Accueil  >  Parcours thématique  >  Management des cyber risques  >  Cyberprotection des systèmes de contrôle-commande industriels : une approche à base de modèles pour détecter et réagir aux cyberattaques

Management des cyber risques

Cyberprotection des systèmes de contrôle-commande industriels : une approche à base de modèles pour détecter et réagir aux cyberattaques

Par Franck SICARD, Éric ZAMAÏ et Jean-Marie FLAUS Univ. Grenoble Alpes, CNRS, Grenoble INP, G-SCOP, F-38000 Grenoble, France Les systèmes de contrôle-commande industriels (Industrial Control System, ICS en anglais) sont présents dans de nombreux domaines pour assurer la productivité et la fiabilité des systèmes de production. Toutefois, ces systèmes sont extrêmement vulnérables aux attaques de...

Par Franck SICARD, Éric ZAMAÏ et Jean-Marie FLAUS
Univ. Grenoble Alpes, CNRS, Grenoble INP, G-SCOP, F-38000 Grenoble, France

Les systèmes de contrôle-commande industriels (Industrial Control System, ICS en anglais) sont présents dans de nombreux domaines pour assurer la productivité et la fiabilité des systèmes de production. Toutefois, ces systèmes sont extrêmement vulnérables aux attaques de type cyber puisque les impératifs de sécurité n’ont pas été pris en compte lors de leur conception. Depuis le début du 21ème siècle, ces systèmes sont devenus la cible de hackers dont l’attaque la plus célèbre est Stuxnet (2009), qui a affecté la centrale d’enrichissement en Uranium de Natanz en Iran. Cet article mettra en avant les failles des ICS, puis proposera une approche innovante pour protéger ces systèmes, en utilisant la « connaissance métier » et les spécificités des couches temps-réels. Enfin, il présentera des mécanismes de détection pouvant être développés à la suite d’une attaque critique.

1.      Etude de vulnérabilités dans les couches temps-réels des ICS

Les systèmes de contrôle-commande industriels sont composés d’un ensemble d’éléments de commande qui agit conjointement pour atteindre un objectif de production. Cette construction est très proche de celle d’un système cyber-physique, dans lequel la partie commande (niveau 1), dont l’élément principal est l’automate programmable industriel (API), contrôle une partie opérative (niveau 0), composée d’une part par les actionneurs qui appliquent les commandes sur le flux de production, et d’autre part les capteurs qui remontent des informations à la partie commande. Cette abstraction sous forme d’architecture fonctionnelle permet de représenter des ICS (conformément à la norme CIM). Cette architecture peut faire apparaître d’autres niveaux comme celui de la supervision (niveau 2), qui permet de donner aux opérateurs exploitant l’ICS une image de l’état du système à un instant donné. Cet article se focalisera sur les couches 0-1 de l’architecture ICS.

Les ICS sont présents dans de nombreuses infrastructures critiques comme la production et la distribution d’énergie (électricité, eau, pétrole), le traitement de l’eau, les industries chimiques et manufacturières, ou encore les transports. Ils permettent de faire évoluer un système physique d’un état initial à un état final à des fins de production. Ces systèmes ont été pensés pour assurer naturellement la productivité et la sûreté de fonctionnement des installations. Afin d’augmenter encore la productivité, les ICS se sont vus dotés, dès les années 2000 de moyens de communication modernes tel que l’Ethernet TCP/IP, de serveurs web, ou encore d’outils de télémaintenance. Ceci a eu pour effet d’introduire des vulnérabilités à différents niveaux de l’architecture ICS qui sont représentées en Figure 1, des détails pourront être trouvés dans Sicard et al. [1] et McLaughlin et al. [2].

Afin de sécuriser les systèmes de contrôle-commande, plusieurs agences gouvernementales ont publié des recommandations et des guides de bonnes pratiques, les plus connus étant ceux de l’ANSSI (France), du NIST (USA) et de l’ENISA (UE). Aussi voyons nous arriver sur le marché différentes solutions visant à sécuriser les ICS et prendre en compte la menace cyber [3]. Force est de constater que ces solutions se basent sur des techniques héritées de l’IT (Information Technology) comme des firewalls, des DMZ ou des IDS (Intrusion Detection System). En grande majorité, ces solutions permettent de sécuriser les couches réseaux hautes de l’ICS sans prendre en compte les spécificités des ICS, comme présentés dans Sicard et al. [1]. Cependant, si une attaque venait à franchir ces protections (règles non mise à jour, infection directe d’un API suite à une programmation ou une maintenance, …), qui protègerait la partie opérative ? Ainsi, les solutions actuelles permettent de sécuriser le niveau 2 (Supervision) qui est celui se rapprochant le plus d’un « système d’information » classique. Notre approche complémente ces approches IT en se positionnant entre la couche 0-1 pour la protéger et en s’appuyant sur la « connaissance métier » des ICS [4].

Sicard1

Figure 1 – Représentation des vulnérabilités présentes dans les couches basses de l’architecture CIM [1]

2.      Approche proposée pour sécuriser les ICS

L’approche proposée hybride deux techniques orientées sécurité (IDS) et sûreté (approche filtre) [4]. Pour ce faire, nous avons développé une méthodologie en 3 étapes, développée dans Sicard et al [1] et représentée sur la Figure 2, valables à la fois pour le filtre de commande et pour le filtre de compte rendu. Cela consiste dans un premier temps à mener une analyse de risques (étape 1) afin d’identifier la partie de l’ICS qui doit être sécurisée (quel automate, quels paramètres). Par la suite, comme l’approche proposée est basée sur des modèles, le système doit être représenté par deux modélisations : le modèle de commande et le modèle du procédé. Ceux-ci représentent respectivement la loi de commande (ce que l’on veut faire) et l’ensemble des états atteignables de la partie opérative (ce que l’on peut faire). Pour chacun des états du système, l’ensemble des ordres et comptes rendus admissibles est évalué, il s’agit de la phase d’exploration des états du système (étape 2). Un expert se charge ensuite de caractériser chacun de ces états en tant qu’état optimal, interdit ou admissible.

