20140915 etat de l'art sécurisation des sites sensibles personal interactor
1. Sécurisation des sites
sensibles
Etat de l’art
Dominique VERDEJO
Personal Interactor
http://www.personalinteractor.com
2. “No battle was ever won according to plan, but no battle was
ever won without one.”
–Dwight D. Eisenhower
L’OBJECTIF : TOUJOURS PRÉCÉDER
LA PROGRESSION DE LA MENACE
http://www.personalinteractor.com
3. http://www.personalinteractor.com
Sommaire
Terminologie
La menace
La réponse
Etat des besoins en sécurité en France et en Europe
SGDSN
STSI(2)
ESRIF
LA R&T et la R&D en sécurité
Avancées décisives aux US
Cas particulier de la vidéoprotection
Etat de l’art
Axes d’innovation
4. http://www.personalinteractor.com
Terminologie
• Activités d’importance vitale.
– Services indispensables pour la vie de la population, l’exercice de
l’autorité de l’Etat, le fonctionnement de l’économie, le maintien du
potentiel de défense et la sécurité de la Nation.
• Sites sensibles
– Etablissements, ouvrages ou installations dont le dommage,
l’indisponibilité ou la destruction par suite d’un acte de sabotage ou de
terrorisme risquerait, directement ou indirectement, d’obérer gravement
le potentiel de guerre ou économique, la sécurité ou la capacité de
survie de la Nation ou de mettre gravement en cause la santé ou la vie
de la population
• Systèmes de sécurité physique
– La sécurité physique est l’ensemble des systèmes et des mécanismes
pour prévenir l’accès non autorisé et les dommages aux biens et aux
personnes par des menaces internes ou externes.
5. Sécurité Globale
• Définition de l’INHESJ en 2003 :
– Capacité d’assurer à une collectivité donnée et à ses membres un
niveau suffisant de prévention et de protection contre les risques et les
menaces de toutes natures et de tous impacts, d’où qu’ils viennent,
dans des conditions qui favorisent le développement sans rupture de la
vie et des activités collectives et individuelles
• Cette définition recouvre de fait :
– sécurité économique,
– sécurité sanitaire,
– sécurité informatique et numérique (données, réseaux…),
– sécurité du territoire, aérienne et maritime,
– sécurité civile…
http://www.personalinteractor.com
7. Etat des menaces en France
• Le Livre blanc sur la défense et la sécurité nationale a défini les
nouvelles vulnérabilités qui pèsent sur le territoire national et sur la
population.
• La France et par extension l’Europe doivent ainsi se préparer à faire
face :
– au terrorisme
– aux attaques majeures contre les systèmes d’information
– à l’espionnage et aux stratégies d’influence
– aux grands trafics criminels
– aux nouveaux risques sanitaires et naturels
– à des risques technologiques accrus
– à la menace de missiles balistiques
http://www.personalinteractor.com
8. http://www.personalinteractor.com
Le terrorisme
Le terrorisme est la guerre qui s’invite dans les frontières des pays en
paix sous deux formes essentielles :
• Les menaces physiques
– Trans-nationales, mobiles
– Organisées
• Contre les transports collectifs urbains
• NRBC
• D’origine aérienne
• Piraterie maritime
• Sanitaires
• Les menaces logiques, la cybercriminalité
– Atteinte aux systèmes d’information (Ministère des Finances*)
– Atteinte aux systèmes d’exploitation (Centrales Iraniennes)
– Atteinte aux systèmes de sécurité physique informatisés
L’état des menaces justifie une réflexion et une concertation au plan
national et Européen.
* Rédaction de la première Politique de Sécurité des Systèmes d’Information de l’Etat (PSSIE) en juillet 2014
10. Le nouveau marché de la sécurité
Source : ECORYS, Study on the competitiveness of EU security industry,
2009
http://www.personalinteractor.com
11. Les réponses physiques
• Sécurisation physique des sites et des réseaux
– Barrières physiques,
– Vidéoprotection, radars, caméras thermiques
– Contrôle d’accès, biométrie
– Anti-intrusion, détection de présence
– Effectifs humains de sécurité
• Redondance des équipements et services
http://www.personalinteractor.com
12. Les réponses logiques
• Sécurisation informatique des systèmes, y compris des systèmes de
sécurité
– Extrait des 10 principes stratégiques de la PSSIE 2014 :
• P2. Tout système d’information de l’État doit faire l’objet d’une analyse de
risques permettant une prise en compte préventive de sa sécurité, adaptée
aux enjeux du système considéré. Cette analyse s’inscrit dans une
démarche d’amélioration continue de la sécurité du système, pendant
toute sa durée de vie. Cette démarche doit également permettre de
maintenir à jour une cartographie précise des systèmes d’information en
service.
