Une solution intelligente pour déjouer les cybermenaces
La sécurité des systèmes de contrôle industriels et des infrastructures sensibles ne peut désormais plus être considérée comme acquise. L’interconnexion toujours croissante, les systèmes ouverts et l’Internet des objets (IdO) soulignent la nécessité de prendre en compte les questions de cybersécurité dès la conception des systèmes. Le projet SCISSOR, financé par l’UE, propose une solution via une infrastructure de sécurité spécifique pour les architectures de systèmes d’acquisition et de contrôle de données (SCADA). La solution SCISSOR compte un certain nombre de composants, chacun ayant son importance, qui, ensembles, représentent un solide cadre de surveillance de la sécurité. Des caméras intelligentes détectent les événements et les convertissent dans un format d’échange de messages de détection d’intrusion (IDMEF) pour les inclure dans un journal. Il s’agit d’un format de données utilisé en sécurité informatique pour signaler des incidents et échanger à leur propos. Les autres couches de cette solution incluent une sonde de trafic qui détecte le trafic malveillant dans un réseau avec un protocole industriel, et un cryptage basé sur les attributs. Les deux dernières phases de développement ont porté sur les agents edge et le transfert de journaux (logs) via IDMEF, ainsi que sur des capteurs autonomes sans fil pouvant être chargés par une source d’énergie à distance. Cette dernière fonctionnalité est très importante pour masquer les contre-mesures. Une architecture globale pour des besoins mondiaux Spécialement conçue pour les réseaux intelligents, «l’infrastructure SCISSOR produit une grande quantité de logs hétérogènes issus de nos sondes industrielles, de nos événements caméra, des capteurs, de SCADA, etc.», note M. Cédric Tavernier, coordinateur de projet et expert technique en cybersécurité chez Assystem. «C’était un défi de la convertir en un format standard tel que l’IDMEF», déclare-t-il. Cependant, la gestion d’informations et d’événements de sécurité (SIEM) du projet repose sur la corrélation et la détection comportementale. Et c’est déjà un excellent résultat puisque la détection comportementale est réalisée à partir d’un réseau bayésien, qui offre plusieurs avantages pour l’analyse des données. Fait important, le résultat général est positif, et le coordinateur du projet souligne que l’architecture globale est réalistement applicable à la plupart des industries. Tavernier rapporte qu’un client important d’Assystem a déclaré: «SCISSOR est l’architecture que nous espérons pour le futur». Faire des merveilles avec des outils existants Les partenaires de SCISSOR se sont appuyés sur des méthodologies disponibles telles que l’analyse des risques EBIOS et les approches de défense en profondeur et d’isolation. La recherche a fourni des résultats neufs et promet un meilleur contrôle de la sécurité. «Nous avons personnalisé les interfaces Prelude (en utilisant la SIEM) afin de gérer efficacement les caméras et de prendre en compte les équipements spécifiques comme les capteurs», explique Tavernier. Les travaux du projet, la méthode de recherche ainsi que ses objectifs ont été divulgués dans des publications, lors de présentations et via différents médias dans différents pays. Le dernier événement auquel SCISSOR a participé était le FIC 2018, le Forum international de la Cybersécurité, organisé en France. Cybersécurité 24/7: Pas de sommeil pour les malveillants, ni pour ceux qui nous en protègent Garantir la cybersécurité signifie suivre et faire avancer les phases de développement, c’est pourquoi les partenaires de SCISSOR s’y engagent également. La recherche autour des systèmes d’authentification et, en particulier, sur le chiffrement par attributs les a poussé à se consacrer davantage à ce domaine. L’équipe du projet continuera à travailler dans le cadre de l’initiative Irt-SystemX. Il s’agit d’un projet IdO qui vise à développer une méthode efficace pour la protection des capteurs et qui a offert d’héberger l’initiative OpenSCISSOR. «Les principes utilisés dans le cadre de SCISSOR correspondent au besoin de l’industrie de protéger la ligne de production, les réseaux intelligents, l’IdO, etc.», souligne Tavernier, qui ajoute: «C’est pourquoi Assystem continuera de promouvoir SCISSOR et tentera de vendre cette architecture». Bien que SCISSOR ait été consacré aux SCADA et à la protection des réseaux intelligents, le coordinateur du projet a souligné qu’il s’agissait clairement d’un projet IdO soutenant des idées très intéressantes pour l’IdO de demain. Dans ce contexte, les partenaires ont également travaillé avec attention sur le potentiel évolutif de l’architecture développée par le projet pour les très grands réseaux intelligents.
Mots‑clés
SCISSOR, IdO, réseau intelligent, SCADA, cybersécurité, contrôle de la sécurité, Format d’échange de messages de détection d’intrusion (IDMEF), SIEM, acquisition de données
