commanditaire de grer le cycle de vie de son systme et
den assurer le MCS.
Remarque : le format du rapport dintervention est la discrtion du commanditaire. Le rapport
dintervention peut tre saisi dans une base de donnes de maintenance (GMAO) ou des outils de gestion
du parc du commanditaire par exemple. Lobjectif nest pas dalourdir les processus dj en place chez le
commanditaire mais de sappuyer sur ces derniers.
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
15/21
Annexe 1 Rfrences documentaires

Codes, textes lgislatifs et rglementaires
Renvoi
Document
[LPM]
Loi de programmation militaire n2013-1168 du 18 dcembre 2013.

Disponible sur http://www.legifrance.gouv.fr.
[LOI_IL]
[II_901]
Loi du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts

dfinissant le cadre juridique pour le traitement des donnes caractre
personnel.
Instruction interministrielle relative la protection des systmes dinformation
sensibles, n901/SGDSN/ANSSI, 28 janvier 2015.
Normes et documents
Renvoi
Document
[CSI_MESURES_PRINC
Cyberscurit des systmes industriels, Mthode de classification et mesures
IPALES]
principales, disponible sur http://www.ssi.gouv.fr/systemesindustriels
[CSI_MESURES_DETA
Cyberscurit des systmes industriels, Mesures dtailles, , disponible sur
ILLEES]
http://www.ssi.gouv.fr/systemesindustriels
[CSI_MAITRISER_LA_
Cyberscurit des systmes industriels, Maitriser la SSI pour les systmes
SSI]
industriels, disponible sur http://www.ssi.gouv.fr/systemesindustriels
[CSI_CAS_PRATIQUE]
Cyberscurit des systmes industriels, Cas pratique, disponible sur

http://www.ssi.gouv.fr/systemesindustriels
Lhomologation de scurit en neuf tapes simples, ANSSI, version en vigueur.
[HOMOLOGATION]
Disponible sur http://www.ssi.gouv.fr
Guide dHygine Informatique, ANSSI, version en vigueur.
[HYGIENE]
Rfrentiel dexigences pour les prestataires daudit la scurit des systmes
[PASSI]
dinformation.
Guide dachat de produits de scurit et de services de confiance qualifis,
[GUIDE_ACHAT]
version en vigueur.
[CSI_GUIDE_FORMAT Cahier des charges portant sur la formation la cyberscurit pour les systmes
ION]
industriels, disponible sur http://www.ssi.gouv.fr/systemesindustriels
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
16/21
Annexe 2 Dfinitions et acronymes

