Chaire de cyberdéfense des systèmes navals
  • 🇬🇧 English
  • Actualités
  • Alumni
  • Naval cyber-range
  • Thèses en cours
  • Équipe encadrante
  • Qui sommes-nous?
  • Gouvernance

LV Erwan

Directeur(s): Yvon Kermarrec & Philippe Lenca
Encadrant(s): CC Xavier

machine learning, détection d'anomalies, cartographie

Cartographie, détection d’anomalies et réaction suite à une détection sur des systèmes industriels : application aux navires militaires et civils

 

Contexte général de l’étude

La numérisation du domaine maritime ne cesse de croître. Sans même parler des projets de navires autonomes, les navires modernes sont équipés de systèmes de systèmes de plus en plus complexes. À l’instar d’autres secteurs d’activité, cette numérisation massive a des objectifs de réduction des effectifs, d’optimisation des capacités, d’augmentation de l’efficacité des opérateurs, de réduction des coûts de maintenance, d’optimisation de la conception et des réparations, etc.

Cette numérisation induit de profonds changements des contextes économiques, stratégiques et cybernétiques dans lesquels évoluent les bâtiments, militaires comme civils. L’économie mondialisée est plus que jamais dépendante du transport maritime. L’incident ayant conduit au blocage du canal de Suez l’a rappelé. D’un point de vue stratégique, certaines nations développent des stratégies de conflit sous le seuil et s’appuient sur des organisations civilo-militaires pour atteindre leurs objectifs. Les attaques cyber, y compris les actions de brouillage ou de leurrage font partie de leurs modes opératoires ; les ICS en constituent des cibles de choix. L’exemple de Stuxnet a largement démontré la vulnérabilité de ces systèmes et la capacité d’un attaquant motivé à les atteindre.

La principale caractéristique des systèmes numériques sur les bâtiments est leur complexité : en plus des systèmes d’information bureautiques classiques, ils embarquent des systèmes de navigation et des systèmes de plateforme. L’impact de la compromission de ces systèmes sur la sécurité des navires va croissant.

Les systèmes bureautiques sont similaires à ceux que l’on peut trouver dans d’autres domaines d’activité. Essentiellement constitués de postes Windows ou Linux, ils peuvent faire l’objet d’attaques, avec un risque principal de perte ponctuelle d’activité. Dans le contexte maritime, ces systèmes bureautiques sont de plus en plus souvent connectés à Internet et interconnectés avec les systèmes de navigation et de plateforme. Cette interconnexion augmente la surface d’attaque et l’accessibilité de ces systèmes à un attaquant.

Les systèmes de navigation constituent une catégorie de sous-systèmes spécifiques au monde maritime. Ils se composent essentiellement de capteurs : radar, compas, loch, sonde de profondeur, etc. et de liaisons de données numériques radio : positionnement et référence de temps avec les systèmes de type GNSS et échange d’informations de situation maritime avec l’AIS. Ils s’articulent en général autour d’un système de cartographie de type ECDIS qui centralise et traite ces informations. Ils sont rarement mis à jour, souvent mal protégés, ouverts sur l’extérieur et basés sur des normes historiques qui ne prenaient pas en compte les contraintes de sécurité informatique. Ils constituent donc une cible de choix pour les attaques cyber, ciblées ou non, mais peuvent aussi être la cible d’attaques informationnelles (brouillage ou usurpation AIS et GNSS).

Les systèmes de plateforme - des systèmes industriels composés d’interfaces de supervision et de contrôle (SCADA) d’automates programmables (PLC), de capteurs et d’actionneurs – sont utilisés pour automatiser la conduite et la surveillance des installations techniques comme les moteurs, les barres et certaines servitudes. Ils permettent de contrôler des éléments physiques du navire et une défaillance, volontaire ou non, peut entraîner des dégâts matériels considérables, voire des pertes humaines. Ils sont donc conçus pour fonctionner en temps réel et garantir un haut niveau de sûreté de fonctionnement. Cette contrainte forte limite les possibilités d’intégrer des dispositifs de durcissement informatique. De plus, leur durée de vie, pouvant atteindre plusieurs dizaines d’années, induit un cycle de mise à jour logicielle très long. Tous ces éléments en font une cible de premier ordre et relativement mal protégée.

