IA hybride pour l'analyse de cause racine des cyberattaques maritimes

08 Apr 2024
these, recrutement, offre

IA hybride pour l’analyse de cause racine des cyberattaques maritimes

 

Introduction

Les systèmes maritimes évoluent pour devenir plus intelligents et plus connectés grâce à la révolution de l’industrie 4.0. En raison de cette numérisation, la cybersécurité est devenue une grande préoccupation pour le domaine maritime et soulève des questions nouvelles et difficiles. Ainsi, nous devons être prêts à détecter, comprendre et répondre à une grande variété inconnue de cyberattaques et de dysfonctionnements [1-2]. Aujourd’hui, la connaissance de la situation maritime en matière de cybersécurité (Cyber Situational Awareness Maritime) [3] repose sur des indicateurs, des mesures, des données collectées à partir de capteurs et d’alarmes, bien qu’il soit actuellement impossible de comprendre pleinement les causes précises de tous les événements potentiels en matière de cybersécurité. L’une des principales raisons est que seules les conséquences de ces événements sont directement vécues ou observées, en ignorant à ce moment-là quelles en étaient les causes et le contexte associé. Par exemple, nous pouvons savoir que la position GNSS (Global Navigation Satellite System) a été perdue grâce à l’alerte d’un ECDIS (Electronic Chart Display and Information System), mais nous ne pouvons pas déterminer si la cause est une attaque de brouillage ou un dysfonctionnement interne ou si le navire se trouve dans une zone blanche. En outre, un seul dysfonctionnement peut déclencher de nombreuses alarmes, ce qui rend difficile la compréhension de la situation.

L’analyse des causes racines ou Root Cause Analysis en anglais (RCA) est une approche fréquemment appliquée pour comprendre les événements anormaux complexes dans des domaines tels que l’analyse des systèmes et des accidents, les télécommunications et les processus industriels [4]. Il s’agit d’une technique qui recherche l’origine d’un problème réel, en appliquant une approche méthodologique pour déterminer comment il est produit, en différenciant les facteurs de causalité.
La RCA dans les incidents de cybersécurité maritime sera utile aux SIEM (Security Information & Event Management) pour agréger les événements, produire des réponses pertinentes, fournir les premiers retours et explications qui aideront l’équipage et les experts en cybersécurité à prendre les bonnes décisions. Pour atteindre cet objectif, les SIEM devraient tenir compte des systèmes maritimes des technologies de l’information (IT) et des technologies opérationnelles (OT), de la bande passante de transmission, des vulnérabilités connues, des incidents passés dans le domaine maritime et des situations à risque adaptées aux conditions opérationnelles, entre autres. Pour pouvoir faire face à cette grande quantité de variables, l’Intelligence Artificielle (IA) paraît une solution adaptée. Cependant, des moteurs des règles, des bases de connaissances et le raisonnement symbolique, seront nécessaires pour guider les algorithmes d’apprentissage automatique à donner des solutions mieux maitrisées donnant lieu à de l’IA hybride.

De plus, nous pensons qu’au-delà de l’analyse classique des effets visibles et du déploiement de mesures correctives pour éviter des incidents similaires, il est nécessaire de capitaliser les causes possibles, dans le but de collecter des connaissances pour améliorer la détection et la compréhension des cyberattaques en fonction des informations contextuelles et des connaissances sur l’infrastructure technique, ainsi que des informations complémentaires provenant d’autres capteurs. Développant une IA hybride adaptée, cette thèse cherchera comment intégrer les éléments pertinents de RCA, les informations contextuelles et les connaissances sur l’infrastructure technique pour étudier les cyberattaques navales, développer un outil pour appliquer le modèle résultant, et améliorer la compréhension des mesures de protection.

Question de recherche

Largement appliquée dans d’autres domaines, la RCA a été explorée en sécurité de l’information [5] et étudiée dans le domaine maritime, par exemple pour examiner les accidents de navigation [6-8] et leurs conséquences économiques [9]. Cependant, ces travaux n’ont pas abordé de questions relevant de la cybersécurité maritime. Nous sommes particulièrement intéressés par la définition d’une méthodologie d’analyse basée sur une IA hybride pour examiner les cyber-attaques navales du point de vue de la RCA. Pour cette raison, la principale question de recherche à laquelle cette thèse de doctorat entend répondre est la suivante : quelles sont les caractéristiques d’un modèle RCA pour la cybersécurité maritime, en utilisant une IA hybride intégrant le contexte situationnel et les connaissances sur l’infrastructure technique, afin de fournir des évaluations pour l’aide à la décision en matière de cyber-awareness ?

