Sûreté, sécurité et résilience

Sûreté, sécurité et résilience Jean-René Ruault, LAMIH-UMR CNRS 8201, Université de Valenciennes et du Hainaut-Cambrésis Jean-Rene.Ruault@univ-valenciennes.fr 9 décembre 2015 XXI e Forum Systèmes et Logiciels pour les NTIC dans le transport Sûreté et sécurité dans les transports

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 2 Références Ruault 2015 : Thèse «Proposition d architecture et de processus pour la résilience des systèmes ; application aux systèmes critiques à longue durée de vie», Université de Valenciennes et du Hainaut-Cambrésis Ruault et al. 2015 : Ruault J-R., Kolski C., Vanderhaegen F., Luzeaux D. (2015). Sûreté et sécurité : différences et complémentarités. Conférence C&ESAR 2015, Computer & Electronics Security Applications Rendezvous, "Résilience des systèmes numériques" (23-25 Novembre), Rennes, France, pp. 23-37, novembre

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 3 Sommaire Sûreté et résilience De la sûreté à la sécurité Résilience intégrée : sûreté et sécurité Axes de recherche Conclusion

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 4 Système ferroviaire : exemple de système Maillage d un territoire, démographie, zone d activité et zone d habitat, sens et fréquence des voyages Géologie, génie civil, impacts urbains, impacts environnementaux Voyage de bout en bout Exploitation du réseau, gestion des servitudes (électrique, communication, ) Commercialisation Entretien du réseau, du matériel, des servitudes

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 5 Vie d un système Processus Système Architecture Architecture fonctionnelle Architecture physique Temps T0 2 ans 5 ans 30 ans 35ans Conception Réalisation Utilisation Démantèlement

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 6 Fonctionner en dehors du domaine de définition du système Temps 2 D C 3 Accident E B A 1 [Ruault, 2015] Légende : Trajectoire spécifiée: Trajectoire réelle: Variabilité spécifiée: Variabilité réelle: Point de situation: X Marges de sécurité: Barrières : Franchissement de barrières Déviation Signal de danger 1

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 7 Parfaite compréhension des conditions d utilisation Résilience : éviter, résister, restaurer, s adapter Évènements imprévisibles, situations sans précédent Conseil : surveiller le système en opération Conscience partagée de la situation Évaluer les risques prévisibles, anticiper S adapter face aux évènements imprévisibles Sûreté Résilience Conception Réalisation Utilisation Temps

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 8 Analyse des accidents de Zoufftgen et d Aldershot du point de vue de la résilience Accident de Zoufftgen (France-Luxembourg) 11 octobre 2006 Collision frontale d un train de voyageurs et d un train de fret 6 morts, 2 blessés graves et 14 blessés légers [BEA, 2009] Accident d Aldershot (Canada) 26 février 2012 Déraillement d un train de voyageurs 3 morts [BST, 2013] Synthèse, analyse globale : Absence de conscience partagée de la situation par les opérateurs Compréhension trop tardive de la situation par les opérateurs Objectif : alerter les opérateurs sur le risque couru et la proximité du danger [Adapté de Ruault, 2015]

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 9 ibd [Package] Structure_Système [Structure_Système] Patron de conception «surveiller et alerter» «Système_Opérant,block» Système_Opérant «Composant» + Dispositif_Sécurité + Barrières «Usage» Information_Usage «Etat_Courant» + Statut_Barrières :Etat_Courant + Nombre_Autorisations :Etat_Courant + Variabilité_Courante :Etat_Courant «Usage» Recueillir_Usage :Système_Surveillance_Usage ::Système_Surveillance_Usage + Recueillir_Usage() + Alerter() :Alerte + Montrer_Usage() :Usage «Usage» «Alerte» Alerter «Usage» Montrer_Usage «Interface_Utilisateur» Interface_Utilisateur «Alerte» «Interface_Utilisateur» + Interagir_avec_Utilisateur() «Alerter» Alerter Interfaces et flux entre système opérant, et système de surveillance de l usage et système interactif «Alerte» Alerte «Alerte» + Niveau_Risque :Alerte + Description_Système :Alerte + Etat :Alerte + Conseil :Alerte + Localisation :Alerte

