Monitoring des risques et la détection d’intrusion pour les systèmes de contrôle industriel
Le 26 juin, Steve Muller d’itrust consulting a soutenu sa thèse de doctorat en informatique sur le monitoring des risques et la détection d’intrusion pour les Systèmes de Contrôle Industriel (SCI) à l’Université du Luxembourg.
Steve a présenté une description complète de nouvelles techniques et algorithmes de gestion des risques pour surveiller le risque d’une organisation en temps réel, y compris un système de détection d’intrusion appliqué aux SCI. Il a découvert un algorithme efficace (en temps polynomial) pour calculer les probabilités d’attaques dans des graphes de dépendance arbitrairement complexes. Cela
permet de calculer la probabilité de scénarios de risque interdépendants, en tenant compte de la probabilité qu’un scénario soit la conséquence d’un autre.
Il a également optimisé considérablement le temps de calcul des algorithmes par séparation et évaluation existants qui trouvent l’ensemble optimal de contre-mesures – en termes de retour sur investissement en sécurité (ROSI) – dans les arbres d’attaque et de défense. De tels arbres permettent aux évaluateurs du risque d’estimer le risque actuel dans un contexte où les contremesures sont mises en oeuvre avec des performances variables, et constituent donc une approche complémentaire aux graphes de dépendance.
Pour traduire les alertes provenant de systèmes de détection d’intrusion et d’agents similaires en notions de risque, Steve les a décrites comme une série temporelle basée sur des fonctions exponentielles. Ainsi, seules l’amplitude et la demi-vie estimées doivent être transmises à la plateforme de surveillance. Il a conçu et développé une interface (API) qui agrège le risque d’alertes multiples. Après avoir remplacé les paramètres statiques du graphe de dépendance par les facteurs de risque dynamiques obtenus à partir des différentes alertes, il peut prédire le niveau de risque actuel et futur, tant dans la configuration actuelle que dans une situation simulée avec de nouvelles contre-mesures en place. Ses algorithmes peuvent alors guider l’opérateur d’un système de contrôle industriel à travers l’activation de contre-mesures appropriées lorsque des alertes se produisent.
Dans une implémentation prototype, il a remplacé les valeurs statiques de l’outil d’évaluation des risques ‘TRICK Service’ par des formules qui impliquent les paramètres de risque remontés à l’API en temps réel, transformant ainsi l’évaluation statique en un outil de surveillance en temps réel appelé ‘TRICK Cockpit’.
Dans la partie finale de sa thèse, Steve a étudié comment des paramètres de risque peuvent être extraits d’outils de sécurité, tels que les systèmes de détection d’intrusion (où il a utilisé la détection d’anomalies, qui est complémentaire aux techniques basées sur les signatures), les analyseurs syntaxiques de logs pare-feu et les outils de gestion de correctifs.
Yves Le Traon, directeur de thèse: « Le comité confère à Steve le grade de ‘Docteur’ avec la mention la plus élevée possible ‘Excellent’ pour sa capacité à trouver des solutions nouvelles et efficaces face aux défis. »
Carlo Harpes, Gérant d’itrust consulting: « Steve Muller a développé des techniques de gestion des risques qui, bien que pouvant être utilisées indépendamment dans n’importe quelle méthodologie de gestion des risques, ont été intégrées dans l’outil TRICK Service d’itrust consulting, pavant ainsi le chemin vers TRICK Cockpit, un outil de suivi des risques en temps réel. Elles ont déjà été appliquées au bénéfice de nos clients actuels, tels que Luxmetering, et amélioreront la qualité des estimations des activités futures d’évaluation et de surveillance des risques, non seulement pour les SCI, mais aussi pour tous les systèmes TIC (Technologie de l’Information et de la Communication) complexes. »
Ces travaux ont été financés par une allocation de recherche AFR du Fonds National de Recherche luxembourgeois FNR. L’hébergement et la gestion ont été assurés par itrust consulting dans le cadre d’un partenariat public-privé avec Uni.lu et IMT Atlantique Bretagne-Pays de la Loire en France. Cette gestion et ce soutien ont été cofinancés par le projet de recherche national SGL Cockpit, le projet TREsPASS sur la gestion des risques et les arbres d’attaque et de défense financé par l’UE, et le projet ATENA sur la cybersécurité des infrastructures critiques, également financé par l’UE. La partie académique a été supervisée par les Professeurs Yves Le Traon et Jean-Marie Bonnin de l’Université du Luxembourg et d’IMT Atlantique Bretagne-Pays de la Loire respectivement, qui ont décerné conjointement le doctorat.