• P4. Des moyens d’authentification forte des agents de l’État sur les
systèmes d’information doivent être mis en place. L’usage d’une carte à
puce doit être privilégié.
• P5. Les opérations de gestion et d’administration des systèmes
d’information de l’État doivent être tracées et contrôlées.
• P7. Chaque agent de l’État, en tant qu’utilisateur d’un système d’information,
doit être informé de ses droits et devoirs mais également formé et
sensibilisé à la cybersécurité. Les mesures techniques mises en place par
l’État dans ce domaine doivent être connues de tous.
http://www.personalinteractor.com
13. ETAT DES BESOINS
http://www.personalinteractor.com
Les autorités de la sécurité
14. http://www.personalinteractor.com
Le SGDSN
• Sous l’autorité du premier Ministre
• Transformation en 2009 du Secrétariat Général de la Défense Nationale
en Secrétariat Général de la Défense et de la Sécurité Nationale
• Les missions du secrétariat général sont élargies à l’ensemble des
questions stratégiques de défense et de sécurité, qu’il s’agisse de
– la programmation militaire,
– la politique de dissuasion,
– la programmation de sécurité intérieure concourant à la sécurité
nationale,
– la sécurité économique et énergétique,
– la lutte contre le terrorisme
– la planification des réponses aux crises.
15. Les technologies de sécurité
• La technologie est essentielle à la sécurité et complémentaire à la
http://www.personalinteractor.com
composante humaine
• La prise en compte du facteur humain dans la conception des
technologies de sécurité est indispensable
• La conception découle d’une analyse croisée entre les menaces
– explosifs
– NRBC
– risque informatique
– malveillance humaine
• et les cibles
– infrastructure vitale
– établissement recevant du public
– frontière
– flux et réseau
16. 12 secteurs d’importance vitale
http://www.personalinteractor.com
• Secteurs étatiques
– activités civiles de l’Etat
– activités militaires de l’Etat
– activités judiciaires
– espace et recherche.
• Secteurs de la protection des citoyens
– santé
– gestion de l’eau
– alimentation.
• Secteurs de la vie économique et sociale de la nation
– énergie
– communication, électronique, audiovisuel et information
– transports
– finances
– industrie.
17. Obligations des opérateurs d’importance
vitale
• Former leurs responsables et leurs
http://www.personalinteractor.com
directeurs de la sécurité tant au
niveau central qu’au niveau local.
• Après une analyse de risques, établir
un plan de sécurité opérateur prenant
en compte les attendus de la directive
nationale de sécurité au titre de
laquelle ils ont été désignés
opérateurs d’importance vitale.
• Identifier leurs points d’importance
vitale qui feront l’objet d’un plan
particulier de protection (PPP) à leur
charge et d’un plan de protection
externe (PPE) à la charge du préfet
de département.
18. Méthodologie pour l’élaboration des
mesures de sécurité
http://www.personalinteractor.com
Identifier les scenarii
de menace
Analyser les
risques
Identifier les
points
névralgiques
Définir les
objectifs de
sécurité
Identifier des
mesures
permanentes
et graduées
19. Analyse des besoins de nouvelles
solutions de sécurité (SGDSN)
http://www.personalinteractor.com
20. http://www.personalinteractor.com
Le STSI(2)
• Fusion en 2010 du Service des Technologies et des Systèmes
d’Information et de la Sous-Direction des Telecommunications et de
l’Informatique de la Gendarmerie Nationale.