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 10 ibd [Package] Structure_Système [Communication_Distribuée] Patron de conception «surveiller et alerter» «Système_Principal» Système_A «Système_Opérant» + Exploiter() :void + Montrer_Usage() :Usage «Système_Surveillance_Usage» + Recueillir_Usage() + Alerter() :Alerte «Interface_Utilisateur» + Interagir_avec_Utilisateur() :void «Alerte» «Système_Principal» Système_B «Système_Opérant» + Exploiter() :void + Montrer_Usage() :Usage «Système_Surveillance_Usage» + Recueillir_Usage() + Alerter() :Alerte «Interface_Utilisateur» + Interagir_avec_Utilisateur() :void «Alerte» «Alerte» «Système_Principal» Système_C «Système_Opérant» + Exploiter() :void + Montrer_Usage() :Usage «Système_Surveillance_Usage» + Recueillir_Usage() + Alerter() :Alerte «Interface_Utilisateur» + Interagir_avec_Utilisateur() :void «Alerte» «Système_Principal» Système_D «Système_Opérant» + Exploiter() :void + Montrer_Usage() :Usage «Système_Surveillance_Usage» + Recueillir_Usage() :void + Alerter() :Alerte «Interface_Utilisateur» + Interagir_avec_Utilisateur() :void Communication des alertes entre systèmes

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 11 Limites de la sûreté sans prise en compte de la sécurité Solution de type ADS-B diffusion d information de façon indifférenciée Diffusion des alarmes en mode broadcast Rapport du GAO sur la cybersécurité de NextGen Solution type ADS-B: une vraie «fausse bonne idée»

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 12 Sommaire Sûreté et résilience De la sûreté à la sécurité Résilience intégrée : sûreté et sécurité Axes de recherche Conclusion

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 13 Sûreté : définition, méthode Protection du système vis-à-vis du danger Niveau acceptable de risque Mise en œuvre de barrières (physiques, fonctionnelles ) Gestion des risques : événements redoutés, gravité des conséquences, probabilité d occurrence, niveau de criticité Risques : issues des activités humaines et industrielles, des événements naturels (climatiques, volcaniques ) Méthodes : MIL-STD 882E, AMDEC

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 14 Sécurité : définition, méthode Protection du système vis-à-vis d attaques malveillantes Démarche continue mise en œuvre tout au long du cycle de vie du système appuyée sur des moyens organisationnels, techniques et humains Critères de sécurité : Confidentialité, Intégrité, Disponibilité, Non répudiation Gestion des risques : événements redoutés, gravité des conséquences, niveau de criticité Risques : espionnage, sabotage, écoute, accès illégitime Méthode : ISO/IEC 27xxx, ISO/IEC 29xxx, EBIOS, FEROS

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 15 Analyse comparée de la sûreté et de la sécurité (1/2) Démarche d analyse des risques Caractéristique Anticipation Méthode à mettre en œuvre Dispositif de sécurité Sûreté Identification des événements redoutés, de leur probabilité d occurrence et de leurs conséquences Accident ou défaillance d un composant du système (événement non intentionnel) Simulation pour mesurer la performance du système face à des événements redoutés prévisibles Méthodes de la sûreté de fonctionnement (AMDEC ) Barrières, redondance, réduction des modes communs Sécurité Identification des menaces, de leur vraisemblance, des vulnérabilités du système cible et de leurs conséquences Attaque (événement intentionnel, malveillant) Absence de mesure de performance du système EBIOS, FEROS Pare-feu, accès par diode, système de détection d intrus

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 16 Analyse comparée de la sûreté et de la sécurité (2/2) Surveiller Évaluer les risques Alerter Sûreté Obtenir une représentation de l environnement du système Obtenir une représentation de la dynamique de système Évaluer des dérives Évaluer la proximité du danger Alerter et conseiller les opérateurs en situation de danger Sécurité Surveillance de l intégrité et gestion du changement Détection d attaque Surveillance des équipements / automates Surveillance de la communication Détection des vulnérabilités Évaluer les menaces et les vulnérabilité Alerter et conseiller les opérateurs en cas d attaque et de vulnérabilité identifiée

