GESTION DES VULNÉRABILITÉS


Tout comme le domaine du système information, le développement de type embarqué industriel nécessite une gestion des vulnérabilités logicielles. Cela est dû à deux évolutions majeures :

  • L’embarqué est de plus en plus connecté et complexe : l’utilisation de bibliothèques de protocoles standards d’interconnexion se généralise et multiplie les points d’entrée pour des actes malveillants.
  • L’emploi croissant de composants pris sur étagère (COTS) dans les composants embarqués ou utilisés dans les SCADAs : les vulnérabilités des COTS sont ainsi transposées dans les composants embarqués.

La gestion des vulnérabilités sur les composants embarqués ou industriels (SCADA) devient une priorité.

SCASSI propose deux types de services pour assister ses clients dans la gestion des vulnérabilités :

  • des interventions ponctuelles afin d’évaluer la maturité d’un système et le remettre au niveau de l’état de l’art ;
  • un suivi continu avec une réactivité adaptée à la criticité du système.

Les services offerts par SCASSI intègrent les éléments suivants :

  • une assistance à la maîtrise d’œuvre (AMOE) pour identifier la liste des composants logiciels critiques ;
  • une veille technologique et mise en place d’alertes en cas de détection de vulnérabilités impactant le système (analyse des vulnérabilités, identification de leur exploitabilité et études d’impact sur le système) ;
  • des propositions d’actions correctives (patch, mesures de protection…)

Pour cela, SCASSI utilise de nombreux outils et sources d’information : CERT-FR, National Vulnerability Database CVE (Common Vulnerability Enumeration), bulletins de sécurité constructeurs ou éditeurs.