Analyse de cause racine pour des cyberattaques maritimes

12 Apr 2023
these, recrutement, offre

Analyse de cause racine pour des cyberattaques maritimes

 

Introduction

Les systèmes maritimes évoluent pour devenir plus intelligents et plus connectés grâce à la révolution de l’industrie 4.0. En raison de cette numérisation, la cybersécurité est devenue une grande préoccupation pour le domaine maritime et soulève des questions nouvelles et difficiles. Ainsi, nous devons être prêts à détecter, comprendre et répondre à une grande variété inconnue de cyberattaques et de dysfonctionnements [1-2]. Aujourd’hui, la connaissance de la situation maritime en matière de cybersécurité (Cyber Situational Awareness Maritime) [3] repose sur des indicateurs, des mesures, des données collectées à partir de capteurs et d’alarmes, bien qu’il soit actuellement impossible de comprendre pleinement les causes précises de tous les événements potentiels en matière de cybersécurité. L’une des principales raisons est que seules les conséquences de ces événements sont directement vécues ou observées, en ignorant à ce moment-là quelles en étaient les causes et le contexte associé. Par exemple, nous pouvons savoir que la position GNSS (Global Navigation Satellite System) a été perdue grâce à l’alerte d’un ECDIS (Electronic Chart Display and Information System), mais nous ne pouvons pas déterminer si la cause est une attaque de brouillage ou un dysfonctionnement interne ou si le navire se trouve dans une zone blanche. En outre, un seul dysfonctionnement peut déclencher de nombreuses alarmes, ce qui rend difficile la compréhension de la situation.

L’analyse des causes racines ou Root Cause Analysis en anglais (RCA) est une approche fréquemment appliquée pour comprendre les événements défectueux complexes dans des domaines tels que l’analyse des systèmes et des accidents, les télécommunications et les processus industriels [4]. Il s’agit d’une technique qui recherche l’origine d’un problème réel, en appliquant une approche méthodologique pour déterminer comment il est produit, en différenciant les facteurs de causalité. La RCA dans les incidents de cybersécurité maritime sera utile aux SIEM (Security Information & Event Management) pour agréger les événements, produire des réponses pertinentes, fournir les premiers retours et explications qui aideront l’équipage et les experts en cybersécurité à prendre les bonnes décisions. Pour atteindre cet objectif, les SIEM devraient tenir compte des systèmes maritimes des technologies de l’information (IT) et des technologies opérationnelles (OT), de la bande passante de transmission, des vulnérabilités connues, des incidents passés dans le domaine maritime et des situations à risque adaptées aux conditions opérationnelles, entre autres.

De plus, nous pensons qu’au-delà de l’analyse classique des effets visibles et du déploiement de mesures correctives pour éviter des incidents similaires, il est nécessaire de capitaliser les causes possibles, dans le but de collecter des connaissances pour améliorer la détection et la compréhension des cyberattaques en fonction des informations contextuelles et des connaissances sur l’infrastructure technique, ainsi que des informations complémentaires provenant d’autres capteurs. Cette thèse cherchera comment intégrer les éléments pertinents de RCA, les informations contextuelles et les connaissances sur l’infrastructure technique, pour étudier les cyberattaques navales, développer un outil pour appliquer le modèle résultant, et améliorer la compréhension des mesures de protection.

Question de recherche

Largement appliquée dans d’autres domaines, la RCA a été explorée en sécurité de l’information [5] et étudiée dans le domaine maritime, par exemple pour examiner les accidents de navigation [6-8] et leurs conséquences économiques [9]. Cependant, ces travaux n’ont pas abordé de questions relevant de la cybersécurité maritime. Nous sommes particulièrement intéressés par la définition d’une méthodologie d’analyse pour examiner les cyber-attaques navales du point de vue de la RCA. Pour cette raison, la principale question de recherche à laquelle cette thèse de doctorat entend répondre est la suivante : quelles sont les caractéristiques d’un modèle RCA pour la cybersécurité maritime, intégrant le contexte situationnel et les connaissances sur l’infrastructure technique, afin de fournir des évaluations pour l’aide à la décision en matière de cyber-awareness ?

