Dependability methodology for the cyber-security in cyber-physical systems
Méthodologie orientée sûreté de fonctionnement pour la cybersécurité des systèmes de contrôle-commande
Résumé
The modern ICSs (Industrial Control Systems) are based primarily on Operational Technologies (OTs) that have been inherited from a wide variety of Information Technologies (ITs). In order to ensure the ICSs requirements, several of ITs have been designed or adapted. These technologies are sometimes badly adapted or in some cases they are used with their vulnerabilities for cost reasons (use Commercial Off-The-Shelf products). As a result, new vulnerabilities appeared, and most of them have not been considered in the design phase. Therefore, their ranking, prioritizing and mitigating risks are a crucial task for organizations and researchers that are involved with the security and safety of ICSs systems.The focus of this thesis is to address the cyber security challenges that these systems face. It discusses the features of the ICS threat environment and align safety and security risk analysis. In fact, the first problem in security risk analyzes is determining the likelihood of the cyber-attacks. The use likelihood in security analysis is not practical and sometimes does not make sense. Therefore, this prevents the research community from using a panoply of methods that exist in the field of safety because they are based on the use of probabilities.As a consequence, we introduce a new vulnerability scoring system, called ICVSS (Industrial Control Vulnerability Scoring System). The methodology uses different approaches to score vulnerabilities in ICS, taking into account their characteristics. The ICVSS not only makes possible to assess the vulnerability or to ease the communication between the safety and security teams, but also it is a good alternative to replace the likelihood in order to be able to use these safety methods. Moreover, a new approach to co-analysis and co-assessment of safety and security is presented.
Les ICSs (Systèmes de Contrôle Industriels) modernes sont basés principalement sur des Technologies Opérationnelles (OTs) héritées d'une grande variété de Technologies de l'information (ITs). Ils remplissent des fonctions vitales dans les systèmes critiques, telles que la distribution d'énergie électrique, la distribution de pétrole et de gaz naturel. Ils sont également au cœur des dispositifs médicaux, des systèmes d'alarmes et de la gestion des transports.Cependant, ces technologies sont parfois mal adaptées ou, dans certains cas, elles sont utilisées avec leurs vulnérabilités pour des raisons de coûts (utilisation de produits commerciaux disponibles sur le marché (Commercial off-the-shelf COTS)). En conséquence, de nouveaux risques sont apparus qui pourraient influencer la sécurité innocuité (SAF) et sécurité immunité (SEC). Parmi ces risques, la plupart n'ont pas été pris en compte lors de la phase de conception.Nous pouvons noter plusieurs similitudes entre la sécurité-innocuité (safety) et la sécurité-immunité (security) en termes d'évaluation des risques. Ce que l'on appelle dangers en matière de SAF, ce sont des menaces à la SEC. Depuis longtemps, nous nous focalisons sur la sécurité-innocuité reliée aux pannes accidentelles. Aujourd’hui, la sécurité-innocuité pourrait être menacée par la branche de sécurité-immunité et les cyberattaques. Dans ce cas, toutes les techniques utilisées dans l' étude de la SAF reliées aux dangers accidentels sont remises en question, car nous sommes en face d'un facteur humain qui est très difficile à modéliser ou d'en prédire le comportement (menace intentionnelle). Ces dernières années, l'évaluation des probabilités des cyberattaques dans les systèmes de contrôle industriel (ICSs) est la partie la plus controversée et subjective. En particulier, pour les industries hautement réglementées et les industries critiques, c'est un problème majeur, car il faut souvent faire des estimations des risques pour des paramètres subjectifs tels que la motivation de l'attaquant. Il a déjà été démontré qu'une approche probabiliste quantitative n'est pas réalisable. De plus, les menaces changent de manière continue et de nouvelles vulnérabilités sont publiées chaque jour, cela doit être accompagné par un changement des évaluations des risques. Il est donc très important d'évaluer les niveaux de risques, en priorisant les vulnérabilités du ICS en fonction leur niveau de gravité.L'objectif de cette thèse est de relever les défis de la cybersécurité auxquels ces systèmes industriels sont confrontés. Elle examine les caractéristiques de l'environnement des ICSs et aligne l'analyse des risques de sécurité-innocuité et de sécurité-immunité. Les systèmes de notation de la vulnérabilité comme l'ICVSS (Industrial Control Vulnerability Scoring) ou le CVSS (Common Vulnerability Scoring System) permettent non seulement d'évaluer la vulnérabilité ou de faciliter la communication entre les équipes de sécurité, mais constituent également une bonne alternative pour remplacer les probabilités afin de pouvoir utiliser les méthodes existantes pour modéliser la sécurité-innocuité. Cette thèse présente une nouvelle approche de co-évaluation de la SEF/SEC conforme aux normes utilisées dans la sûreté de fonctionnement des ICSs.
Origine : Version validée par le jury (STAR)