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 17 Interaction sécurité / sûreté (1/2) Sûreté sécurité Des informations sur les événements redoutés et les niveaux de gravité (sûreté) peuvent être utilisées par un agent malveillant (sécurité) pour générer un accident ou aggraver les conséquences d un accident Des alarmes relatives aux dérives du système, à l état des dispositifs de sûreté, telles que des barrières (sûreté) peuvent être détournées, modifiées, cachées par un agent malveillant (sécurité) pour tromper les destinataires de ces informations, favoriser la survenue d un accident en attaquant le système La transparence de l architecture permet à l agent malveillant de connaître les fragilités, les risques, les chemins critiques du système pour générer, par rebond (billard multi-bandes), un événement redouté / indésirable ayant des conséquences catastrophiques

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 18 Interaction sécurité / sûreté (2/2) Sécurité sûreté L occultation des informations pour des raisons de sécurité, les leurres, etc. peuvent empêcher les opérateurs d être informés de la proximité d une zone de danger (par exemple pompiers intervenant dans une usine classée Seveso) La délivrance d informations de sûreté aux seules parties prenantes habilitées à en connaître (sécurité) génère des coupes induites et accroît le niveau de risques (sûreté) puisqu un tiers potentiellement victime (proximité géographique ) ne peut pas être averti de l éminence d un accident Le cloisonnement de l architecture, l occultation des informations, des leurres et chausse-trappes, etc., afin de sécurité, accroissent le niveau de risque (sûreté)

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 19 Sommaire Sûreté et résilience De la sûreté à la sécurité Résilience intégrée : sûreté et sécurité Axes de recherche Conclusion

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 20 Résilience intégrée : sécurité et sûreté Résilience intégrée Piloter à vue, faire face à des événements perturbateurs sans précédent, accidentels ou malveillants Principales fonctions Surveiller le système Alerter lorsqu un événement redouté survient Sécuriser le système et son environnement en cas de compromission (confiner, mettre en quarantaine, blanchir ) S assurer que les échanges entre systèmes sont sûrs (réduction des risques d accident) et sécurisés (réduction des risques de compromission) Résilience système : intègre sécurité et sûreté

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 21 Courtier de service prenant en charge la sécurité et la sûreté Objectif Fournir des services aux systèmes qui en sont clients, de façon sécurisée et sûre Utiliser de façon sécurisée et sûre les services fournis par les systèmes Émettre des alertes de sécurité en cas de détection d agent compromettant, d attaque, précisant le système ciblé et l identité de l attaquant Émettre des alertes de sûreté en cas d accident ou de défaillance détectée, ou en cas de proximité d une zone de danger Courtier de service prenant en charge la sécurité et la sûreté Sécurité : système de détection d intrusion, SSO Sûreté : dérives, état des barrières

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 22 Gestion des services sûre et sécurisée Règles de sécurité et de sûreté pour la fourniture et l utilisation de services Le système requérant un service doit en avoir le droit, ce qui suppose une authentification de ce système client et la publication de son niveau d habilitation l autorisant à requérir ce service Le système requérant un service doit mentionner s il est critique et prioritaire et, si oui, quel est son niveau de priorité Le système fournissant un service doit mentionner le niveau d habilitation exigé et les règles de priorité pour accéder à ce service Le système requérant et le système fournissant ce service doivent présenter une patente nette délivrée par le système de sécurité et de sûreté justifiant qu ils sont exempts d agent compromettant

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 23 Surveillance des systèmes opérants et délivrance/retrait des patentes Surveiller les systèmes opérants Retirer la patente nette OUI Évaluer la compromission NON Émettre une patente nette Analyser les impacts Réévaluer la sûreté Évaluer le confinement Émettre une patente brute Confiner, blanchir, mettre en quarantaine Déconfiner

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 24 Architecture multi-niveaux couvrant sécurité et sûreté Niveau des systèmes opérants Système Système A Système B Système C Publication Service A (habilitation, niveau de priorité, patente nette) Service B (habilitation, niveau de priorité, patente nette) Service C (habilitation, niveau de priorité, patente nette) Service B (habilitation, niveau de priorité, patente nette) Alerte Sécurité (compromission) Sécurité (compromission) Sécurité (compromission) Sûreté (criticité) Sûreté (criticité) Sûreté (criticité) Niveau du système de sûreté et de sécurité Annuaires Générateur Journaux Services Clients Abonnements Systèmes critiques Menaces Défis Résultats des défis Attaques Niveau du système de surveillance du système de sûreté et de sécurité Générateur Défis Journaux Résultats des défis

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 25 Matrice N² décrivant les flux de services entre systèmes opérants [Ruault et al., 2015]

