Sécurité en Profondeur des Infrastructures Industrielles de Contrôle-Commande liée aux actions malveillantes : une approche réactive de surveillance et de supervision orientée maîtrise des risques

par Franck Sicard

Projet de thèse en Automatique - productique

Sous la direction de Eric Zamaï et de Jean-Marie Flaus.

Thèses en préparation à Grenoble Alpes , dans le cadre de École doctorale électronique, électrotechnique, automatique, traitement du signal (Grenoble) , en partenariat avec Laboratoire dSciences pour la Conception, l'Optimisation et la Production de Grenoble (laboratoire) depuis le 01-10-2015 .


  • Résumé

    De nos jours, la plupart des systèmes de contrôle commande et de nombreux systèmes embarqués sont connectés en réseau, soit local, soit même à l'Internet. Dans tous les cas, ils sont relativement facilement accessibles à des logiciels malveillants qui chercheraient à en prendre le contrôle pour exécuter des actions dangereuses ou paralysantes pour les installations. Ces systèmes présentent donc des risques liés à leur vulnérabilité informatique. Pour diminuer celle-ci plusieurs axes d'action sont possibles. Le premier consiste à sécuriser les échanges de données en utilisant un protocole sécurisé. Cependant, si un logiciel malveillant réussi à franchir ce niveau de protection, ce qui n'est pas à exclure compte tenu de sa sensibilité aux erreurs humaines, le système de contrôle commande est entièrement accessible. Dans le cadre de cette étude, nous proposons d'ajouter un niveau de protection prenant en compte la spécificité des interactions entre le système de contrôle-commande et le système physique qui est contrôlé : alors qu'il peut être difficile d'évaluer la dangerosité de l'exécution d'une instruction informatique par un système quelconque, cela peut être beaucoup plus facilement envisageable lorsque cette action agit sur un système physique dont on peut construire un modèle de comportement. Nous parlerons donc ici d'approche métier de la sécurité du contrôle-commande industriel. Cet axe de recherche est à ce jour très peu considéré dans le cadre d'attaques ciblées. Il reste pourtant fondamental à développer car faisant office de dernier rempart lorsque les autres barrières auront été franchies. Sur le plan de la recherche, la problématique cyber-attaque rejoint en fait celle de la surveillance et de la sûreté de fonctionnement des installations industrielles qui doivent faire face des aléas de fonctionnement non ciblés. Par exemple, un procédé de fabrication qui a déjà atteint une température élevée dont on maintient la chauffe, entre dans une zone dangereuse. Il en est de même pour un véhicule qui a atteint une vitesse élevée et dont on maintient l'accélération dans un virage. Si on a encodé un parcours et qu'on dispose de coordonnées GPS, on pourra aussi évaluer la dangerosité des actions. Les informations pour évaluer cette dangerosité peuvent être trouvées dans le modèle du système piloté, ainsi que dans les analyses de risques réalisées pour ce système. L'objet de cette étude serait donc de réaliser, à partir de ces informations, un superviseur des informations issues du système de captage ainsi que des actions de contrôle, de façon à détecter ces événements anormaux afin de soit les rejeter, soit déclencher un mode de repli (a minima une alerte), en fonction du niveau de criticité de l'action associée. Ce niveau serait déterminé par une prédiction du comportement du système sur un horizon temporel, et une évaluation des conséquences. Ce superviseur sera chiffré et nécessiterait un accès de plus haut niveau pour être modifié, de façon à proposer un niveau de sécurité supplémentaire.

  • Titre traduit

    Cybersecurity of Industrial Control Systems tied to malicious actions : a reactive approach to monitoring and supervision oriented risks control


  • Résumé

    Nowadays, most of Industrial Control System and many embedded systems are networked on local network or even in the Internet. In all cases, they are accessible to malware that would seek to take control of the system to perform dangerous actions on the installation. These systems have risks associated with their IT vulnerabilities. To reduce these vulnerabilities, several actions are possible. Secure data exchanges using a secure protocol is the first lead. However, if malicious malware managed to cross this protection level, which is not excluded given human errors, the control system is fully accessible. In this study, we propose to add a level of protection taking into account the specificity of the interaction between the control and the physical part. The danger of the execution of a computer instruction by an IT system is difficult. This is easier when the effect of an action on the physical system can be model. This research axis is not considered in the context of targeted attack. However, it is important to develop a system that acts as last defense for the control-command system during a cyber attack. The purpose would be to realize a supervisor that collects data in order to detect abnormal events and reject them. This supervisor will be encrypted and would require a high level of access to be change in order to provide an additional level of security.