Compte tenu du cadre précédent et en s’appuyant sur une caractérisation fonctionnelle préliminaire des systèmes informatiques et télématiques des navires, cette thèse abordera les aspects suivants de la question de recherche :
• Cartographie des alarmes et indicateurs existants qui participent à un scénario de cyber-crise maritime.
• RCA d’incidents connus [10] et de scénarios potentiels de vulnérabilités identifiées, selon des approches de représentation, des mesures de quantification, une exploitation des représentations basée sur la connaissance, et un raisonnement.
• Comparaison de ces incidents RCA documentés à un modèle comme la Cyber kill chain [11] et une base de connaissance comme la matrice MITRE ATT&CK [12].
• Définir des stratégies adaptées d’agrégation et de propagation des événements [13].
• Évaluer l’intégration de la représentation du contexte au modèle proposé.
• Établir la fonction de la représentation des connaissances sur les composants de l’infrastructure technique et son intégration au modèle.
• Définir des stratégies de sécurité basées sur RCA.
• Proposer des indicateurs nouveaux ou adaptés pour partager des informations pertinentes entre les différents acteurs afin d’améliorer la connaissance de la situation globale de la cybersécurité [14], concernant les conditions critiques d’une cyberattaque, ainsi que pour catégoriser les alarmes, afin d’évaluer les ensembles de causes qui produisent des ensembles de conséquences.
• Combiner les indicateurs définis avec les normes existantes telles que le protocole NMEA [15] ou la cartographie S-100 [16].
• Intégrer tous les résultats précédents pour conceptualiser un modèle RCA pour la cybersécurité maritime.
• Définir et mettre en œuvre des scénarios de cyberattaque en utilisant les installations et/ou simulateurs disponibles.
• Développer, vérifier et tester un outil avec les scénarios de cyberattaque, afin d’expérimenter si le modèle défini peut contribuer à améliorer les réactions des opérateurs et/ou être utilisé dans la formation.

Références

[1a] Merino Laso, P., Brosset, D., & Puentes, J. (2017). Dataset of anomalies and malicious acts in a cyber-physical subsystem. Data in brief, 14, 186-191.
[2] Merino Laso, P., Brosset, D., & Puentes, J. (2017, July). Analysis of quality measurements to categorize anomalies in sensor systems. In 2017 Computing Conference (pp. 1330-1338). IEEE.
[3] Jacq, O., Laso, P. M., Brosset, D., Simonin, J., Kermarrec, Y., & Giraud, M. A. (2019, October). Maritime cyber situational awareness elaboration for unmanned vehicles. In Maritime Situational Awareness Workshop.
[4] Andersen, B., & Fagerhaug, T. (2006). Root cause analysis: simplified tools and techniques. Quality Press.
[5] Hellesen, N., Torres, H., & Wangen, G. (2018). Empirical case studies of the root-cause analysis method in information security. International Journal On Advances in Security, 11 (pp. 26-33).
[6] Baalisampang, T., Abbassi, R., Garaniya, V., Khan, F., & Dadashzadeh, M. (2018). Review and analysis of fire and explosion accidents in maritime transportation. Ocean Engineering, 158, 350-366.
[7] Kececi, T., & Arslan, O. (2017). SHARE technique: A novel approach to root cause analysis of ship accidents. Safety science, 96, 1-21.
[8] Barnett, M. L. (2005). Searching for the root causes of maritime casualties. WMU Journal of Maritime affairs, 4(2), 131-145.
[9] Parra Jimenez, M. F. Application of Root Cause Analysis in Marine Accident Investigation: Case Study SMIT Transport & Heavy Lift Europe, Master of Science thesis, Erasmus University Rotterdam, 2010.
[10] Advanced database of maritime cyber incidents. URL: https://gitlab.com/m-cert/admiral/
[11] Bahrami, P. N., Dehghantanha, A., Dargahi, T., Parizi, R. M., Choo, K. K. R., & Javadi, H. H. (2019). Cyber kill chain-based taxonomy of advanced persistent threat actors: Analogy of tactics, techniques, and procedures. Journal of information processing systems, 15(4), 865-889.
[12] Adversarial Tactics, Techniques, and Common Knowledge. URL: https://attack.mitre.org/
[13] Pelissero, N., Merino Laso, P., & Puentes, J. (2020, June). Naval cyber-physical anomaly propagation analysis based on a quality assessed graph. In 2020 International Conference on Cyber Situational Awareness, Data Analytics and Assessment (CyberSA) (pp. 1-8). IEEE.
[14] Zhao, H., & Silverajan, B. (2020, October). A Dynamic Visualization Platform for Operational Maritime Cybersecurity. In International Conference on Cooperative Design, Visualization and Engineering (pp. 202-208). Springer, Cham.
[15] National Marine Electronics Association (NMEA). URL: https://www.nmea.org/
[16] S100 project. URL: https://iho.int/fr/s100-project

Contacts

John Puentes
Professeur IMT Atlantique Brest
Email : john.puentes@imt-atlantique.fr

Pedro Merino Laso
Chargé de Recherche
École Nationale Supérieure Maritime (ENSM)
Email : pedro.merino-laso@supmaritime.fr