MoRiA : Une méthode basée sur les modèles pour l’analyse des risques de cybersécurité. Application à un système complexe de défense navale
Résumé
L’analyse de risques et l’ingénierie système travaillent sur le même sujet (le système), mais avec des points de vue et objectifs différents. Une collaboration entre ces deux domaines permettrait de regrouper les points fort inhérents à ces domaines et de renforcer la définition du contexte de l’analyse, sa cohérence globale ainsi que la prise en compte des préoccupations et les enjeux de l’un et de l’autre. C’est ici que mes travaux s’inscrivent, ils ont pour objectif de combler le fossé entre l’analyse et la modélisation des exigences fonctionnelles et non fonctionnelles du système et l’analyse et la modélisation des risques de cybersécurité analogues et leurs maintien et mise à jour tout au long de la durée de vie du système à travers sa phase de définition et de modélisation. En proposant une méthode MoRiA : Model-based Cyber Risk Analysis qui étend les méthodes d’ingénierie dirigée par les modèles existantes, adaptées et reposantes sur des normes pour permettre l’identification, l’évaluation et le traitement des cyber risques à travers les modèles.
L’ingénierie de la sécurité recherche à définir des méthodes de conception de solutions de sécurisation d’un système face à des risques, et à permettre de démontrer que le niveau de sécurité (protection, détection, réaction) est satisfaisant.
Ceci nécessite l’introduction d’ un point de vue et amène les questions suivantes à prendre en compte dans l’ingénierie des modèles :
Question ouverte de la définition des ressources et des processus critiques dans les méthodes d’analyses des risques. Sur l’intégration de ces ressources et processus permettant l’accomplissement d’une ou plusieurs fonctions contributive(s) à une mission, en tenant compte de la survivabilité (au sens continuation totale ou partielle de la fonction) et de la résilience. Faut-il intégrer directement dans le modèle la démarche analytique de définition des biens à protéger, et des conséquences d’attaque selon l’échelle classique DICT (Disponibilité, Intégrité, Confidentialité et Traçabilité) ?
Les biens et les processus à sécuriser étant identifiés, leur criticité est alors structurante pour la modélisation. Ceci amène des contraintes techniques, réglementaires et légales très significatives. En France, les données peuvent être publiques, privées, sensibles ou classifiées. Elles peuvent se voir affectées d’une mention de manipulation en restreignant l’accès à des communautés limitées : i.e. « Spécial- France”. Il existe des classifications similaires dans l’OTAN, et dans la plupart des pays. Des règles de sécurisation telles que le cloisonnement des systèmes en découlent, ainsi que les risques associés comme les risques de ‘contamination’ des canaux d’échanges d’informations sensibles. Ce point de vue est donc structurant pour la conception d’un système. Il peut aussi amener à rejeter d’emblée des évolutions techniques non éprouvées qui amèneraient à contourner ce cloisonnement.
Des capacités de sécurité doivent être intégrées dans le système modélisé pour la gestion opérationnelle de la sécurité : détection, réaction, surveillance. La spécificité du système naval intervient à travers son environnement opérationnel et la chaîne de décision.
Enfin, l’ingénierie de sécurité amène à envisager des scénarios d’attaques, et à démontrer que les mesures de sécurité techniques et organisationnelles retenues permettent d’assurer la sécurité et la protection du système en rendant ces attaques inopérantes ou d’en limiter les effets. Dans le cadre d’un système complexe de défense, la durée de vie du système le confronte à supporter de nouvelles attaques, et les améliorations technologiques permettent de mettre en œuvre des attaques auparavant complexes ou demandant des moyens financiers importants (cassage de mots de passe par cloud, banalisation d’outil comme le clonage de badge d’accès, etc.). L’ingénierie doit donc pouvoir intégrer des futures attaques, celles auxquelles le système devra faire face en temps opérationnel et non en temps de conception. Une démarche heuristique s’appuyant sur une expertise métier pourrait être utilisée sur un système simple. Intégrer les scénarios d’agression dans le modèle permettrait de mieux identifier les effets, et l’enchaînement possible des attaques sur un système complexe :
L’agresseur menant une action volontaire, la réduction probabiliste liée au faible risque de pannes multiples n’est pas pertinente. Au contraire, une combinaison de vulnérabilités (techniques et non techniques) indépendantes et successives favorise des scénarios d’attaques ;
L’analyse des défaillances évolue dans le temps, en fonction des évolutions des menaces et de la révision des risques, les scénarios d’attaque évoluent alors également, au fur et à mesure de la découverte de vulnérabilités ou de techniques nouvelles d’attaque ;
Qu’est-ce qu’un attaquant dans le cas d’un système complexe de défense de type naval, et comment intégrer ces profils d’attaques’ dans la modélisation d’un système ?
Objectifs de la thèse
D’analyser comment intégrer le point de vue d’analyse de risque dans un modèle de conception système complexe de type naval;
D’exprimer et de modéliser les contraintes (tel que le confinement ou la ségrégation), les propriétés en lien avec la sécurité (communication avec un pair de même niveau, accès à un réseau non protégé, ou un service non fiable etc…) et les moyens de validation associés (pour vérifier que le système réalisé les respecte) ;
De modéliser formellement des processus d’attaques au sein du modèle, mettant en évidence la capacité de surveillance, de détection, de résilience et de protection du système ;
De définir le bon niveau d’ajustement du niveau de sécurité des modèles ;
Proposer un exemple représentatif sur un cas concret non sensible de fonctions ou de sous-fonctions critiques d’un équipement embarqué.
de développer un prototype illustrant les différentes contributions en lien avec cette thèse.