Compte tenu du cadre précédent et en s’appuyant sur une caractérisation fonctionnelle préliminaire des systèmes informatiques et télématiques des navires, cette thèse pourra aborder les aspects suivants de la question de recherche :

  • RCA d’incidents connus [10] et de scénarios potentiels de vulnérabilités identifiées, selon des approches de représentation, des mesures de quantification, une exploitation des représentations basée sur la connaissance, et du raisonnement associé.
  • Comparaison de ces incidents RCA documentés à un modèle comme la Cyber kill chain [11] et une base de connaissance comme la matrice MITRE ATT&CK [12].
  • Définir des stratégies adaptées d’agrégation et de propagation des événements [13].
  • Définir un modèle d’IA hybride [14-16] adapté à la RCA, ainsi que les indicateurs de qualité et d’évaluation associés.
  • Évaluer l’intégration de la représentation du contexte au modèle proposé.
  • Établir la fonction de la représentation des connaissances sur les composants de l’infrastructure technique et son intégration au modèle.
  • Définir des stratégies de sécurité basées sur la stratégie RCA définie.
  • Intégrer tous les résultats précédents pour conceptualiser un modèle RCA pour la cybersécurité maritime.
  • Définir et mettre en œuvre des scénarios de cyberattaque en utilisant les installations et/ou simulateurs disponibles.
  • Développer, vérifier et tester un outil avec les scénarios de cyberattaque, afin d’expérimenter si le modèle défini peut contribuer à améliorer les réactions des opérateurs et/ou être utilisé dans la formation spécialisée.

Profil

  • Master 2 ou diplôme d’ingénieur dans le domaine de l’informatique.
  • Connaissances en cybersécurité
  • Expérience avec des algorithmes d’IA
  • Curiosité pour le monde de la recherche

Les travaux de ce poste sont susceptibles d’être conditionnés par l’obtention d’une habilitation de la défense nationale.

Références

[1a] Merino Laso, P., Brosset, D., & Puentes, J. (2017). Dataset of anomalies and malicious acts in a cyber-physical subsystem. Data in brief, 14, 186-191.
[2] Merino Laso, P., Brosset, D., & Puentes, J. (2017, July). Analysis of quality measurements to categorize anomalies in sensor systems. In 2017 Computing Conference (pp. 1330-1338). IEEE.
[3] Jacq, O., Laso, P. M., Brosset, D., Simonin, J., Kermarrec, Y., & Giraud, M. A. (2019, October). Maritime cyber situational awareness elaboration for unmanned vehicles. In Maritime Situational Awareness Workshop.
[4] Andersen, B., & Fagerhaug, T. (2006). Root cause analysis: simplified tools and techniques. Quality Press.
[5] Hellesen, N., Torres, H., & Wangen, G. (2018). Empirical case studies of the root-cause analysis method in information security. International Journal On Advances in Security, 11 (pp. 26-33).
[6] Baalisampang, T., Abbassi, R., Garaniya, V., Khan, F., & Dadashzadeh, M. (2018). Review and analysis of fire and explosion accidents in maritime transportation. Ocean Engineering, 158, 350-366.
[7] Kececi, T., & Arslan, O. (2017). SHARE technique: A novel approach to root cause analysis of ship accidents. Safety science, 96, 1-21.
[8] Barnett, M. L. (2005). Searching for the root causes of maritime casualties. WMU Journal of Maritime affairs, 4(2), 131-145.
[9] Parra Jimenez, M. F. Application of Root Cause Analysis in Marine Accident Investigation: Case Study SMIT Transport & Heavy Lift Europe, Master of Science thesis, Erasmus University Rotterdam, 2010.
[10] Advanced database of maritime cyber incidents. URL: https://gitlab.com/m-cert/admiral/
[11] Bahrami, P. N., Dehghantanha, A., Dargahi, T., Parizi, R. M., Choo, K. K. R., & Javadi, H. H. (2019). Cyber kill chain-based taxonomy of advanced persistent threat actors: Analogy of tactics, techniques, and procedures. Journal of information processing systems, 15(4), 865-889.
[12] Adversarial Tactics, Techniques, and Common Knowledge. URL: https://attack.mitre.org/
[13] Pelissero, N., Merino Laso, P., & Puentes, J. (2020, June). Naval cyber-physical anomaly propagation analysis based on a quality assessed graph. In 2020 International Conference on Cyber Situational Awareness, Data Analytics and Assessment (CyberSA) (pp. 1-8). IEEE.
[14] Zhao, H., & Silverajan, B. (2020, October). A Dynamic Visualization Platform for Operational Maritime Cybersecurity. In International Conference on Cooperative Design, Visualization and Engineering (pp. 202-208). Springer, Cham.
[15] National Marine Electronics Association (NMEA). URL: https://www.nmea.org/
[16] S100 project. URL: https://iho.int/fr/s100-project

Contacts

John Puentes
Professeur IMT Atlantique Brest
Email : john.puentes@imt-atlantique.fr

Pedro Merino Laso
Chargé de Recherche
École Nationale Supérieure Maritime (ENSM)
Email : pedro.merino-laso@supmaritime.fr