Acronymes :
ANSSI
Agence nationale de la scurit des systmes dinformation
AMOA
Assistance Maitrise dOuvrage (parfois dsigne AMO)
AMOE
Assistance Maitrise duvre (parfois dsigne AME)
AMOAD
Assistance Maitrise dOuvrage Dlgue
AO
Analyse Organique
AF
Analyse Fonctionnement
BMS
Building Management System
CCTP
Cahier des Clauses Techniques Particulires
CdC
Cahier des Charges
CSI
Cyberscurit des Systmes Industriels
CSIRT
Computer Security Incident Response Team
FAT
Factory Acceptance Test (recette usine)
GTB
Gestion Technique de Btiment
ICS
Industrial Control System
LPM
Loi de Programmation Militaire
MCO
Maintien en Conditions Oprationnelles
MCS
Maintien en Conditions de Scurit
MOA
Maitrise dOuvrage
MOE
Maitrise duvre
PCA
Plan de Continuit dActivit
PAS
Plan d'Assurance Scurit
PLC
Programmable Logic Controler
SACOPI
Systmes Automatiss de Contrle de Procds Industriels
SAT
Site Acceptance Test (recette site)
SCADA
Supervisory, Control and Data Acquisition
SFD
Spcifications Fonctionnelles Dtailles
SFG
Spcifications Fonctionnelles Gnrales
VPN
Virtual Private Network
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
17/21
Dfinitions :
Le guide intitul La cyberscurit des systmes industriels, Mthode de classification et mesures
principales [CSI_MESURES_PRINCIPALES] fournit un ensemble de dfinitions complmentaires aux
termes utiliss dans ce rfrentiel.
Analyse fonctionnelle - analyse, formalise dans un document, dcrivant les fonctionnalits du systme
afin de rpondre aux besoins exprims par le client.
Analyse organique - analyse, formalise dans un document, utilise en ingnierie dautomatisme et
dinformatique industrielle, dcrivant de manire dtaille les lments (composants physiques et
logiques) mis en uvre pour rpondre aux fonctionnalits identifies dans lanalyse fonctionnelle.
Commanditaire - entit faisant appel au service des prestataires dintgration et de maintenance de
systmes industriels.
Dveloppement scuris - dveloppement ralis laide de mthodes, rgles, outillages et comptences
humaines spcifiques dans le but de fournir un programme scuris.
tat de lart - ensemble des bonnes pratiques, des technologies et des documents de rfrence relatifs
la scurit des systmes dinformation publiquement accessibles un instant donn, et des informations
qui en dcoulent de manire vidente. Ces documents peuvent tre mis en ligne sur Internet par la
communaut de la scurit des systmes dinformation, diffuss par des organismes de rfrence ou
encore dorigine rglementaire.
Intervenant - employ ou sous-traitant dun prestataire ralisant une mission pour celui-ci.
Maintenance - ensemble des activits de type curative, prventive, corrective et volutive permettant le
maintien en condition oprationnelle (MCO) et maintien en condition de scurit (MCS) dun systme.
Politique intentions et dispositions gnrales formellement exprimes par la direction dune entit.
Prestataire organisme proposant une offre de services.
Prestataire dintgration/maintenance - organisme ralisant des prestations dintgration/maintenance
de systmes industriels et/ou des prestations dintgration/maintenance de composants matriels/logiciels
destination des systmes industriels.
Spcification - ensemble explicite d'exigences satisfaire pour un produit ou un service.
Test unitaire - procdure permettant de vrifier le bon fonctionnement d'une partie prcise d'un systme
(un de ses composants ou sous-ensemble). Les rsultats des tests sont consigns dans un dossier de tests.
Tiers personne ou organisme reconnu(e) comme indpendant(e) du prestataire.
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
18/21
Annexe 3 Liste des documents types utiliss lors des prestations

Les documents suivants devraient tre utiliss lors des prestations :
-
plan d'assurance scurit ;
charte d'thique :
permis de travail et protocole d'intervention ;
rapport d'intervention ;
constat d'anomalie cyber.
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
19/21
Ce guide a t ralis par lAgence nationale de la scurit des systmes dinformation (ANSSI) avec
le concours des socits et organismes suivants :
Actemium,
Assystem,
Atos Worldgrid,
Cofely Ino,
DCNS,
DGA Matrise de linformation,
Euro system,
Grard Perrier Industrie,
RATP,
Schneider Electric,
Siemens,
Spie,
Euriware,
Total.
Version
1.0
Date
10/03/2016
Critre de diffusion
PUBLIC
Page
20/21
propos de lANSSI
LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le
7 juillet 2009 sous la forme dun service comptence nationale.
En vertu du dcret n 2009-834 du 7 juillet 2009 modifi par le dcret n 2011-170
du 11 fvrier 2011, lagence assure la mission dautorit nationale en matire de
dfense et de scurit des systmes dinformation. Elle est rattache au Secrtaire
gnral de la dfense et de la scurit nationale, sous lautorit du Premier ministre.
Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur www.ssi.gouv.fr.
Version 1.0 Mars 2016

Licence information publique librement rutilisable (LIP V1 2010.04.02)
Agence nationale de la scurit des systmes dinformation

ANSSI - 51 boulevard de la Tour-Maubourg - 75700 PARIS 07 SP
Sites internet : www.ssi.gouv.fr et www.securite-informatique.gouv.fr
Messagerie : communication [at] ssi.gouv.fr