– Modernisation technologique PN et GN
– Partenariats de recherche Sécurité et Défense
– Vidéosurveillance et drônes
– Modernisation de la législation (LOPPSI)
• Partenariats technologiques avec
– la Commission Européenne (centre commun de recherche-
Institut de protection et de sécurité du citoyen),
– la DGA (délégation générale pour l’armement),
– l’institut franco-allemand Saint-Louis,
– OSEO (chargé du financement des PME),
– Le Comité Richelieu (PME innovantes)
– le GIFAS (groupement français des industries aéronautiques et
spatiales)
21. Domaines d’intérêt du STSI(2)
• Systèmes d’information et de communication
• Radiocommunications sécurisées
• Grands fichiers Informatiques et surveillance de l’Internet
• Vidéoprotection et surveillance
• Biométrie
• Lecture automatique de plaques d’immatriculation
• Détection de substances illicites ou dangereuses
• Centres d’information et de commandement
• Fusion de données et aide à la décision
• Capteurs et sources d’énergie
• Armement à létalité réduite
• Balistique et moyens de protection,
• Textile technique et matériaux
• Drones et moyens aériens
• Laboratoire technico-opérationnel
• Simulation
http://www.personalinteractor.com
22. European Security Research and
Innovation Forum
• OEuvre pour le partenariat public privé en Europe
• Objectifs
– Créer un état de l’art (Synthèse de 2009)
– Relier la recherche et la législation
– Partager les idées entre public et privé
http://www.personalinteractor.com
• Priorités
– Améliorer la sécurité des infrastructures et des services
– Combattre le crime organisé et le terrorisme
– Assurer la sécurité en cas de crise
– Analyser l’impact humain, politique et social de la recherche en sécurité
– Améliorer la surveillance et le contrôle aux frontières
• Le thème de la sécurité a été abordé pour la première fois dans le
programme de financement de la recherche Européenne FP7
• Entre 2007 et 2013 plus de 2B€ d’aides ont été allouées à la R&D en
sécurité. 1,6 B€ budgétés dans H2020 (FP8)
25. Domaines d’intérêt du ESRIF
• Systèmes de surveillance des espaces publics par analyse
automatique des observations combinées avec des bases de données
de renseignement
• Méthodes et infrastructures pour assister les interventions et la
communication avec le public et les individus en cas de catastrophe
de grande échelle. Systèmes de capteurs, observations en temps réel.
Systèmes d’alerte environnementaux, capteurs embarqués pour
drônes aériens, ballons et satellites. Attention spéciale pour les
systèmes de diffusion d’alarme sélectifs.
• Systèmes d’informations à interfaces multimodales dédiés à
l’utilisation par différente catégories d’utilisateurs en cas d’activité
suspecte. Une fonctionnalité de consultation par les brigades mobiles
de surveillance et d’intervention doit être intégrée.
• Méthodes d’Intelligence Artficielle et technologies d’agents pour aider
à l’enquête dans des secteurs spécifiques de la société. Attetion
particulière aux systèmes de requète et d’analyse de données et
d’informations disponible dans un format non structuré et en diverses
langues.
http://www.personalinteractor.com
26. La R&T et la R&D en sécurité
En Europe et en France
http://www.personalinteractor.com
27. Le contexte international
Volume annuel (B€)
http://www.personalinteractor.com
Les acteurs
• US : Grands intégrateurs
et high tech
• CI : Equipements de
masse. Dépendance vs
EU & US
• JP : solutions avancées
• IS : strong IT, Telco &
Soft
• RU : local, traditionnel
Volumes de marchés
25
40
15
4 3
1
EU
US
CN
JP
IS
RU
ECORYS, Study on the competitiveness of EU security industry, 2009
28. Financement de la recherche en
Sécurité
http://www.personalinteractor.com
• France
– L’ANR
• finance la recherche en sécurité et défense dans son programme CSOSG
(Concepts et Systèmes Orientés Sécurité Globale).
• Un appel à projet annuel est organisé depuis 2007 et une conférence
annuelle WISG (Workshop Interdisciplinaire Sécurité Globale) a lieu tous les
mois de janvier à l’UTT (Université Technologique de Troyes)
• En 2009, un accord a été signé entre l’ANR et le BMBF (Ministère Fédéral
allemand de la Recherche et de l’Education) en vue de faciliter le montage et
la mise en oeuvre de projets proposés par des partenaires français et
allemands
– Le FUI (Fond Unique Interministériel)
• finance les projets portés par les pôles de compétitivité avec OSEO et la BPI.
