Jolahn VAUDEY

Résumé 

Les systèmes de contrôle industriels, ou ICS (Industrial Control Systems), deviennent de nos jours des cibles privilégiées pour les cyberattaques. 
Cette recrudescence des attaques s'explique à la fois par leur importance économique, et par l'introduction de failles de sécurité liées à la connexion au monde extérieur.
Ces risques entraînent le développement de méthodes de défense innovantes, afin de détecter les intrusions et de limiter leur impact. Si la détection des intrusions est un champ de recherche très actif, la question des réactions aux attaques détectées est moins mature.
    
Dans cette thèse, nous présentons un mécanisme de défense contre les intrusions, sous la forme d'une boucle de réaction. Ce travail s'articule autour de deux contributions principales.
    
Premièrement, nous nous appuyons sur la série de normes CEI 62443, et plus précisément sur le modèle Zone/Conduit qui y est préconisé pour le développement des ICS.
En l'absence de formalisme adapté dans la littérature scientifique, nous présentons la création d'un langage spécifique de modélisation, permettant de décrire des systèmes suivant ce modèle.
L'adaptation du modèle Zone/Conduit issu de la série de normes CEI 62443 est discutée, en abordant les éléments qui y sont présents, la grammaire correspondante, et les vérifications nécessaires à réaliser sur l'arbre syntaxique pour remplir les exigences décrites dans ces normes.
Nous décrivons également les éditeurs textuels et graphiques permettant de modifier les instances de ce langage.
    
Ensuite, en exploitant ce format de description de systèmes, la boucle de réaction proprement dite a été mise en place. Celle-ci est déclenchée par la détection d'un appareil compromis. Ce dernier est alors isolé, et un contrôleur de reconfiguration cherche une nouvelle configuration maximisant la disponibilité du système, en migrant les applications qui y étaient exécutées vers d'autres composants sains. Plusieurs implémentations de ce contrôleur sont présentées. Certaines utilisent la résolution en ligne de programmes linéaires ou par contraintes, d'autres emploient des méthodes heuristiques exécutées en temps fixe. D'autres parties de la boucle de réaction sont évoquées, telles que la mise en place des capacités de reconfiguration au sein des applications industrielles, la création conjointe de gestionnaires de sauvegarde - permettant le transfert de contextes d'exécution et la reconfiguration des pare-feux suite aux migrations d'applications.
    
Ce mécanisme de reconfiguration est évalué, en premier lieu, sur un cas d'usage physique : une maquette Fischertechnik contrôlée par des automates industriels. Cette installation permet de valider notre approche sur un cas concret, mais n'est pas de taille suffisante pour évaluer toutes les modalités de la reconfiguration. Dans cet objectif, des modèles synthétiques d'ICS de tailles et caractéristiques variées sont également créés, permettant notamment de vérifier l'évolution des temps de réaction lors du passage à l'échelle. Les résultats observés témoignent de la rapidité du mécanisme de reconfiguration sur notre cas d'usage concret, permettant de maintenir le système sous contrôle à mesure que les appareils sont compromis. Les problèmes synthétiques de grandes tailles donnent lieu à des temps de résolution trop longs, ne permettant pas une réaction en temps réel. Cela motive, alors, l'utilisation de méthodes heuristiques ou de contrôleurs pré-calculés.