Mécanismes de protection physique pour les systèmes de contrôle industriels : des algorithmes à la surface d'attaque contrôlée
Dans les systèmes de contrôle industriels (SCI), la confiance dans les mesures de cybersécurité repose sur des mécanismes fondamentaux : les principes physiques, la théorie mathématique et les algorithmes. Les VPN et les pare-feu s'appuient principalement sur des algorithmes avec des niveaux de confiance faibles en raison de l'absence de tests en conditions réelles. Les dispositifs de chiffrement quantique et les diodes de données utilisent des barrières physiques, offrant une protection supérieure contre les menaces externes.
Sources de confiance dans les systèmes techniques
La confiance dans les équipements est établie par la validation scientifique, les tests en conditions réelles et les diagnostics périodiques. Dans l'aviation, cela inclut les calculs de résistance, les tests de destruction statique et les inspections. De même, les protections automatiques dans les tableaux électriques sont vérifiées par des tests en usine et la maintenance.
Dans la cybersécurité des SCI, les tests en conditions réelles des algorithmes sont impossibles : on ne peut pas envoyer toutes les combinaisons de paquets anormaux à un pare-feu ou une passerelle VPN. Les systèmes de protection par relais dans le secteur de l'énergie sont testés sur des simulateurs physiques avec des courants réels, ce qui n'est pas disponible en sécurité réseau.
Classification des solutions de cybersécurité par mécanismes
Les complexes matériels et logiciels-matériels pour les SCI sont divisés en classes avec différents niveaux de confiance :
| Produit | Physique | Mathématiques | Algorithmes | Total |
|----------------------|--------|------------|-----------|-------|
| Pare-feu | — | — | -3 | -3 |
| Dispositif de chiffrement VPN| — | +1 | -3 | -2 |
| Dispositif de chiffrement quantique| +3 | +1 | -3 | +1 |
| Diode de données | +3 | — | — | +3 |
| Déconnecteur L1 | +3 | — | — | +3 |
Les principes physiques offrent le maximum (+3), car sans accès matériel, une attaque est impossible. Les mathématiques (+1) sont théoriquement prouvables, mais la mise en œuvre est vulnérable. Les algorithmes (-3) comportent des risques d'erreurs et de portes dérobées.
Métrique de surface d'attaque S_attack
Pour évaluer la vulnérabilité des SCI aux menaces externes, une surface d'attaque est introduite aux niveaux L1–L4 du modèle OSI :
$$ S_{attack} = \sum_{nodes} node_{weight} \left( \sum_{physical ports} port_{weight} \left( \sum_{TCP/UDP ports} software_{port_{weight}} \right) \right) $$
- node_weight : criticité de l'appareil (ex. : API — élevée).
- port_weight : importance de l'interface physique.
- software_port_weight : vulnérabilité du service (ex. : RDP — critique).
Seuls les ports externes sont pris en compte.
Gestion dynamique avec le coefficient dt
L'accès à distance aux SCI est rarement requis — environ 50 heures par an. Nous introduisons un coefficient binaire dt ∈ {0,1}, reflétant la présence d'une connexion physique :
$$ S_{attack} = \sum ( node_{weight} \left( \sum ( dt \cdot port_{weight} \cdot \sum software_{port_{weights}} ) \right) ) $$
Avantages :
- dt=0 : le port est physiquement déconnecté, la surface d'attaque est minimale.
- dt=1 : risque conscient pour les diagnostics ou la configuration.
Dispositifs pour mettre en œuvre dt
- Diodes de données : dt est toujours 0, transmission de données unidirectionnelle au niveau physique. Adapté pour la surveillance, mais pas pour le contrôle.
- Déconnecteurs Ethernet L1 : déconnectent/commutent physiquement le canal à la demande. Combinés avec un VPN pour un accès contrôlé.
Points clés à retenir
- Les mécanismes physiques (déconnecteurs L1, diodes de données) offrent le plus haut niveau de confiance sans dépendance aux algorithmes.
- Le VPN réduit la surface d'attaque seulement partiellement ; sans dt, le risque reste élevé.
- Gérer dt permet de minimiser la vulnérabilité 99 % du temps sans perdre en fonctionnalité.
- Combinez les classes de produits : physique + mathématiques pour une protection multicouche des SCI.
- Les tests en conditions réelles des algorithmes de cybersécurité sont impossibles — fiez-vous aux barrières physiques éprouvées.
L'architecture de protection des SCI nécessite un équilibre des mécanismes. Le VPN ne peut pas remplacer le contrôle physique, mais associé à un déconnecteur L1, il fournit une surface d'attaque contrôlée.
— Editorial Team
Aucun commentaire pour le moment.