– La DGA participe au financement de projets spécifiques Défense et
duaux
• EUrope
– Horizon 2020 : le 8ème PCRD : 80 B€ sur 7 ans entre 2014 et 2021
29. http://www.personalinteractor.com
Le CSOSG
• En partenariat avec la DGA et le SGDSN
• Objectifs
– Trouver des projets de qualité répondant à des priorités nationales
– Préparer le programme Horizon 2020 qui verra de nouvelles
thématiques
• fonctions spécifiques ou capacités, sous-ensembles des missions
suivantes, qui constituent donc le périmètre de la sécurité couvert :
– la protection du citoyen qui recouvre notamment la lutte contre le
terrorisme et la criminalité ;
– la protection des infrastructures et services critiques (surtout en milieu
urbain), et des réseaux (transport, énergie, informatique…) et leurs
interconnexions ;
– la gestion de crise, quelle que soit son origine (malveillance,
catastrophe d’origine naturelle ou accidentelle) et la résilience, et cela,
lors des phases de préparation, de planification, de secours, jusqu’à la
réparation ;
– la lutte contre la cybercriminalité.
30. Dispositifs de soutien à l’innovation de
la DGA
Source : portail ixarm http://www.ixarm.com/-Dispositifs-de-soutien-a-l-
http://www.personalinteractor.com
31. Exemples de technologies appliquées aux USA
AVANCÉES DECISIVES
http://www.personalinteractor.com
32. Domain Awareness System
• Fruit de la coopération entre la police de New-York (NYPD) et
http://www.personalinteractor.com
MICROSOFT
• Solution d’anti-terrorisme pour détecter les menaces potentielles et
protéger les infrastructures critiques…
• Solution sophistiquée qui agrège les données de sécurité publique en
temps réel et combine une intelligence artificielle avec la
vidéoprotection.
• Utilise un CSU localisé dans le lower Manhattan center
• Utilise le reconnaissance de plaques minéralogiques
• Objectifs :
– Faciliter l’observation des actions de préparation d’actions terroristes
– Aider à la détection des préparations
– Dissuader les attaques terroristes
– Fournir un certain niveau de conscience du domaine à toutes les parties
concernées
– Réduire le temps de réponse à un incident
– Créer une infrastructure technologique commune pour l’intégration de
nouvelles technologies de sécurité
33. DAS : utilisation des données
http://www.personalinteractor.com
• Conservation des données
– Vidéo : 30 jours
– Metadata : 5 ans
– LPR : 5 ans
– Données environnementales : ad eternam !
• Partage des données
– A la discrétion de NYPD
• Protection des données
– Sous la responsabilité de NYPD
34. http://www.personalinteractor.com
PREDPOL
• Technologie développé en 6 ans en coopération avec UCLA et LAPD
• Traitement en temps réel des données de sécurité urbaine pour
– Attribuer des probabilités d’occurrence de crimes ou de délit aux
différentes zones d’intérêt
– Présenter l’évaluation des risques d’une façon utilisable par les
autorités concernées
– Conduire à un déploiement plus efficient et plus précis des personnels
de sécurité
• Résultats
– Diminution de 20 à 40% de certains actes délictueux spécifiques
– Données manipulées :
• Type d’acte
• Localisation de l’acte
• Heure de l’acte
36. L’évolution du logiciel de
vidéosurveillance
• Depuis 1995 (loi Pasqua) le marché de la sécurité s’est structuré
autour de solutions fermées de bout en bout.
• A partir de 2000 sous l’impact de l’informatisation :
– Emergence d’un marché logiciel indépendant du matériel,
– Convergence entre les technologies grâce à l’apport des réseaux
favorisant l’émergence de systèmes de sécurité en réseau intégrant
Alarme, Vidéo, Contrôle d’accès et Sécurité incendie (architectures
centralisées, PSIM, etc.).
• Ce contexte a créé l’illusion que la multiplication des caméras irait de
pair avec l’augmentation de la productivité.
