Détection d’intrusion pour les systèmes numériques industriels
Cybersécurité des installations industrielles - Défendre ses systèmes numériques
-
- R$ 19,90
-
- R$ 19,90
Publisher Description
Les systèmes numériques industriels ont des caractéristiques qui empêchent l’utilisation
de méthodes classiques provenant d’autres systèmes d’information, notamment
de gestion ou Internet.
En premier lieu, les systèmes industriels ont une durée de vie souvent très supérieure
à d’autres systèmes d’information. Ceci a deux conséquences. La première est qu’il
existe beaucoup de systèmes dans lesquels la cybersécurité n’a pas encore été prise en
compte et pour lesquels il faudra proposer des mécanismes pour améliorer la situation
sans devoir repenser le système en profondeur. La deuxième est que la conception des
nouveaux systèmes devra prendre en compte le caractère évolutif de la menace.
En second lieu, on peut remarquer que les systèmes industriels ne peuvent pas
évoluer aussi facilement que les systèmes d’information de gestion. Ils ont souvent des
besoins très forts en disponibilité et certaines opérations ne peuvent être conduites
que pendant des phases de maintenance programmées. À titre d’exemple, il n’est pas
possible de mettre à jour le firmware d’un automate dès qu’une vulnérabilité a été
publiée. Il faudra attendre la phase de maintenance suivante et l’opérateur voudra avoir
l’assurance que cette mise à jour n’aura pas d’impact sur le fonctionnement du système
industriel.
Enfin, on peut remarquer que, dans la plupart des cas, un système industriel a un
comportement très bien spécifié et que celui-ci évolue peu ou pas au cours du temps.
Il est donc, a priori, possible de décrire très précisément le comportement attendu et
de détecter toute déviation par rapport à celui-ci.
L’objectif principal des systèmes de détection d’intrusion (ou IDS1) est de repérer
les activités illégales dans un système d’information et de les signaler à un opérateur.
On appelle activité illégale dans un système d’information la violation de la politique de
sécurité du système d’information en termes de confidentialité, intégrité ou disponibilité.
Une intrusion est une activité illégale qui consiste à accéder à un système de traitement
automatisé de données, le plus souvent de façon illégitime, pour y procéder à des opérations
illicites. Les attaques sont l’ensemble des tentatives d’intrusion que celles-ci soient
réussies ou non. Dans le cas des systèmes industriels, on se concentrera en adéquation
de l’analyse des risques2, en premier lieu sur les attaques sur l’intégrité ou la disponibilité.
Pour toutes les caractéristiques précédentes des systèmes industriels, la détection
d’intrusion représente une solution intéressante. Ainsi, à défaut de pouvoir sécuriser les
systèmes industriels existants, la détection d’intrusion permet d’augmenter la visibilité sur
ces systèmes. Par ailleurs, de par son caractère peu intrusif, il est possible de faire évoluer
rapidement la configuration d’un système de détection d’intrusion sans faire évoluer la
configuration du système industriel surveillé. Ceci permet de gagner en réactivité en cas
d’évolution de la menace ou en cas de découverte d’une nouvelle vulnérabilité.