Sicard2

Figure 2 – Méthodologie de conception des filtres utilisée dans notre approche [1]

En exploitation (étape 3), et à chaque occurrence d’un ordre provenant de l’API ou d’un compte rendu provenant des capteurs, ces informations sont injectées dans les modèles pour évaluer si l’ordre ou le compte-rendu émis est compatible avec ceux admissibles, en fonction de l’état courant du système. Tout d’abord, dans le cas où l’ordre émis par l’API conduit le système dans un état critique, le filtre de commande bloque son exécution : c’est le mécanisme de détection de contexte. Deuxièmement, un mécanisme de calcul de distance entre l’état courant et les états interdits est réalisé afin de déterminer le risque qu’un évènement fasse basculer le système dans un état interdit. Troisièmement, un mécanisme de calcul de trajectoire nous permet d’évaluer si une séquence d’ordres correspond à une intention de nuire ou non (attaque en séquence). L’objectif va viser à analyser les ordres envoyés aux actionneurs afin de vérifier s’ils présentent un risque, et de regarder si les comptes rendus émis par les capteurs sont altérés. Dans le but de renforcer la sécurité des ICS, d’autres algorithmes de détection et de protection ont été développés dans le cadre de ces travaux [5] tels que le :

  • Mécanisme basé sur des contraintes temporelles. Ce mécanisme aboutit à l’obtention de fenêtres temporelles devant être respectées par l’ICS (attaque temporelle),
  • Mécanisme de surveillance de sollicitation des actionneurs, afin de prévenir un vieillissement prématuré,
  • Algorithme de distinction entre une défaillance et une attaque après une détection,
  • Algorithme de mise en repli qui pilote le système afin de l’amener à état définit comme « sûr ».

3.      Illustration des mécanismes de détection développés

L’approche est actuellement appliquée sur différents exemples de simulation (3 cuves [4], 5 cuves [1], [5], chariot/aiguillage…). La Figure 3 met en avant des mécanismes présentés précédemment et faisant intervenir la notion de distance, de trajectoire et de détection contexte. A gauche, une attaque est déclenchée à l’état 5, l’ordre et l’état atteints ne correspondent pas à la loi de commande (dOrdreOpt et dStateOpt valent 1), on observe que la trajectoire du système s’éloigne de celle optimale. De plus, un contexte est détecté puisque la distance minimale au prochain état interdit dStateInt est nulle (ordre bloqué). A droite, une attaque est lancée à l’état 2, comme précédemment la loi de commande n’est pas respectée (dOrdreOpt et dStateOpt valent 1), cependant aucun état critique n’est atteint puisque dStateInt est supérieur à 0.

Sicard3Sicard4

 

Figure 3 – Illustration de certains mécanismes de détection d’attaque.

Dans les prochains mois, cette approche sera implantée sur une plateforme industrielle afin de valider les algorithmes développés et testés sur des exemples de simulation. Toutefois, d’autres perspectives sont envisagées pour la suite de ces travaux comme la synchronisation entre plusieurs parties sécurisées par des filtres dans un ICS, ou encore l’adaptation de notre approche à des systèmes dont la loi de commande est fortement variable.

Remerciement

Ces travaux se déroulent dans le cadre d’une thèse financée par la Direction Générale de l’Armement (DGA) – Maîtrise de l’information situé à Bruz, France. Les recherches sont faîtes au laboratoire G-SCOP (http://www.g-scop.grenoble-inp.fr/accueil/) avec l’aide de la plateforme CIM du S-mart Grenoble Alpes (http://aip.grenoble-inp.fr/accueil/).

Références

[1]  F. Sicard, É. Zamaï, and J.-M. Flaus, “Cyberdéfense des systèmes de contrôle-commande industriels : une approche par filtres basée sur la distance aux états critiques pour la sécurisation face aux cyberattaques,” in C&esar 2017 – La protection des données face à la menace cyber, Rennes, France, 2017.

[2]  S. McLaughlin et al., “The Cybersecurity Landscape in Industrial Control Systems,” Proc. IEEE, vol. 104, no. 5, pp. 1039–1057, May 2016.

[3]  Y. Fourastier and L. Pietre-Cambacedes, Cybersécurité des installations industrielles : défendre ses systèmes numériques. Cépaduès Editions, 2015.

[4]  F. Sicard, É. Zamaï, and J. M. Flaus, “Distance Concept Based Filter Approach for Detection of Cyberattacks on Industrial Control Systems,” presented at the IFAC World Congress, GdR MACS Young PhD Researchers – Open Invited Track of Extended Abstract, Toulouse, France, 2017.

[5]  F. Sicard, E. Zamai, and J.-M. Flaus, “Critical States Distance Filter Based Approach for Detection and Blockage of Cyberattacks in Industrial Control Systems,” in Diagnosability, Security and Safety of Hybrid Dynamic and Cyber-Physical Systems, Springer International Publishing AG 2018., M. Sayed-Mouchaweh, 2018.

Pin It