• Or depuis l’introduction de la VSI en 2007 jusqu’à aujourd’hui, la faible
efficacité constatée dans l’analyse automatique des images à mis en
évidence le rôle clé de l’opérateur humain.
http://www.personalinteractor.com
37. http://www.personalinteractor.com
Analyse vidéo
• Efficace pour les fonctions « rétiniennes » élémentaires
– sens, franchissement, vitesse, volume, apparition,disparition
– Transférable directement sur les caméras
• Envisageable pour le pré-filtrage des séquences visionnées par des
opérateurs
• Exploitable pour des opérations de reconnaissance de plaque
d’immatriculation, de comptage
• Utilisables en recherche dans un enregistrement
• Limité en analyse globale
38. http://www.personalinteractor.com
INDECT
• “INtelligent DEteCtion”, 12 pays, 15
M€ dont 10 de la CE
• Projet de recherche en sécurité co-financé
dans le cadre du 7ème PCRD
• Développement d’algorithmes pour
détecter les comportements
dangereux ou criminels par analyse
de vidéo en temps réel
• 12 Etats Européens impliqués
• Participant français : INP Grenoble
– Analyse de traffic internet
– Modélistion
– Apprentissage et ontologies
Source : http://www.indect-project.eu/
39. Le verrou des usages
• Un environnement de plus en plus informatisé et le réseau de
communication standardisé IP provoquent un effet d’échelle qui
culmine dans un problème de volume, sous l’impact :
– d’un potentiel de déploiement considérablement accru (x3)
– d’un grand nombre d’équipements hétéroclites sur un territoire
http://www.personalinteractor.com
largement distribué.
• Ceci force le constat qu’on peut déployer beaucoup plus qu’on est
capable de gérer et conduit donc à repenser la contribution de
l’humain dans le processus d’interprétation des images et la
nécessaire rationalisation de l’exploitation des Centres de
Surveillance.
40. Synthèse vidéoprotection
http://www.personalinteractor.com
• Les besoins du marché
– Optimiser l’utilité des systèmes de vidéoprotection
– Intégrer la vidéoprotection dans la stratégie de sécurité globale des
territoires étendus
– Pallier à l’insuffisance constatée des logiciels d’analyse automatique
des images (VSI)
• Le problème à résoudre
– Aider les opérateurs dans la détection préventive des situations à
risques
– Intégrer de nouveaux outils sans perturber les usages actuels
• Les solutions envisagées
– Associer des données environnementales à la vidéo (BIG DATA)
– Développer des capacités prédictives d’aide à l’opérateur
42. Les phases du déploiement d’un
réseau de vidéosurveillance
urbaine traditionnel
Les coûts de maintenance annuelle représentent plus de 10% du coût initial
http://www.personalinteractor.com
Etudes en sécurité
ETUDES
Etudes techniques
Ingénierie réseau
INGENIERIE
Ingénierie vidéo
et informatique
Génie civil
INTEGRATION
Installation
Opération du
réseau
EXPLOITATION
Maintenance
des
équipements
Et du logiciel
44. Les nouveaux enjeux
Intégration de capteurs et
Prévention situationnelle
Sécurisation des systèmes de sécurité
et biométrie
http://www.personalinteractor.com
45. La vidéoprotection de demain
• Augmenter considérablement le nombre et la modalité des capteurs
– Capteurs mobiles portés, téléopérés ou autonomes
• Drônes, Google glasses, caméras de véhicules
• Permettre aux opérateurs humains d’expliciter leur interprétation des
scènes, de partager et d’exploiter les informations
– Interfaces tête haute
– Réalité augmentée
– Commande vocale
• Améliorer la prévention situationnelle, la détection des situations
critiques, la corrélation des informations en mettant en oeuvre des
algorithmes d’apprentissage automatique effectuant la fusion des
données en provenance des opérateurs humains.
• Laisser à la machine les traitements en volume : tri, appariement,
http://www.personalinteractor.com
filtrage, corrélation
46. L’Humain au coeur du système
CLOUD
BIG DATA
http://www.personalinteractor.com
CAPTEURS
OPERATEURS
SYSTEME
Transmission
Annotation
Retex
47. http://www.personalinteractor.com
Conclusion
• Le CLOUD s’impose comme l’architecture de demain
• La SSI s’invite dans la sécurité physique
• La biométrie est le complément indispensable de la sécurisation
logique
• De nouvelles modalités d’interface avec les systèmes sont nécessaires
pour que l’opérateur joue pleinement son rôle
• Le BIG DATA concrétise la convergence des flux de données pour la
mise en oeuvre de systèmes d’alerte prédictifs
48. Architecture type de sécurité physique
Surveillance &
Contrôle de
circulation
Forensics
Contrôle d’accès Communications
http://www.personalinteractor.com
Détection
d’intrusions
Vidéo
Réseaux
sociaux
Comm. Env.
