PROJET SINARI Sécurité des Infrastructures et Analyse des Risques Approche de la Sûreté de fonctionnement et de la cyber-sécurité CLUB AUTOMATION - 19 Juin 2012 MD-3-01-SM-10 rév. B1
Agenda Présentation du projet de recherche SINARI Sécurité TIC des infrastructures : limites Aspects méthodologique Perspectives SINARI 19 Juin 2012 Club Automation P 2
1. Présentation du projet SINARI SINARI 19 Juin 2012 Club Automation P 3
Présentation du projet SINARI CONTEXTE Fragilisation des systèmes critiques et/ou vitaux notamment par l accroissement de leur accessibilité suite à des défaillances malencontreuses ou intrusions malveillantes La réalité de la menace est prouvée par des exemples récents Les gouvernements prennent des dispositions quant à la gestion des ressources vitales ex En France : l'etat demande à chaque opérateur d Activités d Importance Vitale (AIV) (Infrastructures Critiques) : o d'identifier les points sensibles (PS) et les installations d'importance vitale (IIV) et o de les faire connaître à l'administration la protection des PS revient à l'opérateur selon les règles de l'etat Directives nationales de sécurité (DNS), Plan de Sécurité Opérateur (PNO) L'opérateur propose un Plan Particulier de Protection (PPP) SINARI 19 Juin 2012 Club Automation P 4
Présentation du projet du projet SINARI SINARI SINARI : Sécurité des Infrastructures et Analyse des Risques Apporter des solutions pour améliorer la sécurité des infrastructures de réseaux électriques et de communication SINARI 19 Juin 2012 Club Automation P 5
Présentation du projet SINARI 6 étapes clefs : 1 Etude des scénarios de vulnérabilité des infrastructures d énergie couplées à leur infrastructure TIC [Technologies de l Information et de la Communication] à court et moyen terme Etablir la description fonctionnelle des cas d étude 2 Compréhension et modélisation des interdépendances des réseaux face aux défaillances Modéliser l interdépendance entre réseaux électriques et de communication 3 Analyse des risques sur les infrastructures d énergie couplées à leur infrastructure TIC Identifier parmi les évènements redoutés fonctionnels, évaluer leur probabilité, et proposer une métrique de la gravité SINARI 19 Juin 2012 Club Automation P 6
Présentation du projet SINARI 4 Identifier les stratégies de défense et de sécurité informatique Maquette logicielle permettant de valider en pratique les propriétés affectées aux systèmes 5 Evaluation des résultats pour les appliquer à des solutions industrielles existantes : SCADA, système de contrôle-commande, équipements en réseau distant monté sur une plateforme d essai Choix des solutions industrielles retenues, implémentation de parades et évaluation 6 Extension aux Smart Grids Etude des architectures et des systèmes de télé-conduite des réseaux du futur SINARI 19 Juin 2012 Club Automation P 7
Présentation du projet SINARI 6 partenaires EDF R&D Telecom Paris Tech Département MIRE Département SINETICS INP G2Elab (laboratoire à Grenoble) CEA LIST LSC Laboratoire des Systèmes Communicants LSL : Laboratoire de Sûreté Logicielle FP-Conseil Atos WorldGrid Sous le Contrôle de l Agence Nationale de la Recherche et de l UTT (Université de Technologie de Troyes) SINARI 19 Juin 2012 Club Automation P 8
2. Sécurité TIC des infrastructures : limites SINARI 19 Juin 2012 Club Automation P 9
Sécurité TIC des infrastructures massive & simple statistical security traditional ICT security huge & virtual & inextricable semantic security for complexity RFIds Scarce resources Short Messages Nano-computers Nano-objects Computers Handheld Phones PDA Information systems Networks Grids Knowledge bases Infrastructures 100 Giga 5 Giga 1 Mega 1kilo Global computing Metasystems unit cost headcount SINARI 19 Juin 2012 Club Automation P 10
Sécurité TIC des infrastructures Sécurité du gigantesque Sécurité conformité Aucune méthode suffisante n'est connue Gigantesque = inextricable Passage à l'échelle Toute modélisation est incomplète Hypothèses simplificatrices Beaucoup de paramètres sont inconnus Absence de données réelles Ignorance des propriétés émergeantes (ou de leur existence) Il faut prévoir la composante inconnue SINARI 19 Juin 2012 Club Automation P 11
Sécurité TIC des infrastructures Le domaine de recherche a besoin des données sur les dépendances pour pouvoir analyser, modéliser et améliorer la situation, trouver des points critiques, etc o Or, de telles données sont classées comme confidentielles o Sinon elles ne sont ni collectées, ni requises, ni connues Le système global devient dynamique, alors que les systèmes individuels sont «optimisés» => besoin de mesures en temps proche du réel Un opérateur isolé est incapable d'analyser les dépendances, même s'il le voulait (vision restreinte) Tant qu'il n'y a pas de moyens d'analyse, les opérateurs ne comprennent pas le problème global. D'ailleurs, on ne peut pas leur montrer des améliorations SINARI 19 Juin 2012 Club Automation P 12
Sécurité TIC des infrastructures Ouverture des systèmes ; interconnexions entre systèmes SINARI 19 Juin 2012 Club Automation P 13
3. Aspects méthodologique SINARI 19 Juin 2012 Club Automation P 14
