Détection d’intrusion pour les systèmes numériques industriels

Les systèmes numériques industriels ont des caractéristiques qui empêchent l’utilisation

de méthodes classiques provenant d’autres systèmes d’information, notamment

de gestion ou Internet.

En premier lieu, les systèmes industriels ont une durée de vie souvent très supérieure

à d’autres systèmes d’information. Ceci a deux conséquences. La première est qu’il

existe beaucoup de systèmes dans lesquels la cybersécurité n’a pas encore été prise en

compte et pour lesquels il faudra proposer des mécanismes pour améliorer la situation

sans devoir repenser le système en profondeur. La deuxième est que la conception des

nouveaux systèmes devra prendre en compte le caractère évolutif de la menace.

En second lieu, on peut remarquer que les systèmes industriels ne peuvent pas

évoluer aussi facilement que les systèmes d’information de gestion. Ils ont souvent des

besoins très forts en disponibilité et certaines opérations ne peuvent être conduites

que pendant des phases de maintenance programmées. À titre d’exemple, il n’est pas

possible de mettre à jour le firmware d’un automate dès qu’une vulnérabilité a été

publiée. Il faudra attendre la phase de maintenance suivante et l’opérateur voudra avoir

l’assurance que cette mise à jour n’aura pas d’impact sur le fonctionnement du système

industriel.

Enfin, on peut remarquer que, dans la plupart des cas, un système industriel a un

comportement très bien spécifié et que celui-ci évolue peu ou pas au cours du temps.

Il est donc, a priori, possible de décrire très précisément le comportement attendu et

de détecter toute déviation par rapport à celui-ci.

L’objectif principal des systèmes de détection d’intrusion (ou IDS1) est de repérer

les activités illégales dans un système d’information et de les signaler à un opérateur.

On appelle activité illégale dans un système d’information la violation de la politique de

sécurité du système d’information en termes de confidentialité, intégrité ou disponibilité.

Une intrusion est une activité illégale qui consiste à accéder à un système de traitement

automatisé de données, le plus souvent de façon illégitime, pour y procéder à des opérations

illicites. Les attaques sont l’ensemble des tentatives d’intrusion que celles-ci soient

réussies ou non. Dans le cas des systèmes industriels, on se concentrera en adéquation

de l’analyse des risques2, en premier lieu sur les attaques sur l’intégrité ou la disponibilité.

Pour toutes les caractéristiques précédentes des systèmes industriels, la détection

d’intrusion représente une solution intéressante. Ainsi, à défaut de pouvoir sécuriser les

systèmes industriels existants, la détection d’intrusion permet d’augmenter la visibilité sur

ces systèmes. Par ailleurs, de par son caractère peu intrusif, il est possible de faire évoluer

rapidement la configuration d’un système de détection d’intrusion sans faire évoluer la

configuration du système industriel surveillé. Ceci permet de gagner en réactivité en cas

d’évolution de la menace ou en cas de découverte d’une nouvelle vulnérabilité.