Gestion des
identités
Gestion des accès
Supervision
49. Préservation des libertés individuelles
• Techniquement : elle peut être garantie par la hiérarchisation de l’accès aux
http://www.personalinteractor.com
données collectées
• Opérationnellement, elle ne saurait être un obstacle à la lutte contre le terrorisme
• Pourtant le législateur français fait parfois obstacle à l’utilisation de la
technologie. En février 2010, le conseil constitutionnel retoque la LOOPSI2 sur
plusieurs points dont
– La transmission temps-réel des images de caméras portées par les forces de
l’ordre intervenant contre les regroupements dans les cages d’escalier de HLM.
– L’exploitation des CSU par des sociétés privées
• En 2010, l’EFUS (European Forum for Urban Security) a adopté une Charte pour
un usage démocratique de la vidéosurveillance », en accord avec dix partenaires
européens. Le respect de la vie privée et des libertés fondamentales des citoyens
sont les deux principales ambitions de cette initiative, qui doit, à terme, se
concrétiser sous la forme de modes d’actions.
« L’anonymat au sein de l’espace public dans l’avenir tendra à disparaitre si l’individu
est confronté à la fois à la biométrie banalisée, fonctionnant à la volée, à la
vidéosurveillance et à la géolocalisation. »
Pierre Piazza, Maître de conférences en sciences politiques à l’université de Cergy-Pontoise,
Cahiers Innovation et Prospective N°1, Vie privée à l’horizon 2020, CNIL
50. http://www.personalinteractor.com
Références
• SGDSN : http://www.sgdsn.gouv.fr
• Pôles de compétitivité : http://www.competitivite.gouv.fr
• CDSE : http://www.cdse.fr
• CNPP : www.cnpp.fr
• USP : http://www.usp.org
• Site de la vidéoprotection :
http://www.videoprotection.interieur.gouv.fr/
• Charte EFUS : http://www.cctvcharter.eu
• Groupe videosurveillance sur linkedIn:
http://www.linkedin.com/groups?gid=69176
• Préfecture de Police de Paris:
http://www.prefecturedepolice.interieur.gouv.fr/Pied-de-page/
FAQ/Videoprotection
• Expo Protection Feu: http://www.info.expoprotection.com/
51. http://www.personalinteractor.com
Bibliographie
• FOUCAULT, M. « Sécurité, territoire, population » -leçon du 11 janvier
1978, leçon du 1er février 1978, Gallimard Seuil, 2004.
• ROCHE, S., Les Usages techniques et politiques de la
vidéosurveillance :
• une comparaison entre Lyon, Saint-Étienne et Grenoble, INHES, 2007.
• Sécurité & Stratégie n°4, La documentation Française, mars 2011
• GOUAILLER, V. « La vidéosurveillance Intelligente, promesses et
défis », CRIM, 2009
• La France face au terrorisme, livre blanc, La documentation Française,
2006
• SARRAF, S. « Quelle politique industrielle pour le marché européen de
la sécurité ? », IRIS, 2014
• ECORYS, Study on the compeitiveness of EU security industry, 2009
• ESRIF final report, European Security Research & innovation, 2009
• EFUS, « Charte pour une utilisation démocratique de la
vidéosureillance »
• VERDEJO, D., « Coopération Public-Privé dans les nouveaux services
de vidéoprotection », INHESJ, 2010
52. http://www.personalinteractor.com
Biographie
• Titulaire d’un DEA en Intelligence Artificielle de l’Université d’Orsay,
début de carrière dans le développement logiciel au sein de la division
simulateurs de THALES en 1985.
• Depuis 2000 spécialisé dans l’architecture et l’intégration de systèmes
de sécurité et de vidéosurveillance.
• Architecte du premier système de vidéosurveillance urbaine sur
IP/sDSL à Epinay sur Seine en 2004.
• Auditeur de la 21ème Session Nationale de l’INHESJ (2010)
• Expert près l’ANR pour l’évaluation des projets du CSOSG depuis 2006
• Etude, audit, méthodologie sur tous les projets de systèmes
d’information pour la sécurité globale
• Contact:
– +33 6 08 57 92 20
– dominique.verdejo@personalinteractor.com