Aspects méthodologique Limites de la méthodologie de sécurisation actuelle Actuellement : Risques x Vulnérabilité x Capacités d'attaquant => Menaces» Analyse des risques - Description de l'environnement Hypothèses, (confiance), modèle d'attaquant Usage normal vs. menaces, attaques» Mène aux objectifs de sécurité - Traduits en politique de sécurité et fonctions de sécurité - Réalisés par une architecture de sécurité, avec des mécanismes de sécurité Problèmes» En pratique (point de vue opérationnel) - L'analyse de risques est insuffisamment corrélée avec la réalité opérationnelle» En théorie - Aucune méthode d'analyse de risques ne prend en compte les aspects nouveaux des CI - Les CI sont omniprésentes: difficile de délimiter la frontière entre CI et environnement - Les CI influent sur leur environnement, elles le transforment - Les CI ne sont pas seules, mais co-existent, à des rythmes différents SINARI 19 Juin 2012 Club Automation P 15
Power ICT Generic Method 1. Identi-fication 2. Causal analysis 3. Conseq. analysis 4. Eval. 5. Red./ control Life time assessment Scenario Expert judgement FMEA/FMECA Scorecard FTA RBD HAZOP Cause and effect diagram Monte Carlo Event Tree Flow analysis Cost benefit Risk matrix Risk acceptance criteria MCDA CORAS EBIOS VAMM Common vuln. Listing Fuzzying Code review Security audit/ p. test INSAW OCTAVE CRAMM Fuzzying Reverse engineering Common criteria SAMREL Contingency analysis PROMAPS PSA Liisa Pottonen Power flow Power system Dynamic analysis Power system market model OPAL SINARI 19 Juin 2012 Club Automation P 16
Aspects méthodologique : synthèse Méthode Domaine Compatibilité Mise en œuvre MEHARI Sécurité informatique d une entreprise ISO/IEC 27002, ISO/IEC 27001, ISO/IEC 27005 Guides gratuits Logiciel sous licence RUSICARE EBIOS Sécurité au niveau du système d information seulement ISO 31000, ISO/IEC 27005, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 15408 Guides et logiciels gratuits OCTAVE Sécurité des ressources et informations (actifs) opérationnelles de l entreprise ISO/IEC 17799 Guides et logiciels gratuits (par simple inscription) CRAMM Analyse et gestion des risques des systèmes d information BS7799 2005 et ISO/IEC 27001 Guides, bases de connaissances, logiciels et formations payants (Insight Consulting au Royaume-Uni) SQUARE Sécurité informatique : conception d architecture sécurisée - Guides et logiciels gratuits SINARI 19 Juin 2012 Club Automation P 17
18 4. Approches de SINARI SINARI 19 Juin 2012 Club Automation P 18
Approches de SINARI Problème des dépendances mutuelles Les dépendances entre réseaux sont de nouvelles vulnérabilités Caractériser les interactions unitaires et réfléchir aux effets d avalanche Généralisation possible : dépend fortement du métier et des technologies TIC utilisées (notamment opérateur télécom) Connaissance opérationnelle des interactions entre acteurs réseau social dédié, sécurisé, fermé et réparti Création de la modélisation à partir des usages (id Google) Généralisation possible : fournisseur, intégrateur, exploitant, propriétaire SINARI 19 Juin 2012 Club Automation P 19
Approches de SINARI Application d une métrique de sécurité sur les biens support SINARI 19 Juin 2012 Club Automation P 20
Approches de SINARI 21 Graphe de dépendances : Exemple 1 Attaque de déni de service, virus Vraisemblance forte Agent maladroit Commande erronée Non fiabilité de l IHM Effet cascade Gravité négligeable Vraisemblance minime Vraisemblance forte Risque d électrocution Non fiabilité de la passerelle Non fiabilité de la tranche Non fiabilité du disjoncteur Effet aggravation Dommage physique sur agent de maintenance Gravité négligeable, limitée Gravité critique Vraisemblance minime SINARI 19 Juin 2012 Club Automation P 21
Approches de SINARI Utilisation des réseaux complexes: Ils sont utilisés pour : la modélisation des systèmes complexes dans plusieurs domaines. l'analyse des différents phénomènes (en cascade). l étude de la fiabilité, la sécurité et la vulnérabilité des réseaux électriques. l'extraction de caractéristiques topologiques telles que le degré d'interconnexion et la distance entre les paires de nœuds. SINARI 19 Juin 2012 Club Automation P 22
Complex Network Modeling SINARI 19 Juin 2012 Club Automation P 23
Approches de SINARI Montage d une plateforme d un système réel réseau de distribution électrique automatismes locaux réseau de télé communication centre de contrôle (SCADA) Architecture fonctionnelle générale du système simulé Outil de simulation de réseau de distribution électrique automatismes locaux Outil d émulation de réseau de télé communication centre de contrôle (SCADA) SINARI 19 Juin 2012 Club Automation P 24
5. Perspectives SINARI 19 Juin 2012 Club Automation P 25
Perspectives Prise en compte du contexte Enrichissement des essais usine pour prendre en en compte la sécurité TIC Différence de l approche entre défaillance sur panne et dysfonctionnement causé par une attaque Surveillance du comportement des équipements en temps réel en parallèle de la surveillance fonctionnelle : IDS métier. SINARI 19 Juin 2012 Club Automation P 26
Perspectives De la protection vers la détection Détection des problèmes IDS (Système de détection d intrusion) métier, IDS électrique - IDS actuels spécifiques à l informatique, télécoms, etc. - Détecter des événements particuliers dans le domaine électrique - Combiner la réalité opérationnelle du métier avec les événement du contrôle opérationnel. - Constituer une base de signatures pour les nouvelles normes dans les systèmes électriques - Comportemental/anomalie: l approche pourrait marcher ici, car il y a une base de réalité physique en dessous Nécessite un système d apprentissage comportemental lié à l opérationnel Englobe la sûreté de fonctionnement et la cyber sécurité. SINARI 19 Juin 2012 Club Automation P 27
Questions SINARI 19 Juin 2012 Club Automation P 28