Referentiel Exigences Prestataires Integration Maintenance V1 0.1

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Referentiel Exigences Prestataires Integration Maintenance V1 0.1

Uploaded by

Copyright:

Available Formats

Exigences de cyberscurit pour les prestataires dintgration et de

maintenance de systmes industriels

HISTORIQUE DES VERSIONS

Premire version applicable

PRESENTATION GENERALE ......................................................................................................5

ACTIVITES DES PRESTATAIRES DINTEGRATION ET DE MAINTENANCE ..........................6

EXIGENCES RELATIVES AU PRESTATAIRE D'INTEGRATION ET DE MAINTENANCE .......9

IV.2. Exigences particulires lies aux activits du prestataire .......................................................10

Comptence des intervenants ........................................................................................................................... 10

IV.3. Protection du systme dinformation du prestataire d'intgration et de maintenance ............12

Exigences gnrales ......................................................................................................................................... 12

IV.4. Exigences relatives aux interventions d'intgration et de maintenance chez le

Protocole d'intervention ..................................................................................................................................... 14

REFERENCES DOCUMENTAIRES ........................................................................... 16

LISTE DES DOCUMENTS TYPES UTILISES LORS DES PRESTATIONS ............. 19

Les publications de lANSSI sont diffuses sur son site Internet :

Activits des prestataires dintgration et de maintenance

les Systmes Automatiss de COntrle de Procds Industriels (SACOPI) ou Industrial Control

les Smartgrids, SmartWater, SmartCities, etc. ;

la description des fonctions d'un systme en vue de sa ralisation ;

LIGI 6600 [IGI-6600] cite 12 secteurs dactivit dimportance vitale,

indpendante de la faon dont sera ralis le systme en question.

Il existe plusieurs sortes de spcifications fonctionnelles :

les spcifications fonctionnelles dtailles (SFD) : prcisent le fonctionnement dtaill attendu du

le dveloppement des diffrents programmes excuts par les sous-systmes ;

les tests unitaires.

la configuration des matriels et logiciels ;

III.5. Mise en service

la livraison des matriels et logiciels sur site ;

linstallation des matriels et logiciels sur site ;

la configuration ou modification ventuelle de configuration des matriels et logiciels ;

la programmation ou modification mineure de programmes des matriels et logiciels ;

III.6. Test / qualification / recette /livraison

les interventions de maintenance corrective ;

les interventions pour des modifications mineures ;

la gestion des obsolescences matriels et logiciels.

La maintenance comprend le maintien en condition oprationnelle (MCO) et maintien en condition de

Exigences relatives au prestataire d'intgration et de

IV.1. Exigences gnrales

IV.1.1. Organisation et contrat

IV.1.3. Proprit intellectuelle

IV.2. Exigences particulires lies aux activits du prestataire

IV.2.1. Comptence des intervenants

IV.2.3. Mthodes et outils

IV.2.4. Dveloppement /intgration

IV.2.5. Traabilit et livraison

IV.3. Protection du systme dinformation du prestataire d'intgration et de

IV.3.2. Exigences relatives aux outils et l'environnement de dveloppement

IV.3.3. Exigences relatives aux plateformes de tests et d'intgration

IV.3.4. Exigences relatives aux outils de maintenance

IV.3.5. Exigences relatives aux outils de tlmaintenance

IV.3.6. Usage de plateformes de travail collaboratif

IV.4. Exigences relatives aux interventions d'intgration et de maintenance

IV.4.1. Protocole d'intervention

IV.4.2. Bons comportements

b) Les intervenants se conforment aux rgles en vigueur chez le commanditaire.

IV.4.3. Moyens utiliss lors de l'intervention

IV.4.4. Rapport d'intervention

Annexe 1 Rfrences documentaires

Loi de programmation militaire n2013-1168 du 18 dcembre 2013.

Loi du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts

principales, disponible sur http://www.ssi.gouv.fr/systemesindustriels

industriels, disponible sur http://www.ssi.gouv.fr/systemesindustriels

Cyberscurit des systmes industriels, Cas pratique, disponible sur