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 26 Système opérant A Système opérant B Système de sûreté & de sécurité Système opérant C Annuaires communs sécurité et sûreté : des services disponibles des abonnements des autorisations d accès des systèmes critiques, de leur niveau de criticité et de leur niveau de priorité Journaux communs sûreté et sécurité: des alertes de sécurité des alertes de sûreté Surveillance et émetteur d alerte de sûreté Surveillance et émetteur d alerte de sécurité Zone de sécurité Lanceur de défis auprès des systèmes opérants Émetteur de patente nette Journaux de sécurité : des attaques des réponses aux défis lancés aux systèmes opérants Annuaires de sécurité : des identités des attaquants connus Des menaces Des vulnérabilités Système de surveillance de la sûreté & de la sécurité Lanceur de défis auprès du système de sûreté et de sécurité Journaux : des attaques des réponses aux défis lancés au système de sûreté et de sécurité [Adapté de Ruault et al., 2015]

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 27 L agent malveillant n a pas le nez rouge clignotant L agent malveillant se cache Difficultés à détecter automatiquement des informations malveillantes a priori, d autant qu elles sont cachées «2) si possible trouver et travailler avec zigotos bien. 3) si possible expliker ds video ke toi donner zigoto les outils au nom de d, préciser leskels.» 1 «Ok, fé ske ta a fair aujourdhui ms simple com ça tu rentr dormir ensuit tu plank et verifi adress 1 ts les jrs : indications bientot pr recup amis aider toi. debarasse toi puce, maintenant passe sur adress 1, fini adress 2» 1 1) Sources: http://www.lemonde.fr/police-justice/article/2015/11/07/attentats-de-paris-les-messages-ducommanditaire-au-tueur-de-l-hyper-cacher_4805099_1653578.html#hb7p22dw9syojdoi.99

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 28 Les signatures des symptômes (1/2) Sûreté de fonctionnement Signature de sûreté technique (état technique, défaillance ) Signature générique Sécurité Signature sécuritaire (état sécuritaire, compromission, agent malveillant ) Résilience Signature de sûreté opérationnelle (écart entre état opérationnel et état prescrit, dérive, proximité d une zone de danger )

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 29 Les signatures des symptômes (2/2) Sûreté de fonctionnement Sécurité Résilience Signature Technique Sécuritaire De sûreté opérationnelle Utilisateurs / destinataires Agent de maintenance Officier de sécurité Opérateur Malveillance Pas de malveillance Malveillance Pas de malveillance Flux d information Sémantique Niveau de dégradation Identité de la panne Localisation de la panne Remontée d alarme Requêtes d investigation Résultats d investigation Niveau de compromission Identité de l agent Niveau de criticité Proximité d une zone de danger Écart par rapport au prescrit

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 30 Sommaire Sûreté et résilience De la sûreté à la sécurité Résilience intégrée : sûreté et sécurité Axes de recherche Conclusion

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 31 Axes de recherches Discerner les alarmes de sécurité (malveillance) et les alarmes de sûreté (situation accidentelle) en tenant compte de la dissimulation malveillante (faux-nez, leurres ) Articuler / intégrer la solution proposée aux solutions de sécurité mises en œuvre Vérifier expérimentalement la faisabilité technique et la pertinence opérationnelle de la solution proposée Envisager des modes d authentification adaptés à l Internet des objets, authentification contextuelle géoréférencée et horodatée Systèmes habilités à émettre ou recevoir des messages à un train, ceux qui sont ou seront sur sa trajectoire La modélisation de l agent malveillant via le persona

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 32 Sommaire Sûreté et résilience De la sûreté à la sécurité Résilience intégrée : sûreté et sécurité Axes de recherche Conclusion

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 33 Conclusion Risque de traiter sécurité et sûreté indépendamment l une de l autre Articulation de la sécurité et de la sûreté Résilience intégrée : sûreté et sécurité Proposition d architecture orientée service multi-niveaux intégrant sécurité et sûreté Proposition de patente nette et de patente brute Caractérisation des signatures (sécurité / sûreté / résilience) pour cerner les compromissions Questions en suspens : discerner sécurité et sûreté en prenant en compte la dissimulation

Sûreté et résilience De la sûreté à la sécurité Résilience intégrée Axes de recherche Conclusion 34 Sûreté, sécurité et résilience