Comme pour un système classique, il est nécessaire de préparer et mettre en œuvre une stratégie de sécurité adaptée et efficace en prenant en compte des moyens humains et financiers limités. Dans ces conditions de très grande complexité technique, de menaces grandissantes et de moyens contraints, cela relève de la gageure. Deux cas de figure sont à considérer : d’une part l’élaboration d’une stratégie de sécurité en phase de conception, qui suppose l’accès aux informations d’architecture et une certaine souplesse sur le déploiement de moyens dédiés. D’autre part, la mise en place de moyens de sécurisation après, parfois longtemps après, la livraison. Ce cas de figure suppose souvent le manque ou l’absence de documentation sur les systèmes installés et limite la possibilité d’ajouter du matériel dédié à la cybersurveillance. En effet, dans ce contexte complexe et évolutif, la meilleure solution connue pour augmenter le niveau de sécurité, en particulier sur les systèmes de navigation et les systèmes de plateforme, est la mise en place de sondes réseau et de l’architecture associée[1].

Enfin, il convient de ne pas oublier le facteur humain. Les opérateurs d’un système de cybersurveillance manquent souvent d’expertise cyber s’ils se trouvent à bord des bâtiments cybersurveillés. Au contraire, s’ils se trouvent dans un SOC à terre, ils ne sont pas nécessairement experts de tous les bâtiments cybersurveillés. Ils ont besoin des bonnes informations de contexte, présentées de façon exploitable afin d’être en mesure de qualifier une alerte. De plus, leurs décisions pourraient être capitalisées, voire utilisées pour enrichir les algorithmes de détection.

Notre objectif est de proposer de nouvelles approches et méthodes de détection et de classification d’anomalies et d’attaques capables de prendre en compte différents éléments connus. Nous ciblons particulièrement ceux en lien avec la cartographie détaillée du système, ses évolutions et les différentes politiques de sécurité qui décrivent les contrôles sur les flux de données et les interactions entre composants du système. Nous souhaitons pouvoir exploiter plus efficacement ces anomalies en les expliquant et en fournissant aux opérateurs des informations précises leur permettant de remédier à cet état.

Nous avons identifié les questions de recherche suivantes. Après étude bibliographique et analyse du besoin, nous sélectionnerons les thématiques les plus pertinentes parmi celles-ci.

Questions de recherche soulevées :

  • Comment cartographier et représenter les différents équipements à bord ainsi que leurs fonctionnalités ? À partir de cette cartographie, comment déterminer quelles sont les règles et autres restrictions qui peuvent s’appliquer à un composant donné ? Comment identifier des zones grises ou des zones inconnues qu’il convient de préciser ?
  • Comment exprimer des règles de détection d’anomalie qui puissent permettre de prendre en compte le contexte et la mission du navire (et donc désactiver uniquement des règles inutiles ou inapplicables) ?
  • Comment assurer que ces règles soient cohérentes et complètes ? Comment limiter les faux positifs ?
  • Comment représenter la stratégie de détection globale et l’orienter en fonction de la menace ?
  • Comment aider un opérateur, qui reçoit une alerte, à identifier et repérer les éléments concernés par le système et « expliquer » le pourquoi de cette alerte ? Comment aider l’opérateur à identifier le niveau de gravité : mineur, moyen, grave et à déterminer l’action à réaliser ? Quels besoins de transparence dans l’explication ?
  • Comment aider à la migration d’éléments du système de contrôle tout en identifiant les points de vigilance en lien avec les règles de sécurité ? D’une façon plus générale, comment adapter les points précédents lors d’une évolution matérielle du système ?

    •  

    Intérêts possibles de cette thèse pour la Marine nationale

  • Capitalisation de connaissances sur les capteurs à bord et de leurs fonctionnalités
  • Approche systématique de cartographie des systèmes complexes et identification des interactions entre composants
  • Pouvoir rendre explicite ce qui se passe et expliquer le pourquoi du déclenchement d’un événement cyber ou d’une anomalie – qui peut aussi être utile pour le MCO/MCS des équipements
  • Maintien en condition de détection opérationnelle et maintien en condition de sécurité

    •  
    Références bibliographiques :

    [1] Jacq, O., Boudvin, X., Brosset, D., Kermarrec, Y., & Simonin, J. (2018, October). Detecting and hunting cyberthreats in a maritime environment: Specification and experimentation of a maritime cybersecurity operations centre. In 2018 2nd Cyber Security in Networking Conference (CSNet) (pp. 1-8). IEEE.

    Retour
    • Chaire de cyberdéfense des systèmes navals
    • École navale
    • BCRM Brest - CC 600
    • 29240 BREST Cedex 9
    • chairecyber@ecole-navale.fr
    Mentions légales
    Avec le soutien de
    cybersecurity
    cybersecurity research
    naval cybersecurity
    Raccourcis
    • Étudiants
    • Chercheurs
    • Industriels
    • La Chaire
    • Thèses
    • Alumni
    • Publications
    • Équipe encadrante
    • Cyber-range maritime
    • Actualités
    Nous joindre
    cyberdefense cybersecurity research naval cybersecurity